Audit des accords de partage de données Santé, Vie saine et Aînés Manitoba

Contexte

La Division de la statistique de la santé (DSS) de Statistique Canada a pour mandat de fournir des données exactes, à jour et pertinentes sur la santé des Canadiens. La DSS fournit de l'information statistique sur la santé de la population, les déterminants de la santé ainsi que la portée et l'utilisation des ressources en soins de santé au Canada. L'information sur la santé sert à aider et à appuyer les planificateurs et les décideurs de tous les ordres de gouvernement dans le domaine de la santé, à soutenir les recherches démographiques et épidémiologiques, et à renseigner le public canadien sur l'état de santé de la population et le système de soins de santé. La DSS travaille en partenariat avec les registres provinciaux et territoriaux de la statistique de l'état civil et du cancer, de même qu'avec des fournisseurs et des utilisateurs de données aux niveaux fédéral (Santé Canada et l'Agence de la santé publique du Canada), provincial (ministères provinciaux de la Santé) et régional (régions sociosanitaires).

Pour réaliser son mandat, Statistique Canada conclut des accords de partage de données (APD) avec d'autres organisations en vertu des articles 11 et 12 de la Loi sur la statistique. Ces accords touchent presque toutes les enquêtes-entreprises ainsi que la majorité des enquêtes-ménages et prévoient certaines exceptions concernant la diffusion des renseignements confidentiels sur les répondants, avec ou sans leur consentement, à la condition que toutes les parties respectent les exigences prévues par la loi en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsque celui-ci entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage des données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.

Au cours des dernières années, les APD sont devenus un processus opérationnel clé en raison des défis liés à la protection des données et de leur confidentialité. Statistique Canada a conclu deux accords couvrant les enquêtes sur la santé avec Santé Manitoba, en application de l'article 12 et du paragraphe 17(2) de la Loi sur la statistique. Les enquêtes sur la santé menées dans le cadre de l'Enquête sur la santé dans les collectivités canadiennes, de l'Enquête nationale sur la santé de la population (ENSP) et de l'Enquête sur les personnes ayant une maladie chronique au Canada (EPMCC) sont visées par ces accords. Le deuxième accord concerne expressément la divulgation de l'information sur le volet nutrition de l'ESCC.

L'ESCC a pour objet de recueillir des renseignements sur l'état de santé, l'utilisation des soins de santé et les déterminants de la santé pour la population canadienne. Le premier volet de l'ESCC est une enquête annuelle réalisée auprès d'un vaste échantillon de répondants et conçue pour fournir des estimations fiables à l'échelle de la région sociosanitaire. Le deuxième volet est une enquête axée sur des sujets liés à la santé tels que la nutrition, la santé mentale et le vieillissement en santé, qui est réalisée à peu près tous les trois ans. L'enquête annuelle doit son caractère unique à la nature régionale de son contenu et de sa mise en œuvre.

L'ENSP est une enquête longitudinale qui fournit des renseignements uniques sur la santé des Canadiens. Le cycle final de cette enquête couvrait la période 2010-2011. Dans le cadre de cette enquête bisannuelle, les mêmes personnes fournissent des renseignements détaillés et à jour sur leur état de santé physique et mentale, leur utilisation des services de soins de santé, leurs activités physiques, leur vie au travail et leur environnement social. L'ENSP vise à recueillir des renseignements sur la santé de la population canadienne ainsi que des renseignements sociodémographiques connexes. La dernière édition permettra aux chercheurs d'accéder à neuf cycles de données longitudinales sur la santé afin d'examiner l'évolution de l'état de santé de la population canadienne entre 1994-1995 et 2010-2011.

