Rapport d'audit
14 novembre 2013
Numéro de projet : 80590-80
- Sommaire
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Conclusions, recommandations et réponse de la direction
- Gouvernance
- Gérance
- Annexes
- Annexe A : Critères de l'audit
- Annexe B : Sélection de l'échantillon
- Annexe C : Sigles
Sommaire
Les accords de partage de données (APD) en vertu des articles 11 et 12 de la Loi sur la statistique sont devenus un processus opérationnel clé. On en compte désormais environ 500, et ceux-ci couvrent presque la totalité des enquêtes-entreprises et une majorité des enquêtes-ménages, outre qu'ils profitent de certaines exceptions concernant la diffusion de renseignements confidentiels sur les répondants. L'accumulation d'APD reflète le besoin de coopération entre les organisations canadiennes pour la collecte, la compilation et la publication de renseignements statistiques. Ces dernières années, le partage de données est devenu un secteur en croissance et de plus en plus complexe à gérer, et il est dorénavant difficile de protéger la confidentialité des données partagées, une valeur essentielle des services axés sur les citoyens, des valeurs de la fonction publique et de la gérance à Statistique Canada.
Cet audit avait pour objectif de donner au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que :
- StatCan mise sur un cadre de contrôle de gestion adéquat et efficace pour veiller à ce que les processus de gestion des APD soient conçus uniformément et mis en œuvre en intégralité, et à ce qu'une surveillance continue des APD soit exercée;
- les accords de partage de données à Statistique Canada font l'objet d'une gestion interne garantissant leur conformité aux politiques du SCT, aux politiques de Statistique Canada, ainsi qu'aux exigences législatives pertinentes.
L'audit a été réalisé par la Division de l'audit interne conformément à la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
Les rôles et responsabilités des principaux intervenants quant à l'élaboration, à la mise en œuvre, à la gestion et à la surveillance des accords de partage de données ont été définis formellement. En clarifiant la gouvernance à l'égard du service de transfert de fichiers électroniques, on veillerait à l'uniformité du modèle de service et au soutien des programmes statistiques.
Les instruments de politique liés à la gouvernance et à l'application des APD ne sont pas recoupés et n'indiquent pas quelle politique prévaut par rapport à l'autre lorsqu'elles se chevauchent. C'est cette situation qui sème la confusion et nuit à l'application efficace des exigences entre les divisions.
Dans certains programmes statistiques, il n'existe pas de mesures de répartition des tâches entre la préparation et l'approbation des données avant la transmission de renseignements. Les exigences de la Directive concernant le partage de données (la Directive) en vertu des articles 11 et 12 relativement au statut des APD, au partage de renseignements, à la surveillance et à l'examen continu ne sont pas suivies, et il était impossible d'accéder à un inventaire des APD valides en vertu des articles 11 et 12 signés par Statistique Canada à un moment bien précis dans le temps.
Des pratiques de gestion des accords de partage de données sont en place, et dans l'ensemble, les programmes statistiques sont conformes aux politiques applicables de Statistique Canada et du SCT, de même qu'aux exigences législatives.
Le mode de transmission électronique de renseignements en vertu des APD est appliqué, et celui-ci protège et préserve efficacement les renseignements confidentiels de Statistique Canada. Les renseignements transmis par dispositif de stockage portatif ne présentaient pas toujours les paramètres requis pour une transmission sécurisée.
Conclusion générale
L'amélioration du cadre de politique sur la gestion des APD facilitera la compréhension uniforme et l'application efficace des exigences entre les divisions. De plus, la mise en place des exigences de la Directive se traduira par une gestion et une protection solides des renseignements confidentiels. Il est possible de gagner en efficacité en renforçant quelques-uns des éléments du cadre de contrôle de gestion, notamment : clarifier la gouvernance du service de transfert des fichiers électroniques pour garantir un modèle de service uniforme et soutenir les programmes statistiques, et appliquer des mesures de répartition des tâches entre la préparation et l'approbation des données avant leur transmission pour protéger la confidentialité des renseignements pendant la prestation des services.
Depuis deux ans, StatCan déploie des efforts considérables et accorde beaucoup d'attention à la gestion des APD. Ainsi, l'audit a confirmé qu'il existe des pratiques de gestion des accords de partage de données et que, dans l'ensemble, les programmes statistiques sont conformes aux politiques applicables du SCT et de Statistique Canada, de même qu'aux exigences législatives. Dans le cadre de tests de vérification, nous n'avons pas observé d'atteinte à la vie privée. Cependant, puisque les conséquences d'une brèche de sécurité seraient graves, il faudrait clarifier et appliquer des pratiques de sécurité pour la transmission par dispositif de stockage portatif.
Conformité aux normes professionnelles
L'audit s'est déroulé conformément aux normes relatives à l'audit interne au sein du gouvernement du Canada, c'est-à-dire les normes internes de l'Institut des vérificateurs internes (IVI) pour la pratique professionnelle de l'audit interne.
Patrice Prud'homme
Dirigeant principal de la vérification
Introduction
Contexte
L'un des aspects clés du mandat de Statistique Canada est de travailler avec d'autres ministères et organismes gouvernementaux (fédéraux et provinciaux), des administrations municipales et des entités juridiques à la collecte, à la compilation et à la publication de renseignements statistiques. En collaborant avec ces organisations, Statistique Canada remplit une autre partie de son mandat : promouvoir la réduction du dédoublement d'efforts dans la collecte de renseignements statistiques. Le partage de données est un moyen d'atteindre cet objectif. Une entente écrite entre les deux organisations officialise le partage de données.