L'EPMCC est une enquête transversale menée pour le compte de l'Agence de la santé publique du Canada qui permet de recueillir des renseignements sur l'expérience des Canadiens qui ont des problèmes de santé chroniques. L'EPMCC est produite tous les deux ou trois ans et couvre deux maladies chroniques par cycle d'enquête. Les objectifs de l'enquête sont les suivants :

• déterminer l'impact des problèmes de santé chroniques sur la qualité de vie;
• fournir plus de renseignements sur la façon dont les gens gèrent leurs problèmes de santé chroniques;
• déterminer les comportements influant sur la santé qui ont une incidence sur les effets de la maladie;
• identifier les obstacles à l'autogestion des problèmes de santé chroniques.

La dernière enquête remonte à 2014.

Le milieu de la recherche et d'autres professionnels de la santé font une grande utilisation de ces données. Les ministères fédéraux et provinciaux de la Santé et des Ressources humaines, les organismes de services sociaux et d'autres organismes gouvernementaux utilisent l'information recueillie auprès des répondants pour planifier, mettre en œuvre et évaluer les programmes visant à améliorer la santé de la population et l'efficacité des services de santé. Des organismes sans but lucratif et des chercheurs universitaires utilisent l'information pour réaliser des travaux de recherche sur les façons d'améliorer la santé.

Objectif de l'audit

L'objectif de l'audit est de fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que les modalités des accords sur le partage de données conclus par Statistique Canada et Santé Manitoba sont respectées.

Portée

La portée englobe un examen de la conformité aux modalités stipulées dans les APD afin d'assurer la protection de la confidentialité des renseignements de nature délicate recueillis. L'audit a porté plus particulièrement sur les mesures de protection de la confidentialité et de la sécurité (accès physique, stockage et transmission des données électroniques, entreposage physique, copie et rétention de l'information et gestion des dossiers) à Santé Manitoba afin d'assurer la protection des données et le respect de la confidentialité.

L'équipe d'audit a examiné tous les accords et contrats conclus avec de tierces parties par Santé Manitoba depuis la signature des deux nouveaux APD.

Approche et méthodologie

Le travail d'audit comprenait un examen des documents, des entrevues avec des cadres supérieurs et des membres du personnel, et un examen de la conformité aux politiques et lignes directrices applicables (voir l'annexe A – Critères de vérification pour connaître les détails.)

Les travaux sur le terrain suivants ont été exécutés :

• un examen et une évaluation des processus et procédures décrits dans les modalités des APD conclus avec Santé Manitoba, l'accent étant mis sur la présence et le respect des exigences de sécurité et sur le maintien de la confidentialité des données;
• la mise à l'essai des contrôles de l'application des systèmes et des procédures d'authentification et d'accès;
• un examen de l'accord conclu avec la seule tierce partie destinataire des données de Statistique Canada au moment de l'audit.

L'audit s'est déroulé conformément aux Normes de vérification du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors.

Pouvoirs

L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré de vérification et d'évaluation fondé sur les risques pour 2014-2015 à 2018-2019, qui a été approuvé par Statistique Canada.

Environnement de contrôle pour la gestion des accords sur le partage de données

Les pouvoirs, responsabilités et obligations redditionnelles doivent être clairement définis et compris à tous les niveaux pour appuyer une gestion efficace des modalités des APD généraux. Il faut mettre en place un mécanisme de surveillance des pratiques, comme le mentionnent les modalités des APD généraux, afin de détecter les divulgations non désirées qui feraient augmenter les risques sur le plan opérationnel.

Les pouvoirs sont définis

Dans l'exercice de son mandat, Statistique Canada conclut des APD statistiques avec d'autres organisations aux termes des articles 11 et 12 de la Loi sur la statistique.Les rôles et responsabilités liés aux exigences en matière d'élaboration, de mise en œuvre et de surveillance des APD sont énoncés dans la Directive sur le partage des données en vertu des articles 11 et 12. Cette directive précise que la Division de la gestion de l'information (DGI), de concert avec les Services juridiques, rédige les accords de partage de données à la demande des directeurs des programmes statistiques. La DGI doit également fournir le soutien nécessaire aux gestionnaires au moment de l'élaboration de nouveaux accords sur le partage de données ou d'accords modifiés avec les destinataires, en application de l'article 12 de la Loi sur la statistique. Les divisions spécialisées sont chargées de communiquer avec les organisations destinataires durant les négociations et la rédaction des accords.

Les rôles et procédures liés à la gestion des données de Statistique Canada sont clairement établis à Santé Manitoba, mais ils doivent être documentés.

Les données confidentielles de Statistique Canada sont gérées par deux directions de Santé Manitoba —la Direction de la gestion de l'information sur la santé (DGIS) et la Direction des systèmes d'information (DSI) — comme suit :

• Le directeur général de la DGIS à Santé Manitoba assume la responsabilité globale du cycle de vie des données de Statistique Canada. La gestionnaire, Systèmes d'information de gestion, gestion de données et développement, qui relève du directeur général de la DGIS, est l'administratrice de données chargé de gérer les APD et les données de Statistique Canada.
• L'administrateur des bases de données, qui relève de l'administratrice de données, s'occupe du traitement et du stockage des données, contrôle l'accès au serveur UNIX où les données de Statistique Canada sont stockées, et prépare la transmission des données de Statistique Canada à envoyer à de tierces parties.
• Deux analystes statistiques principaux relevant du directeur, Analytique et recherche, à la DGIS sont chargés d'analyser les données de Statistique Canada et parfois de fournir des données agrégées à d'autres divisions internes au besoin.
• La DSI de Santé Manitoba est chargée d'assurer la maintenance et la sécurité du serveur UNIX.

La DGIS de Santé Manitoba est un groupe stable depuis quelques années. Il n'y a pas eu beaucoup de roulement du personnel exerçant des fonctions liées à la gestion des données de Statistique Canada, et les employés comprennent leurs rôles. Cependant, ces rôles, responsabilités et procédures n'ont pas été officiellement documentés. Bien que ce manque de documentation n'ait pas causé de problème jusqu'ici, l'équipe d'audit a appris que l'administratrice de données avait annoncé qu'elle prendrait sa retraite dans l'année à venir. Il est donc essentiel de transférer les connaissances et de documenter les rôles et responsabilités avant sa retraite.

Les responsabilités de l'administratrice de données prescrites dans les APD ont été mises en œuvre, mais celle-ci n'a pas encore signé d'entente de confidentialité.

Comme il est stipulé dans l'annexe C des APD, l'administratrice de données doit satisfaire à trois exigences clés :

1. préparer un document sur la confidentialité et veiller à ce que toutes les personnes qui auront accès aux données de Statistique Canada le signent;
2. tenir un registre des fichiers de données reçus de Statistique Canada;
3. tenir un registre de toutes les personnes autorisées à accéder aux fichiers de données.

L'annexe C stipule que l'administratrice de données doit « préparer un document à l'intention des employés et des sous-traitants de la partie destinataire dans lequel on décrit les modalités régissant l'usage des renseignements, ainsi que les procédures à respecter pour envoyer, recevoir, manipuler et stocker les renseignements (ci-après appelés le "document sur la confidentialité") ». Avant d'accorder un accès à des renseignements de Statistique Canada, l'administratrice de données doit s'assurer que tous les employés et sous-traitants qui doivent accéder à ces renseignements ont convenu par écrit de respecter les modalités des APD, en reconnaissant par leur signature qu'ils ont lu et compris les modalités des APD telles qu'elles sont stipulées dans le document sur la confidentialité et qu'ils s'engagent à les respecter.

L'équipe d'audit a constaté qu'il existe un document sur la confidentialité, qui définit les modalités régissant l'utilisation des renseignements, et que ce document a été signé par tous les employés autorisés à accéder aux données de Statistique Canada, à une exception près : l'administratrice de données avait supposé, à tort, que certains documents signés avec Statistique Canada au moment de la nomination à son poste lui évitaient d'avoir à signer le document sur la confidentialité.