La Loi sur la statistique prévoit deux types d'accords de partage de données (APD) :
- Les APD de l'article 11 : permettent le partage de données avec les bureaux de statistique provinciaux et territoriaux assujettis à des lois semblables à la Loi sur la statistique fédérale, qui autorise la collecte de renseignements à des fins statistiques, oblige les répondants à répondre et autorise la demande de partage obligatoire des données; on y stipule les exigences juridiques pour protéger la confidentialité des renseignements donnés par les répondants et les aviser des intentions de partage de données;
Les APD de l'article 12 : permettent le partage de données avec les autres ministères et organismes fédéraux, les ministères et organismes provinciaux non statistiques, les administrations municipales et les organismes statistiques de l'Île-du-Prince-Édouard, des Territoires du Nord-Ouest et du Nunavut, de même que d'autres entités juridiques qui peuvent avoir (selon leurs lois à elles) l'autorisation légale d'exiger la réponse et de demander le partage de données obligatoire plutôt que volontaire. En fait, Statistique Canada peut conclure un accord en vertu de l'article 12 avec n'importe quelle organisation constituant une entité juridique. Il ne peut donc pas conclure d'accord de partage avec un chercheur individuel, mais il pourrait en conclure un avec une université. Les APD de l'article 12 stipulent les exigences légales visant à protéger la confidentialité des renseignements donnés par les répondants, à aviser les répondants de l'intention de partage de données, et, dans le cas du partage de données volontaire, à informer les répondants de leur droit de s'y opposer.
Les APD sont devenus un processus opérationnel clé. On en dénombre maintenant environ 500, et la plupart permettent le partage de données volontaire. Ceux-ci se classent parmi les APD de l'article 12, où les répondants ont le droit de refuser le partage de renseignements. Les autres sont répartis entre le partage de données obligatoire en vertu des APD provinciaux et territoriaux de l'article 11 et le partage de données obligatoire en vertu des APD de l'article 12. Les accords de partage de données couvrent presque la totalité des enquêtes-entreprises et une majorité des enquêtes-ménages à Statistique Canada. L'accumulation d'APD reflète un besoin de collaboration entre les organismes canadiens pour recueillir, compiler et publier les renseignements statistiques.
Ces dernières années, le partage de données est devenu un secteur en croissance et de plus en plus complexe à gérer. La protection de la confidentialité des données partagées, une valeur essentielle des services axés sur les citoyens, des valeurs de la fonction publique et de la gérance à Statistique Canada, est de plus en plus difficile. Les APD sont régis par un cadre de gestion multipartite caractérisé par une gestion répartie sous diverses ententes de responsabilité entre les unités de Statistique Canada et les partenaires des APD.
Objectifs de l'audit
L'audit avait pour objectif de donner au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que :
- StatCan mise sur un cadre de contrôle de gestion adéquat et efficace pour veiller à ce que les processus de gestion des APD soient conçus uniformément et mis en œuvre en intégralité, et à ce qu'une surveillance continue des APD soit exercée;
- les accords de partage de données à Statistique Canada font l'objet d'une gestion interne garantissant leur conformité aux politiques du SCT, aux politiques de Statistique Canada, ainsi qu'aux exigences législatives.
Portée
L'audit comprenait un examen de l'exactitude et de l'efficacité des contrôles à l'égard de la gestion et du traitement des APD. Les domaines examinés comprenaient, notamment, les processus opérationnels et contrôles permettant l'application uniforme d'un processus opérationnel global, de même que les outils, la formation et les pratiques de gestion de l'information qui soutiennent la responsabilisation claire et la conformité aux politiques et procédures applicables.
La portée de l'audit englobait la statistique des entreprises (secteur 5) et la statistique sociale, de la santé et du travail (secteur 8) de StatCan, et un échantillon des fichiers d'APD pour lesquels des ensembles de données avaient été partagés au cours des exercices 2011-2012 et 2012-2013.
Approche et méthodologie
Le travail d'audit consistait à examiner des documents, des entrevues avec les membres du personnel et des cadres supérieurs importants, et un examen de la conformité aux politiques et lignes directrices applicables (voir annexe A : Critères d'audit pour connaître les détails.)
Le travail sur le terrain consistait à examiner, évaluer et vérifier les processus et procédures en place pour veiller à ce que les processus opérationnels et les contrôles soient appliqués de façon uniforme, et les outils, la formation et les pratiques de gestion de l'information soutiennent une responsabilité claire et la conformité aux politiques et procédures applicables. Un échantillon aléatoire et discrétionnaire de 42 fichiers de données sur les APD (voir annexe B : Sélection de l'échantillon) a été sélectionné pour un audit de la conformité à l'APD et au modèle d'enquête, de la conformité à la politique sur la diffusion officielle, de la transmission et de la protection des données, et de la transmission exclusive à une personne-ressource officielle désignée.
Cet audit s'est déroulée conformément aux normes de vérification interne au sein du gouvernement du Canada, c'est-à-dire les normes internationales de l'Institut des vérificateurs internes (IVI) pour la pratique professionnelle de l'audit interne.
Autorité
L'audit s'est déroulée en vertu de l'autorisation du plan d'audit et d'évaluation intégré fondé sur les risques de Statistique Canada de 2013-2014 à 2017-2018.
Conclusions, recommandations et réponse de la direction
Objectif 1 : StatCan mise sur un cadre de contrôle de la gestion adéquat et efficace pour veiller à ce que les processus de gestion des APD soient conçus de façon uniforme et mis en œuvre dans leur intégralité, et à ce qu'une surveillance continue des APD soit exercée.
Gouvernance
Les rôles et responsabilités des principaux intervenants quant à l'élaboration, à la mise en œuvre, à la gestion et à la surveillance des accords de partage de données ont été définis formellement. En clarifiant la gouvernance à l'égard du service de transfert de fichiers électroniques, on veillerait à l'uniformité du modèle de service et au soutien des programmes statistiques.
Les instruments de politique liés à la gouvernance et à l'application des APD ne sont pas recoupés et n'indiquent pas quelle politique prévaut par rapport à l'autre lorsqu'elles se chevauchent. C'est cette situation qui sème la confusion et nuit à l'application efficace des exigences entre les divisions.
Dans certains programmes statistiques, il n'existe pas de mesures de répartition des tâches entre la préparation et l'approbation des données avant la transmission de renseignements. Les exigences de la Directive concernant le partage de données (la Directive) en vertu des articles 11 et 12 relativement au statut des APD, au partage de renseignements, à la surveillance et à l'examen continu ne sont pas suivies, et il était impossible d'accéder à un inventaire des APD valides en vertu des articles 11 et 12 signés par Statistique Canada à un moment bien précis dans le temps.
Les accords de partage de données sont régis par un cadre de gestion multipartite, caractérisé par une gestion répartie en plusieurs ententes de responsabilités entre les unités de Statistique Canada et les partenaires des APD. Il doit y avoir des mesures de supervision, une délimitation claire des responsabilités et des lignes de communication pour soutenir la coordination efficace entre l'ensemble des intervenants et veiller à l'efficience et à l'efficacité des opérations. Les lignes directrices et les processus et procédures doivent être pleinement intégrés et documentés, et il doit y avoir un suivi du rendement opérationnel pour détecter les erreurs — réelles ou éventuelles — qui empêcheraient autrement l'atteinte des objectifs et augmenteraient le risque opérationnel.
Orientation stratégique et supervision
Il existe un cadre de supervision et d'orientation stratégique en rapport à la gestion et au traitement des APD à l'échelle des opérations et à l'échelle de Statistique Canada.
L'orientation et la supervision générales sont assurées par le Comité de coordination de la sécurité. Celui-ci examine l'ensemble des propositions de transmissions électroniques avant leur approbation finale par le Comité des politiques. Le nouveau Comité de gouvernance sur la diffusion par transfert de fichiers électroniques, créé par la Division de la diffusion à l'été 2012, offre une orientation stratégique au niveau opérationnel. Ce comité a pour mandat d'établir des normes uniformes pour l'ensemble des données confidentielles d'entrée et de sortie et d'approuver la diffusion des données d'enquête régies par un APD. Il est actif dans l'approbation de la publication des données d'enquête depuis 2012.
Rôles et responsabilités
Division de la gestion de l'information et autres intervenants
La responsabilité principale de la mise en œuvre de la Directive revient au directeur de la Division de la gestion de l'information (DGI). Les responsabilités des autres intervenants figurent également dans la Directive, comme celles des directeurs des programmes statistiques, des gestionnaires de la sécurité physique et informatique, des statisticiens en chef adjoints, du statisticien en chef, du dirigeant principal de la vérification, et des chefs des organisations qui reçoivent des données de la part de Statistique Canada en vertu d'un APD. La fonction de surveillance doit être partagée entre la DGI et les gestionnaires des programmes statistiques.
L'audit a révélé que, bien qu'un grand nombre de responsabilités décrites dans la Directive aient été mises en œuvre par la DGI, il y a certains articles qui n'ont pas encore été mis en place ni appliqués. L'actuelle base de données de la DGI, les Services d'accès et de contrôle des données (SACD), a des fonctions limitées de capacité, de configuration et de rapports pour maintenir les renseignements que doivent obligatoirement fournir les divisions sur le statut des APD et les données partagées en vertu d'un APD. Le défaut de mettre en œuvre et d'appliquer les exigences stipulées dans la Directive augmente le risque que ne soient pas atteints les objectifs de la Directive et les résultats attendus.
Programmes statistiques
Les rôles et responsabilités de la mise en œuvre et de la gestion opérationnelles des accords de partage de données en vertu des articles 11 et 12 reviennent aux directeurs des programmes statistiques. L'article 6.2 et les annexes B et C de la Directive décrivent en détail les exigences et les processus que doivent observer le directeur et le gestionnaire opérationnel d'un programme statistique. Par conséquent, chaque directeur est responsable de veiller à ce que sa division se conforme aux exigences de la Directive. En établissant les rôles et responsabilités à l'égard de la préparation des renseignements statistiques, Statistique Canada, par ses Lignes directrices concernant la qualité, recommande que la certification ou la validation soient séparées, de sorte que la validation soit effectuée par les personnes qui n'ont pas pris part à la production ni à la préparation des données.
On a observé lors des entrevues que chaque division s'est dotée d'une structure selon sa taille et son volume d'activité d'APD. Dans les divisions où l'on observait peu d'activité d'APD, seulement une ou deux personnes effectuent l'ensemble des tâches liées à la gestion des APD et à la diffusion et à la transmission des données, tandis que les divisions où l'on remarque un volume élevé d'activité d'APD font appel à plusieurs employés. Certaines divisions où l'on observe un volume élevé d'activité d'APD misent sur un processus décentralisé où chaque unité exerce elle-même ses fonctions de gestion, de diffusion et de transmission des données, tandis que d'autres divisions ont choisi de centraliser ces fonctions à l'intérieur de la division par souci d'efficacité et d'uniformité.
L'audit a révélé que peu importe la taille ou la structure de la division, ou le volume d'activité d'APD, les rôles des employés qui prennent part aux APD ont évolué au fil du temps, plutôt que d'être formellement définis, et que ces rôles sont en majeure partie bien exécutés. Cependant, on remarque une absence de séparation de fonctions incompatibles dans certaines divisions. Qu'une division ait centralisé ou décentralisé ses fonctions d'APD, il y a des cas où le même employé préparait et transmettait un fichier partagé sans vérification ni approbation indépendante. La séparation des tâches est un contrôle interne clé pour prévenir les erreurs non intentionnelles et veiller à la détection rapide des erreurs susceptibles de se produire.
Technologie de l'information
La principale responsabilité du groupe de la TI relativement à la gestion des APD est la transmission sécurisée des données par voie de transfert de fichiers électroniques, le mécanisme général utilisé par Statistique Canada pour transmettre des renseignements protégés. Les exigences des utilisateurs par rapport à ce mécanisme sont décrites dans un guide intitulé Système de transfert de fichiers électroniques— Guide de l'utilisateur interne de StatCan (le Guide). En raison de la nature technique du guide, celui-ci n'est pas maintenu dans le site intranet et est distribué principalement aux divisions qui ont reçu la formation sur le transfert de fichiers électroniques. En raison des contraintes de temps et d'une augmentation de la demande de transferts de fichiers électroniques, ce ne sont pas toutes les divisions qui ont reçu cette formation.