Le registre des fichiers de données reçus de Statistique Canada et le registre des personnes autorisées à accéder aux fichiers de données de Statistique Canada ont été mis en œuvre et sont utilisés à Santé Manitoba.

Ce n'est que récemment que le personnel concerné a été informé des exigences des APD en matière de conformité.

La DSI de Santé Manitoba est responsable de la maintenance et de la sécurité du serveur UNIX où les données de Statistique Canada sont stockées. La DSI doit se conformer aux exigences globales de Santé Manitoba en ce qui concerne la sécurité des renseignements à diffusion restreinte afin de réduire le risque de non-conformité aux exigences en matière de sécurité des APD. Ce n'est que récemment que les employés de la DSI ont été informés de l'existence des APD et de leurs exigences en matière de sécurité, ce qui pouvait entraîner un risque que les infractions potentielles aux modalités des APD passent inaperçues.

Il existe des processus pour l'activation de l'accès au serveur UNIX et pour le partage des données agrégées avec des divisions internes de la DGIS.

Des entrevues ont révélé que le directeur général de la DGIS avait approuvé la création d'un nouveau compte UNIX pour les nouveaux employés et que l'administrateur des bases de données avait présenté une demande en ce sens par écrit à la DSI. Ce processus n'a pas été éprouvé, car cela fait plusieurs années qu'il n'y a pas eu d'employés ayant besoin d'accéder au serveur UNIX. Une fois qu'un nouveau compte UNIX a été créé par la DSI, l'administrateur des bases de données peut activer ou désactiver l'accès de l'employé au serveur UNIX. Tous les accès au serveur UNIX sont consignés par l'administrateur des bases de données.

Les principaux utilisateurs des données de Statistique Canada à la DGIS sont deux analystes statistiques principaux. Un examen du registre d'accès pour les deux dernières années a indiqué que l'accès avait été accordé aux analystes seulement trois fois durant cette période. L'audit a révélé que, lorsque les analystes demandent que leur accès au serveur UNIX soit activé, la demande est présentée de vive voix directement à l'administrateur des bases de données, sans que l'autorisation écrite d'un superviseur soit nécessaire. Comme leurs bureaux respectifs sont très proches les uns des autres, les analystes n'ont qu'à traverser le corridor pour se rendre au bureau de l'administrateur des bases de données et demander l'accès. Bien qu'il ne s'agisse pas nécessairement d'une exigence des APD, il serait prudent de mettre en place des contrôles plus conventionnels de l'accès aux données de Statistique Canada.

Les analystes doivent avoir accès aux données de Statistique Canada stockées sur le serveur UNIX afin d'analyser et de fournir des données agrégées à l'interne à Santé Manitoba, par exemple dans le cadre de son mandat de participer aux évaluations quinquennales de la santé des collectivités. Des entrevues ont révélé que les analystes demandent parfois à un collègue ou à leur superviseur d'examiner les données avant de les envoyer à l'interne par courriel et que le superviseur est mis en copie sur le courriel. Les analystes ne sont toutefois pas tenus d'obtenir l'approbation de leur superviseur avant d'envoyer des données agrégées. Bien qu'il ne s'agisse pas d'une exigence des APD, il serait prudent d'exiger que les employés obtiennent l'autorisation écrite d'un superviseur avant de distribuer des données agrégées. L'équipe d'audit a examiné un rapport de données agrégées fourni à l'interne et constaté que celui-ci ne contenait aucun identificateur personnel.

Les accords de Santé Manitoba avec de tierces parties contiennent une clause prévoyant des inspections ou des audits.

Les clauses touchant la surveillance sont prescrites dans les APD par Statistique Canada. Les APD stipulent de plus que les accords que Santé Manitoba conclut avec de tierces parties « doivent comporter une clause stipulant le droit de Statistique Canada ou de l'organisation réceptrice de vérifier la conformité aux modalités du présent accord ».