L'audit a révélé que, bien que les rôles et responsabilités des utilisateurs du système de transfert de fichiers électroniques soient décrits dans le Guide, ceux de la Division des systèmes de collecte (DSC), de la Division de la planification et de la gestion de la collecte (DPGC) et de la Division des opérations de la technologie de l'information (DOTI) ont besoin d'éclaircissements. Les entrevues ont révélé qu'il existe à Statistique Canada un manque de clarté sur la responsabilité opérationnelle officielle du système de transfert de fichiers électroniques, notamment la fonction de formation. Au cours des deux dernières années, certains services ont été transférés de la DSC à la DPGC, et d'autres, comme la prestation des services et la formation, que l'on planifiait transférer, ne l'ont pas encore été.
Le manque de clarté entourant le processus de transferts de fichiers électroniques s'est traduit par un modèle incohérent pour les programmes statistiques. Certains ne sont pas encore configurés pour le transfert de fichiers électroniques, et d'autres sont préoccupés par la nature chronophage et la complexité du processus de configuration du système. Au moment de l'audit, la DSC et la DPGC prévoyaient se réunir pour déterminer la marche à suivre. Un manque de clarté sur la propriété opérationnelle du service de transfert électronique fait en sorte que les utilisateurs ne comprennent pas parfaitement leurs tâches, si bien que les processus sont appliqués de façon inefficace et inefficiente.
Lignes directrices concernant la gestion des accords de partage de données
À Statistique Canada, les lignes directrices et l'orientation sur le traitement et la gestion des accords de partage de données sont contenues dans plusieurs textes législatifs et instruments de politique. Il s'agit des suivants :
- La Directive concernant le partage de données en vertu des articles 11 et 12, qui propose des lignes directrices sur l'élaboration, la mise en œuvre, la gestion et la surveillance des accords de partage de données.
- La Loi sur la statistique, la Loi sur la protection des renseignements personnels, la Politique sur les évaluations des facteurs relatifs à la vie privée, la Politique d'information des répondants aux enquêtes, la Politique sur la sécurité des renseignements statistiques de nature délicate, la Politique sur la sécurité informatique, la Politique sur la diffusion des microdonnées, la Politique sur la révélation discrétionnaire, et le Manuel des pratiques de sécurité, qui proposent des lignes directrices sur la confidentialité des APD, et les exigences de diffusion et de transmission.
- La Politique sur la diffusion officielle indique le moment où les renseignements peuvent être rendus publics et dans quelles conditions, par rapport à la date précisée dans Le Quotidien, le véhicule officiel de diffusion des données de Statistique Canada, de même que les circonstances dans lesquelles les renseignements peuvent être publiés avant la date de diffusion officielle dans Le Quotidien.
L'audit a révélé que les utilisateurs ont du mal à suivre et à rassembler les renseignements contenus dans les nombreux instruments de politique. Parfois, les consignes données dans les nombreux instruments de politique se chevauchent, sans que rien n'indique clairement quel instrument a préséance sur les autres. Cette situation, combinée au manque de clarté découlant de la terminologie juridique et non définie, crée des inefficacités opérationnelles, car les utilisateurs font souvent appel aux divisions spécialisées pour obtenir des précisions, comme la DGI, la TI, les Communications et la Diffusion. Par exemple, un examen de la Directive daté du 15 mai 2013 a révélé qu'il n'y avait pas de section sur les modifications récentes attribuables à la mise en œuvre le 1er avril 2013 de deux nouveaux formulaires : le formulaire 1 — Confirmation de transfert par les directeurs, qui doit être signé par le directeur d'un programme statistique chaque fois que des renseignements doivent être communiqués avec un partenaire, et le formulaire 2 — Confirmation de transfert par les partenaires externes, qui doit être signé par le partenaire et renvoyé à Statistique Canada dès la réception des données partagées. Les entrevues ont révélé que les utilisateurs n'avaient été mis au courant que récemment des nouveaux formulaires, et la plupart d'entre eux ont indiqué qu'ils avaient communiqué ou qu'ils entendaient communiquer avec la DGI pour obtenir des précisions et de plus amples renseignements sur les nouvelles exigences.
On connaît la Directive et la Politique sur la diffusion officielle, mais on n'est pas familier avec la totalité de leur contenu. Les utilisateurs s'inquiètent de la formation limitée sur le processus d'APD et sur les exigences de la Directive et de la Politique sur la diffusion officielle. La DGI a donné une formation pilote sur les contrôles de la divulgation des renseignements confidentiels à l'été 2013 à certains groupes (à l'échelle des directeurs), et prévoit offrir cette formation aux divisions à compter de l'automne 2013. La Division des communications a aussi programmé des séances d'information en octobre 2013 pour le personnel de Statistique Canada sur la mise à jour de la Politique sur la diffusion officielle.
Procédures et processus documentés pour la gestion des APD
Chaque division s'est dotée, selon ses besoins respectifs, de pratiques qui, pour la plupart, fonctionnent bien. Pour certaines divisions, la transmission de données au moyen d'un APD est peu fréquente, par exemple, une fois par année, une fois par deux ans, voire une fois par dix ans. Dans ces cas, les cadres et les membres du personnel ont indiqué qu'ils se fiaient normalement beaucoup à la DGI et/ou à la TI pour les aider à franchir les étapes nécessaires. Les autres divisions transmettent des données régulièrement, notamment chaque trimestre, chaque mois, voire chaque semaine. Généralement, ces employés, surtout ceux qui occupent leur poste depuis de nombreuses années, ont indiqué qu'ils connaissent passablement bien le processus, si bien qu'ils n'auraient pas besoin d'un processus documenté.
La Division de la fabrication et de l'énergie (DFE), qui mise sur un volume important d'APD, s'est dotée de procédures et de processus minutieusement documentés. Elle a centralisé la section de la diffusion pour créer une capacité permanente à l'aide d'employés formés et d'expérience. Elle a créé un document Excel stocké sur un lecteur partagé dans lequel on décrit les procédures spécifiques de partage de données de différents types selon plusieurs formes d'APD. Ce mécanisme aide l'expert en la matière à consulter facilement les procédures et à informer dès le départ le partenaire de ce qui peut être partagé ou non, donc à promouvoir une meilleure relation avec le partenaire.
Une feuille de travail récapitulative décrit les règles et les exigences pour chaque type d'APD (c.-à-d. les articles 11, 12, 12+) et les travaux en cours (TEC) ou les autres publications anticipées. On y trouve également des hyperliens vers d'autres feuilles de travail, dans lesquelles on décrit les règles propres à chaque situation.
On utilise des feuilles de travail séparées pour maintenir un inventaire des APD pour les enquêtes de la DFE par année, et un inventaire des TEC de la DFE par année et en cours, ou pour un statut ponctuel. Une liste de contrôle appelée Liste de contrôle pour les demandes de chiffrement doit être remplie par l'analyste avant d'être soumise à la section de la diffusion pour demander le chiffrement et le transfert de fichiers électroniques de données au partenaire. La section de la diffusion traite le transfert et maintient un journal de chiffrement de données pour répondre aux exigences de la Directive. Un document, Procédures — transmission des fichiers, présente les étapes détaillées de préparation d'un fichier à transmettre, accompagné de copies d'écran d'Entrust pour le chiffrement et la protection par mot de passe des fichiers, de même que les étapes à suivre pour préparer et partager des fichiers de données par voie électronique ou sur CD.
Des procédures et processus documentés clairement aideraient les programmes statistiques à établir des pratiques uniformes pour la gestion des APD et la diffusion et la transmission de données confidentielles. Les processus documentés sont particulièrement utiles lorsqu'il y a du roulement personnel et réduiraient le recours accru des divisions à la TI et à la DGI lorsque les transmissions de données sont peu nombreuses et espacées, ce qui rendrait les processus plus efficients. Les responsables des programmes statistiques pour lesquels on n'a pas documenté de processus pourraient envisager d'élaborer les leurs en mettant à profit et en adaptant les procédures et processus documentés de la DFE pour répondre aux pratiques et aux besoins respectifs de leur programme.
Activités de surveillance
La Section des ententes statistiques, des dispositions législatives et de l'octroi de licences (ESDLOL) de la DGI a la responsabilité fonctionnelle de la gestion des APD en vertu des articles 11 et 12 de la Loi sur la statistique et doit tenir compte des autorisations légales données par le statisticien en chef pour la collecte et la diffusion des renseignements confidentiels. Les secteurs de programmes statistiques se fient à l'ESDLOL pour maintenir un inventaire de leurs accords de partage de données et leur fournir les renseignements dont ils ont besoin pour gérer leurs responsabilités vis-à-vis des APD.
L'ESDLOL utilise la base de données des Services d'accès et de contrôle des données (SACD) pour maintenir un inventaire de l'ensemble des accords de partage de données actuellement valides signés par Statistique Canada en vertu des articles 11 et 12.
Dans le cadre de l'audit, on a remarqué qu'il n'y avait pas d'inventaire des APD valides en vertu des articles 11 et 12 signés par Statistique Canada à un moment bien précis dans le temps et qu'il n'y a pas d'analyse ni de comparaison continue des renseignements contenus dans la base de données avec les APD actuels. La DGI a reçu l'approbation pour le renouvellement de la base de données des SACD dans le cadre du processus de planification à long terme de Statistique Canada. L'initiative de renouvellement s'amorcera en avril 2014.
L'annexe C de la Directive sur la surveillance des accords de partage de données présente les grandes lignes des responsabilités liées à la surveillance de la conformité aux APD pour veiller à ce qu'une diligence raisonnable soit exercée et à ce que les exigences légales soient respectées, en particulier à l'égard de la protection de la confidentialité et des renseignements donnés par les répondants. La Directive stipule que la DGI et les responsables des programmes statistiques se partagent la responsabilité de la surveillance des APD. La section 6.1.10 et l'annexe B présentent les étapes à suivre pour la modification, le renouvellement ou la clôture d'un APD actuel en vertu de l'article 12, de même que les responsabilités relatives à la surveillance des limitations de la durée des APD, et informe les gestionnaires de programme sur les accords dont la date de clôture approche (au moins tous les six mois).
L'audit a révélé que 317 APD sur 495 (64 %) en vertu de l'article 12 ne sont pas actifs, mais que les données partagées en vertu de ces APD appartiennent toujours aux partenaires, et qu'ils ne sont pas considérés comme « actifs » du point de vue juridique. Ces modèles d'APD n'avaient pas de date de clôture définie, comparativement aux APD s'appuyant sur le nouveau modèle (en date de 2010), pour lesquels on précise une période de clôture au bout de six ans. La majorité de ces APD appartiennent à deux divisions. Les entrevues avec les directeurs de ces divisions ont révélé que ceux-ci n'étaient pas au courant du grand nombre d'anciens APD dans leur division, ni du statut de ces APD, et ne pouvaient pas dire clairement quelles étaient les attentes à leur égard quant à la gestion et l'examen continu du statut des APD, ni à la façon de procéder pour exécuter cette tâche.
L'audit a permis de conclure qu'il existe un manque de surveillance et d'analyse continue du statut des APD. Cette situation augmente le risque d'incapacité de déceler les cas d'atteinte à la vie privée imputables aux exigences stratégiques et législatives des APD et le risque de défaut de mettre en œuvre des mesures correctives rapides et efficaces.
Recommandations
Le statisticien en chef adjoint, Secteur des études analytiques, de la méthodologie et de l'infrastructure, doit s'assurer que :
- la séparation des tâches liées à la préparation et à l'approbation des données à transmettre est effectuée, lorsque c'est possible;
- les instruments de gouvernance liés à la gestion et à l'application des APD font l'objet de recoupements et indiquent quelle politique prévaut sur une autre en cas de chevauchement, par souci de compréhension uniforme et d'application efficace des exigences des APD;
- la pertinence continue de l'inventaire actuel des APD en vertu de l'article 12 fait l'objet d'une évaluation, et les exigences de la Directive relatives au partage de renseignements, à la surveillance et à l'examen continu du statut des APD se font régulièrement et conformément à la Directive concernant le partage de données en vertu des articles 11 et 12.
Réponse de la direction
La direction accepte les recommandations.