Le paragraphe 6.2.4 des APD permet à Santé Manitoba de partager l'information avec le Centre d'élaboration de la politique des soins de santé du Manitoba (CEPSSM) à l'Université du Manitoba. Le CEPSSM n'est pas une entité légale à part entière, mais une section de recherche de l'Université du Manitoba et la seule tierce partie destinataire des données de Statistique Canada.

En novembre 2006, Santé Manitoba a signé une entente de partage de l'information et de protection des renseignements personnels avec l'Université du Manitoba, qui permet à Santé Manitoba de partager l'information avec le CEPSSM. Le CEPSSM est censé aider Santé Manitoba à coordonner l'exécution, la planification, l'évaluation et la surveillance des recherches sur la santé en faisant office de point de contact pour un programme d'analyse des données pour la recherche, la planification, la surveillance et l'évaluation de la prestation des soins de santé, les questions de santé émergentes et les déterminants généraux de la santé, principalement au Manitoba.

Outre le contrat susmentionné, en octobre 2014, Santé Manitoba et l'Université du Manitoba ont signé une lettre d'entente expressément pour le transfert des données de l'Enquête sur la santé dans les collectivités canadiennes et leur utilisation par le CEPSSM. Cette lettre stipule que le CEPSSM doit se conformer aux exigences en matière de confidentialité et de sécurité des APD signés entre Santé Manitoba et Statistique Canada en février 2014. Ces exigences sont annexées à la lettre d'entente.

L'entente de partage de l'information et de protection des renseignements personnels conclue entre Santé Manitoba et l'Université du Manitoba contient une clause d'audit qui autorise Santé Manitoba à accéder aux locaux du CEPSSM et lui donne le pouvoir d'inspecter, d'examiner ou d'auditer les enregistrements ou renseignements, les pratiques en matière de protection des renseignements personnels, les politiques, les procédures et les dispositions de sécurité du CEPSSM. Cependant, Santé Manitoba n'a pas établi de plan pour exercer son droit d'inspecter ou d'auditer la conformité du CEPSSM.

Gérance des données

Des protocoles et contrôles internes pour une saine gestion des données doivent être en place afin d'assurer la protection des données tirées des enquêtes sur la santé de Statistique Canada sur toute la durée du cycle de vie.

Des processus sont en place et surveillés afin de satisfaire aux exigences stipulées dans les accords sur le partage de données.

L'audit a révélé que des processus sont en place à Santé Manitoba pour satisfaire aux exigences stipulées dans les accords sur le partage de données (APD), mais qu'ils ne sont pas officiellement documentés, et que les employés de la Direction de la gestion de l'information sur la santé (DGIS) comprennent et suivent les processus de réception, de stockage, de traitement et de transmission des données de Statistique Canada. Ces membres du personnel sont des employés de longue date qui connaissent très bien leurs fonctions.

Statistique Canada transmet les fichiers de données par voie électronique à l'administratrice de données à Santé Manitoba. Les fichiers en question sont protégés par mot de passe et chiffrés durant le transfert. Lorsqu'un fichier de données est reçu de Statistique Canada, l'administratrice de données est avisée de la présence du fichier dans le coffre-fort électronique et demande un mot de passe à Statistique Canada afin de pouvoir accéder au fichier. Elle envoie ensuite un accusé de réception à Statistique Canada et met à jour le registre des fichiers reçus de Statistique Canada.

Le fichier de données est téléversé par l'administratrice de données sur un lecteur réseau sécurisé dans un dossier distinct de Statistique Canada réservé à la DGIS. L'administrateur des bases de données accède à ces fichiers à partir du dossier réseau et les enregistre dans la base de données UNIX où toutes les données de Statistique Canada sont stockées. L'administrateur des bases de données, qui est la seule personne à pouvoir activer l'accès au serveur UNIX, tient un registre de tous les employés auxquels l'accès a été accordé.