- Le directeur de la DGI fournira des lignes directrices et des exigences pour les programmes de partage de données sur la gestion des APD, y compris la séparation des tâches lorsque cela est possible, dans le contexte de la gestion des accords de partage de données. Les directeurs des programmes d'APD seront responsables de veiller à la mise en œuvre.
Produits livrables et échéancier : On préparera une trousse d'APD d'ici mars 2014. - Le directeur de la DGI procédera à un examen des instruments de gouvernance utiles pour veiller à la clarté de la formulation et établir des précédents au besoin.
Produits livrables et échéancier : Des mises à jour de la suite de politiques de Statistique Canada et de la trousse d'APD seront produites d'ici décembre 2014. - Le directeur de la DGI établira et mettra en place un processus d'examen régulier et continu des APD en vertu de l'article 12 et mettra en œuvre des modifications au système d'accès et de contrôle des données (SACD) pour faciliter l'examen, la surveillance et l'évaluation.
Produits livrables et échéancier : Mettre en œuvre un processus d'examen régulier et continu des APD en vertu de l'article 12 d'ici janvier 2014. Mettre en œuvre des modifications au système d'accès et de contrôle des données (SACD) d'ici décembre 2015.
Recommandation
Le statisticien en chef adjoint, Opérations et communications, doit s'assurer que :
- la gouvernance relative au système de transfert de fichiers électroniques est clarifiée.
Réponse de la direction
La direction accepte la recommandation.
- La Directive sur la transmission de renseignements protégés sera renforcée et communiquée aux gestionnaires de l'ensemble des organisations par le directeur de la Division de la diffusion et le directeur de la DGI.
Produits livrables et échéancier : Mise à jour de la Directive sur la transmission de renseignements protégés d'ici le 31 décembre 2013. - Toutes les exemptions de l'utilisation du système de transfert de fichiers électroniques seront désormais approuvées par le Comité de coordination de la sécurité.
Produits livrables et échéancier : LeComité de coordination de la sécurité élaborera une stratégie de communication pour informer les gestionnaires de StatCan des modifications à la Directive sur la transmission de renseignements protégés et du processus de demande d'exemption. Cette tâche sera effectuée d'ici janvier 2014.
Objectif 2 : Les accords de partage de données à Statistique Canada font l'objet d'une gestion interne garantissant leur conformité aux politiques du SCT, aux politiques de Statistique Canada, ainsi qu'aux exigences législatives.
Gérance
Des pratiques de gestion des accords de partage de données sont en place, et dans l'ensemble, les programmes statistiques sont conformes aux politiques applicables de Statistique Canada et du SCT, de même qu'aux exigences législatives.
Le mode de transmission électronique de renseignements en vertu des APD est appliqué, et celui-ci protège et préserve efficacement les renseignements confidentiels de Statistique Canada. Les renseignements transmis par dispositif de stockage portatif ne présentaient pas toujours les paramètres requis pour une transmission sécurisée.
Il doit y avoir des contrôles internes solides pour que les utilisateurs se conforment à l'ensemble des politiques, des lois et des exigences législatives qui s'appliquent, et ces contrôles doivent être intégrés aux pratiques opérationnelles visant à protéger et à préserver les renseignements confidentiels de Statistique Canada contre la perte, le vol, la compromission ou la divulgation inappropriée.
Pratiques de gestion des accords de partage de données
Au cours de l'audit, on a testé un échantillon de 42 fichiers d'accords de partage de données sur 557 (7,5 %) au cours des exercices 2011-2012 et 2012-2013 pour :
- vérifier si les renseignements transmis étaient conformes au modèle d'enquête et d'APD;
- vérifier si la date et l'heure de transmission des données ne précédaient pas la date et l'heure de diffusion officielles;
- vérifier si les renseignements sur les bénéficiaires correspondaient aux coordonnées;
- vérifier si la méthode et le niveau de sécurité pour transmettre les fichiers de données suivaient une méthode approuvée par l'organisme.
Les fichiers de données ont été sélectionnés de façon aléatoire et discrétionnaire parmi huit divisions sur 17 du secteur 5, et cinq divisions sur neuf du secteur 8.
Le contenu du fichier partagé est conforme au modèle d'enquête et d'APD
Dans le cadre de l'audit, on a examiné les ensembles de données pour les 42 fichiers de données partagés au cours des exercices 2011-2012 et 2012-2013 pour l'accord de partage de données et le modèle d'enquête couvert par l'APD. On a confirmé que, pour l'ensemble des 42 fichiers de données, le partenaire, les renseignements d'enquête, la période de référence et le contenu des fichiers partagés étaient valides et conformes au modèle d'enquête et d'APD.
Conformité à la Politique sur la publication officielle
On a évalué si les 42 fichiers de données partagés au cours des exercices 2011-2012 et 2012-2013 étaient conformes à la Politique sur la diffusion officielle. L'audit a révélé que 38 fichiers sur 42 étaient des publications finales, et on a confirmé dans le cadre d'entrevues et d'un bilan documentaire que la date et l'heure de transmission de ces fichiers étaient postérieures à la date et à l'heure de diffusion officielle dans Le Quotidien. Quatre fichiers sur 38 ont été partagés avant la diffusion officielle. L'audit a confirmé que les conditions, les types d'accord et les formulaires de soumission des quatre fichiers étaient valides et conformes à la Politique sur la diffusion officielle.
Transmission et protection des données
L'audit a permis d'examiner le mode de transmission et le niveau de sécurité utilisés pour acheminer les fichiers de données aux partenaires externes. On a observé que huit divisions sur 12 incluses dans notre essai sont équipées pour transmettre des fichiers par voie électronique, quoique, pour certains programmes statistiques, la transmission se fait toujours au moyen d'un CD ou d'un DVD, parce que le partenaire du programme ou le partenaire externe n'a pas encore la configuration nécessaire pour le transfert électronique. L'audit a également permis de confirmer que le programme Entrust est utilisé pour le chiffrement et la protection par mot de passe des programmes. Il a permis de confirmer que 40 fichiers sur 42 avaient été chiffrés et protégés par mot de passe avant d'être transmis aux partenaires externes, mais que deux fichiers de données transmis par CD n'avaient pas été chiffrés ni protégés par mot de passe. Il n'y avait pas non plus de preuve de livraison pour trois CD remis en mains propres. Dans le Manuel des pratiques de sécurité de Statistique Canada, au chapitre 2, il est stipulé qu'une « Attestation de livraison » est requise.