Partage des données de Statistique Canada avec de tierces parties

Toutes les données partagées avec des parties de l'extérieur doivent être approuvées par l'administratrice de données de Santé Manitoba, qui prend les dispositions matérielles nécessaires pour que les données de Statistique Canada soient transmises sur un CD chiffré au Centre d'élaboration de la politique des soins de santé du Manitoba (CEPSSM) de l'Université du Manitoba. L'administrateur des bases de données stocke les données compressées et protégées par mot de passe sur un CD chiffré. L'administratrice de données fait ensuite livrer le CD au CEPSSM par messager cautionné. La personne-ressource du CEPSSM qui reçoit le CD doit contacter l'administratrice de données de Santé Manitoba pour obtenir un mot de passe afin de pouvoir ouvrir le fichier.

Bien que le paragraphe 6.2.4 des APD autorise Santé Manitoba à partager des identificateurs personnels avec le CEPSSM, l'examen du fichier de l'Enquête sur la santé dans les collectivités canadiennes 2012 envoyé au CEPSSM en 2013 (seul fichier partagé au cours des deux dernières années) a révélé que celui-ci ne contenait aucun identificateur personnel.

Un processus de gestion des risques est en place à Santé Manitoba pour identifier et surveiller les risques.

L'audit a révélé qu'un processus de gestion des risques avait été mis en œuvre à Santé Manitoba au cours des deux dernières années. La Direction des services de gestion est chargée de fournir le cadre global de gestion des risques à l'organisation et d'aider les autres directions à préparer la section « gestion des risques » de leurs plans de travail annuels. Le processus prévoit que chaque direction cerne les risques auxquels elle est exposée et prépare des plans d'action afin d'atténuer ceux-ci.

Le directeur général de chaque direction et le sous-ministre adjoint devant rendre des comptes doivent signer une déclaration au sous-ministre des responsabilités liées au plan de gestion des risques qui atteste que toutes les catégories de risques, les plans d'action appropriés et les stratégies d'atténuation ont été pris en compte dans l'évaluation des risques et que le sous-ministre adjoint a été mis au courant et veillera à ce que la direction procède à une mise à jour périodique de son évaluation des risques.

À l'heure actuelle, le processus d'évaluation des risques de Santé Manitoba en est à l'étape où chaque direction cerne ses risques mais où les risques n'ont pas encore été regroupés au niveau du ministère dans son ensemble. Il n'y a ni comité de gestion des risques ni politique intégrée officielle de gestion des risques; ce processus en est encore à un stade précoce de développement. La direction a indiqué qu'elle était en train d'examiner ces outils et d'évaluer les risques à l'échelle du ministère.

L'équipe de direction de la DGIS cerne et évalue les risques de non-conformité aux APD de manière proactive.

La DGIS a atténué les risques de non-conformité aux exigences en matière de sécurité des APD en faisant une analyse approfondie des exigences mises à jour des nouveaux APD généraux et, au besoin, en mettant à jour les procédures opérationnelles internes afin d'assurer la conformité aux modalités des APD. La DGIS a également demandé au CEPSSM d'effectuer une analyse semblable afin de vérifier s'il se conformait lui aussi aux APD. L'équipe d'audit a examiné ces deux analyses et constaté que chaque organisation répondait aux exigences en matière de sécurité des APD.

Santé Manitoba a élaboré des politiques et offre une formation continue afin d'atténuer l'exposition aux risques.

Un document clé utilisé à Santé Manitoba — qui énonce les politiques et procédures que les employés doivent suivre en vertu de la Loi sur les renseignements médicaux personnels (LRMP) — est le manuel de la LRMP. Ce document de politique en usage à Santé Manitoba vise à protéger les renseignements personnels de nature délicate au sein de l'organisation. Par exemple, la politique VIII, qui porte sur la sécurité des renseignements médicaux personnels, répertorie les procédures et mesures de protection en place pour protéger les renseignements personnels. La politique IX précise les procédures à suivre en cas d'infraction à la sécurité des renseignements médicaux personnels. Cette politique permet à Santé Manitoba, en tant que dépositaire en vertu de la LRMP, de répondre aux plaintes et de mener des enquêtes sur les infractions à la sécurité des renseignements médicaux personnels, en conformité avec les exigences de la LRMP et du Règlement sur les renseignements médicaux personnels. La politique expose les mesures à prendre pour les différents types d'infractions, explique comment procéder à une enquête sur les infractions à la sécurité et indique les formulaires à remplir. En cas d'infraction, la direction concernée doit remplir un formulaire de rapport d'infraction à la sécurité et le remettre au sous-ministre adjoint et au secrétariat législatif, avec les constatations de l'enquête. Les entrevues menées n'ont révélé aucun infraction liée aux données de Statistique Canada.