Gardien des données
La Directive concernant le partage de données en vertu des articles 11 et 12 stipule que le gardien des données est la personne qui reçoit les fichiers partagés de Statistique Canada et qui a la responsabilité opérationnelle, dans l'organisation, de la sécurité des renseignements contenus dans ces fichiers. Le personnel des programmes statistiques est tenu de mettre à jour les coordonnées de la personne-ressource de la partie destinataire chaque année. Pour les 42 fichiers de données partagés au cours des exercices 2011-2012 et 2012-2013, on a vérifié si le nom du bénéficiaire à qui le fichier de données avait été transmis était le même que celui qui figurait dans les coordonnées officielles. Au moyen d'un bilan documentaire et d'entrevues, nous avons confirmé que pour 41 des 42 fichiers de données, le nom du bénéficiaire à qui le fichier de données avait été transmis était le même que celui qui figurait dans les coordonnées. Les coordonnées du bénéficiaire pour un de ces fichiers n'ont pu être confirmées, puisque la coordination et la confirmation de livraison ont été faites par téléphone.
Il y a des pratiques de gestion des accords de partage de données et, dans l'ensemble, les programmes statistiques sont conformes aux politiques applicables du SCT, à celles de Statistique Canada, de même qu'aux exigences législatives.
Recommandation
Le statisticien en chef adjoint, Secteur des études analytiques, de la méthodologie et
- l'information transmise par dispositif de stockage portatif présente les paramètres de sécurité nécessaires à une transmission sécurisée et est conforme aux politiques applicables.
Réponse de la direction
La direction accepte la recommandation.
- Le directeur de la DGI veillera à ce que les renseignements sur les pratiques de sécurité concernant la transmission de données, tels que définis par les politiques et directives de sécurité informatique de StatCan, soient fournis dans la trousse d'APD.
Produits livrables et échéancier : La trousse d'APD sera produite d'ici mars 2014.
Annexes
Annexe A : Critères de l'audit
| Objectif du contrôle / contrôles de base / critères |
Sous-critères | Instrument de politique |
|---|---|---|
| 1. StatCan mise sur un cadre de contrôle de gestion adéquat et efficace pour veiller à ce que les processus de gestion des APD soient conçus uniformément et mis en œuvre en intégralité, et à ce qu'une surveillance continue des APD soit exercée | ||
| Gouvernance 1.1 L'orientation stratégique et les objectifs relatifs à la gestion des APD sont établis et clairement définis et communiqués (G3 et G4). |
1.1.1 L'orientation stratégique et les objectifs sont documentés. 1.1.2 Les processus et procédures existent, sont documentés et sont communiqués. |
Loi sur la statistique Guide de la Loi sur la statistique Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes Directive de Statistique Canada sur le partage de données en vertu des articles 11 et 12 Politique de Statistique Canada relative à la diffusion officielle |
| Responsabilité 1.2 Les pouvoirs, responsabilités et liens hiérarchiques sont formellement définis, clairs et communiqués. Une structure organisationnelle claire est établie et documentée. (AC-1; AC-2; AC-3; AC-4 et ST-13) |
1.2.1 Les tâches et les responsabilités de contrôle des employés en matière d'APD sont clairement définies, documentées et communiquées aux intervenants concernés. 1.2.2 La structure organisationnelle de gestion des APD est à jour et communiquée à grande échelle. 1.2.3 Le pouvoir est délégué formellement, et le pouvoir délégué est aligné sur les responsabilités des individus. Si possible, les fonctions incompatibles ne sont pas combinées. |
Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes Directive de Statistique Canada sur le partage de données en vertu des articles 11 et 12 |
| Gestion des risques 1.3 La direction détermine et évalue les contrôles actuels pour gérer ses risques et communique ses risques et ses stratégies de gestion des risques aux principaux intervenants. (RM-3 et RM-6) |
1.3.1 Des lignes directrices et des processus formels existent et sont appliqués pour faciliter la définition des contrôles en place pour gérer les risques recensés. 1.3.2 Les renseignements sur les risques sont régulièrement présentés aux comités de supervision et de gestion établis, sont analysés et sont intégrés aux principaux rapports de rendement. |
Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes Directive de Statistique Canada sur le partage de données en vertu des articles 11 et 12 Politique de Statistique Canada relative à la diffusion officielle Manuel des pratiques de sécurité de Statistique Canada Politique de Statistique Canada sur la sécurité des renseignements statistiques de nature délicate Politique de Statistique Canada sur les évaluations des facteurs relatifs à la vie privée Politique d'information des répondants aux enquêtes de Statistique Canada Politique de Statistique Canada sur la diffusion des microdonnées Politique de Statistique Canada sur la révélation discrétionnaire et lignes directrices connexes SCT – Politique gouvernementale sur la sécurité SCT – Norme sur la sécurité matérielle SCT – Directive sur la gestion de la sécurité à StatCan |
| 2. Les accords de partage de données à Statistique Canada font l'objet d'une gestion interne garantissant leur conformité aux politiques du SCT, aux politiques de Statistique Canada, ainsi qu'aux exigences législatives | ||
| Gérance 2.1 Les biens, y compris les pratiques et les mécanismes de gestion de l'information, sont gérés au cours d'un cycle de vie et sont protégés et maintenus conformément aux lois et à la réglementation. (ST-7; ST-8; ST-9; ST-11 et ST-12) |
2.1.1 Les plans sur la bonne gestion des APD ont été documentés et mis en œuvre et prévoient une gestion selon un échéancier à court et à long terme. 2.1.2 La responsabilité de la surveillance de la gestion de l'information est assignée clairement. 2.1.3 L'accès aux données, aux dossiers et aux renseignements est limité aux personnes autorisées par l'utilisation de contrôles de l'accès, comme un nom d'utilisateur et un mot de passe uniques. 2.1.4 Les données et les renseignements sur les dossiers, ainsi que l'accès aux renseignements, sont bien sécurisés conformément aux politiques et aux exigences législatives du SCT et de Statistique Canada. 2.1.5 Des procédures de préservation des biens de l'organisation au changement de tâches d'un employé existent et sont respectées. |
Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes Directive de Statistique Canada sur le partage de données en vertu des articles 11 et 12 Manuel des pratiques de sécurité de Statistique Canada Politique de Statistique Canada sur la sécurité des renseignements statistiques de nature délicate SCT – Politique gouvernementale sur la sécurité SCT – Norme sur la sécurité matérielle SCT – Directive sur la gestion de la sécurité à StatCan |
| 2.2 Les biens et les dossiers sont vérifiés périodiquement, et les rapports nécessaires sont communiqués au besoin (ST-14 et ST-20) | 2.2.1 La base de données d'APD est vérifiée périodiquement et comparée aux APD réels. 2.2.2 Les comparaisons entre les renseignements de la base de données et les APD réels sont examinées par un supérieur, et les écarts font l'objet d'un suivi rapide. La base de données est mise à jour au besoin. 2.2.3 Des rapports complets, précis, pertinents et à jour sur le statut des APD sont présentés au besoin. |
Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes Directive de Statistique Canada sur le partage de données en vertu des articles 11 et 12 Manuel des pratiques de sécurité de Statistique Canada Politique de Statistique Canada sur la sécurité des renseignements statistiques de nature délicate SCT – Politique gouvernementale sur la sécurité SCT – Norme sur la sécurité matérielle SCT – Directive sur la gestion de la sécurité à StatCan |
| Personnes 2.3 StatCan donne aux employés la formation, les outils, les ressources et les renseignements nécessaires pour soutenir l'exercice de leurs responsabilités. (PPL-4) |
2.3.1 Il existe un plan de formation et de perfectionnement convenable pour le traitement et la gestion des APD. 2.3.2 Les employés ont accès à un nombre suffisant d'outils, comme des logiciels, du matériel, des méthodes de travail et des procédures opérationnelles normalisées. 2.3.3 Il existe un processus de partage des renseignements pour soutenir la diffusion efficiente et ciblée de renseignements fiables et utiles aux bons intervenants. |
Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes Directive de Statistique Canada sur le partage de données en vertu des articles 11 et 12 |
| Services axés sur les citoyens 2.4 Il existe des lignes de communication entre StatCan, les utilisateurs et les autres intervenants externes, et StatCan met à profit la technologie de l'information pour améliorer le service et l'accès aux utilisateurs. (CFS-1 et CFS-4) |
2.4.1 Il existe des processus et mécanismes formels de communication qui soutiennent le partage de renseignements rapides, fiables et utiles aux utilisateurs, aux bénéficiaires et à d'autres intervenants externes. 2.4.2 Des mécanismes et des processus sont en place pour faciliter l'interopérabilité avec les utilisateurs et les partenaires. |
Critères de vérification du SCT relatifs au Cadre de responsabilisation de gestion : outil pour les vérificateurs internes |
Annexe B : Sélection de l'échantillon
| Division | Art. 12 | Art. 11 | Fichiers partagés en 2011-2012 et en 2012-2013 | Fichiers de données testés |
|---|---|---|---|---|
| Transports | 8 | 3 | 20 | 4 |
| Investissement, science et technologie | 7 | 0 | 15 | 4 |
| Agriculture | 28 | 9 | 17 | 3 |
| Centre des processus opérationnels spéciaux | 4 | 0 | 6 | 2 |
| Prix à la consommation | 2 | 1 | 0 | 0 |
| Commerce international | 0 | 0 | 0 | 0 |
| Prix à la production | 0 | 0 | 0 | 0 |
| Organisation et finances de l'industrie | 5 | 0 | 1 | 1 |
| Fabrication et Énergie | 18 | 0 | 254 | 9 |
| Industries de services | 2 | 0 | 2 | 1 |
| Commerce de distribution | 0 | 0 | 0 | 0 |
| Statistiques des entreprises | 0 | 0 | 0 | 0 |
| Comptes et statistique de l'environnement | 2 | 0 | 7 | 2 |
| Comptes économiques nationaux | 1 | 0 | 1 | 1 |
| Statistiques du secteur public | 1 | 0 | 0 | 0 |
| Comptes industriels | 0 | 0 | 0 | 0 |
| Statistiques et comptes internationaux | 0 | 0 | 0 | 0 |
| Statistiques sur le tourisme et l'éducation | 211 | 0 | 33 | 5 |
| Statistique du revenu | 22 | 0 | 0 | 0 |
| Statistique du travail | 1 | 0 | 0 | 0 |
| Enquêtes spéciales | 116 | 1 | 4 | 1 |
| Statistique de la santé | 59 | 1 | 195 | 8 |
| Centre canadien de la statistique juridique | 2 | 0 | 2 | 1 |
| Démographie | 0 | 0 | 0 | 0 |
| Accès aux microdonnées | 0 | 0 | 0 | 0 |
| Statistique autochtone et sociale | 6 | 0 | 0 | 0 |
| Nombre total d'APD | 495 | 15 | 557 | 42 |
Annexe C : Sigles
| Sigle | Description |
|---|---|
| APD | Accord de partage de données |
| CMV | Comité ministériel de vérification |
| SCT | Secrétariat du Conseil du Trésor |
| IVI | Institut des vérificateurs internes |
| SC | Statisticien en chef |
| DGI | Division de la gestion de l'information |
| SACD | Services d'accès et de contrôle des données |
| DSC | Division des systèmes de collecte |
| DPGC | Division de la planification et de la gestion de la collecte |
| DOTI | Division des opérations de technologie de l'information |
| DFE | Division de la fabrication et de l'énergie |
| TEC | Travaux en cours |
| ESDLOL | Ententes statistiques, dispositions législatives et octroi de licences |
| EFVP | Évaluations des facteurs relatifs à la vie privée |
| IRE | Information des répondants aux enquêtes |