Le secrétariat législatif de Santé Manitoba fournit des directives au ministère afin d'assurer sa conformité aux nombreuses lois dont il est responsable, y compris la LRMP. Il offre une formation obligatoire sur la LRMP à tous les nouveaux employés et une formation d'appoint triennale à tout le personnel.

Sécurité matérielle et sécurité des technologies de l'information (TI)

Les renseignements, sur papier ou sous forme électronique, doivent être contrôlés et protégés contre les pertes, les vols, les incidents compromettants et les divulgations inappropriées. L'accès aux données doit être accordé uniquement aux employés ou sous-traitants qui ont « besoin de savoir » afin de pouvoir exercer leurs fonctions.

Des contrôles d'accès logique sont en place à Santé Manitoba.

La mise à l'essai des contrôles d'accès logique avec l'administrateur des bases de données a révélé qu'il fallait entrer un mot de passe pour accéder au réseau du gouvernement du Manitoba et un mot de passe distinct pour accéder au serveur UNIX où les données de Statistique Canada sont stockées. L'accès au serveur UNIX est réservé à un nombre limité d'employés, et l'administrateur des bases de données désactive l'accès des membres du personnel qui n'utilisent pas les données. L'administrateur des bases de données met à jour le registre chaque fois qu'une personne est autorisée à accéder aux données du serveur UNIX, comme l'exigent les accords sur le partage de données (APD).

L'accès au dossier partagé de Statistique Canada sur le lecteur réseau de Santé Manitoba doit être limité aux personnes qui ont besoin d'accéder aux données de Statistique Canada.

Lorsque l'administratrice de données reçoit un fichier de données de Statistique Canada, elle téléverse ce fichier sur un lecteur réseau sécurisé temporaire dans un dossier désigné de Statistique Canada à l'intérieur du répertoire de la Direction de la gestion de l'information sur la santé (DGIS). L'administrateur des bases de données accède au fichier à partir du dossier et l'enregistre dans la base de données UNIX où toutes les données de Statistique Canada sont stockées. Une fois le fichier enregistré sur le serveur UNIX, l'administrateur des bases de données le supprime du dossier sur le lecteur réseau. En général, il ne se passe pas plus d'un ou deux jours entre le moment où les fichiers sont stockés temporairement dans le dossier du lecteur par l'administratrice de données et celui où ils sont supprimés par l'administrateur des bases de données. Cependant, durant cette période, les données sont accessibles à une vingtaine d'employés de la DGIS.

Les essais effectués durant l'audit ont révélé que deux fichiers de données n'avaient pas été supprimés du dossier réseau partagé et que les données étaient accessibles à tous les employés de la DGIS. Les deux fichiers ont été supprimés du dossier partagé lorsque cette omission a été découverte durant l'audit. L'accès doit être limité aux personnes qui doivent travailler avec les données de Statistique Canada et qui ont signé une entente de confidentialité.

L'accès matériel est sécurisé.

Les données de Statistique Canada sont stockées à deux endroits à Santé Manitoba : la salle des serveurs de la Direction des services d'information (DSI), qui abrite le serveur UNIX où les données de Statistique Canada sont stockées, et la DGIS, où le personnel accède aux données.

L'accès physique aux locaux de Santé Manitoba est contrôlé par des systèmes d'accès par carte. Chaque zone sécurisée (DSI et DGIS) est protégée par des portes fermées à clé munies d'un lecteur de cartes. Les employés doivent balayer leurs cartes pour entrer dans la zone d'accès restreint. Les visiteurs doivent signer le registre au poste de sécurité du hall principal, obtenir un badge de visiteur et être accompagnés en tout temps par un membre autorisé du personnel.

Les interviews ont révélé que des gardiens de sécurité sont de service chaque jour de 6 h à minuit (pour un total de 18 heures) dans le hall principal de l'immeuble de Santé Manitoba. Les gardiens de sécurité de l'immeuble doivent surveiller l'accès à l'immeuble et tenir un registre de tous les visiteurs. Lorsqu'ils ne sont pas de service, l'immeuble est fermé à clé et accessible uniquement aux détenteurs de cartes d'accès. Les registres d'accès sont vérifiés par les gardiens de sécurité de l'immeuble, et des caméras de sécurité sont installées dans les corridors. En cas de licenciement d'un employé, les gestionnaires doivent prendre les mesures indiquées sur la liste de contrôle pour le personnel partant et veiller à ce que l'employé licencié n'ait plus accès aux systèmes ni aux locaux physiques.

Le serveur UNIX où les données de Statistique Canada sont stockées se trouve dans la salle des serveurs, et il faut passer par le centre de contrôle pour y accéder. L'accès à ces pièces est limité à une trentaine d'employés de la DSI et parfois à quelques entrepreneurs et fournisseurs inscrits. Tous les visiteurs qui entrent doivent signer le registre des visiteurs qui se trouve au centre de contrôle.

Des caméras sont placées à l'extérieur de chacune de ces zones sécurisées pour surveiller les personnes qui y entrent. Toute personne qui entrerait par effraction dans une de ces pièces serait détectée par une alarme, qui alerterait le personnel de sécurité de l'immeuble. Un registre de l'accès par carte au centre de contrôle est généré et examiné chaque mois par l'agent de sécurité des TI de la DSI.

Des mesures de sécurité sont en place pour la copie et la rétention des renseignements et la gestion des enregistrements.

La politique VIII du manuel sur la Loi sur les renseignements médicaux personnels exige que les données de nature délicate retirées d'un environnement sécurisé soient chiffrées. En outre, la politique de Santé Manitoba sur les processus d'utilisation secondaire et de divulgation pour les demandes spéciales stipule que seules les données agrégées peuvent être transmises. Les données qui contiennent des quasi identificateurs doivent être transmises sur un CD chiffré.

Il est impossible d'accéder directement aux données de Statistique Canada ou de les supprimer directement des serveurs, car ceux-ci n'ont pas de ports USB. La sécurité des serveurs est assurée par de multiples pare-feu, des routeurs, des commutateurs, des détecteurs d'intrusion, des détecteurs de virus et la surveillance du réseau. Le contenu du serveur UNIX est sauvegardé chaque jour sur des bandes chiffrées entreposées sur place et envoyées chaque semaine à une entreprise d'entreposage privée.

Il y a trois niveaux de sécurité des données à Santé Manitoba : public, interne et à diffusion restreinte. Les données de Statistique Canada sont classées comme étant à diffusion restreinte (plus haut niveau de sécurité). Tous les documents sont déchiquetés et détruits conformément aux exigences applicables aux données à diffusion restreinte qui sont énoncées dans les normes et procédures de destruction des médias électroniques du gouvernement du Manitoba. On utilise les services d'une entreprise privée de déchiquetage pour la destruction sécurisée des renseignements confidentiels.

Des clauses régissant l'élimination et le retour ou la destruction des données partagées qui ne sont plus utilisées sont incluses dans les APD ainsi que dans l'accord avec le Centre d'élaboration de la politique des soins de santé du Manitoba de l'Université du Manitoba.

Annexe A : Critères d'audit

Annexe B : Acronymes