Plateforme d'infrastructure infonuagique - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

La présente évaluation des facteurs relatifs à la vie privée traitera des risques pour la vie privée et des mesures d'atténuation des risques associés à la plateforme d'infrastructure infonuagique. Toute application et tout système qui traite des renseignements personnels identificatoires feront l'objet d'une analyse approfondie pour évaluer les risques pour la vie privée, la confidentialité et la sécurité afin de déterminer si des évaluations distinctes des facteurs relatifs à la vie privée seront requises. Le projet d'habilitation des services infonuagiques applique toutes les politiques pertinentes des organismes centraux et de Statistique Canada en matière de protection de la vie privée dans le contexte de la plateforme infonuagique. Par conséquent, la présente évaluation des facteurs relatifs à la vie privée s'articulera autour des deux aspects suivants, qui sont importants pour la protection des renseignements personnels identificatoires : la gestion de l'identité et de l'accès ainsi que les audits et la production de rapports.

Objectif

Une évaluation des facteurs relatifs à la vie privée a été menée pour la plateforme d'infrastructure infonuagique afin de déterminer si cette initiative soulève des problèmes sur le plan de la protection de la vie privée, de la confidentialité et de la sécurité, et, le cas échéant, de formuler des recommandations en vue de les résoudre ou de les atténuer. Elle sert également à démontrer la façon dont la plateforme d'infrastructure infonuagique répond aux principes de nécessité et de proportionnalité.

Description

Statistique Canada a créé une plateforme d'infrastructure infonuagique hébergée dans un centre de données infonuagiques Microsoft Azure autorisé par le gouvernement du Canada. Cette plateforme d'infrastructure infonuagique a été autorisée pour la protection de l'information catégorisée jusqu'au niveau Protégé B, inclusivement. « Protégé B » désigne des renseignements de nature délicate. Les renseignements de nature délicate comprennent les renseignements personnels (par exemple, les dossiers des Ressources humaines), les renseignements sur l'industrie (par exemple, les secrets commerciaux détenus en fiducie) et les renseignements gouvernementaux de nature délicate (par exemple, les présentations au Conseil du Trésor).La conservation de documents classifiés Secret ou Très secret dans le nuage ne sera pas autorisée. La plateforme d'infrastructure infonuagique jette les bases sur lesquelles les applications et les systèmes infonuagiques futurs renfermant des renseignements personnels identificatoires pourront être créés de façon sécuritaire et auxquels les utilisateurs autorisés pourront accéder en toute sécurité. Cette évaluation portera sur les risques liés à la protection de la vie privée associés à cette plateforme d'infrastructure infonuagique. Plus précisément, elle mettra l'accent sur deux des aspects sous-jacents de l'infrastructure qui sont essentiels à la protection de la vie privée, à savoir la gestion de l'identité et de l'accès ainsi que les audits et la production de rapports. Des protocoles sont en place pour détecter, déclarer et analyser les incidents, ainsi que pour intervenir, comme dans le cas d'une atteinte à la vie privée. Dans ce dernier cas, des mesures correctives seront prises, et tous les utilisateurs touchés en seront avisés afin de minimiser les répercussions sur eux.

Par le passé, Statistique Canada stockait les renseignements et les applications et y accédait au moyen de centres de données appartenant au gouvernement ou loués. Le personnel autorisé avait alors accès aux renseignements et aux applications au moyen des connexions aux réseaux privés fournies par les entreprises de télécommunications. En raison des risques pour la protection de la vie privée et la sécurité liés au stockage et au traitement de renseignements personnels identificatoires, ces centres de données ont été évalués et autorisés à stocker et à traiter de l'information catégorisée jusqu'au niveau Protégé B, inclusivement. La prestation de services de technologie de l'information de cette façon nécessite l'utilisation d'une multitude de processus désuets élaborés pour gérer les anciens environnements et les infrastructures de centres de données qui s'y trouvent.

La protection des renseignements personnels identificatoires est une priorité qui doit être protégée tout au long de leur cycle de vie. La sécurité joue un rôle important dans l'amélioration de la protection de la vie privée et, bien qu'elles soient étroitement liées, la protection de la vie privée et la sécurité sont des disciplines indépendantes et distinctes. Le gouvernement du Canada s'est attaqué à ces risques liés au nuage en publiant des mesures de protection obligatoires qui doivent être mises en œuvre lors de l'accès, du stockage et du traitement de renseignements personnels identificatoires provenant de fournisseurs de services infonuagiques autorisés. Les organismes du gouvernement du Canada responsables de la publication de ces mesures de protection obligatoires sont le Centre canadien pour la cybersécurité, le Secrétariat du Conseil du Trésor du Canada et Services partagés Canada. Avec leur aide, Statistique Canada a adopté une approche coordonnée pour cerner et gérer les risques liés à la protection de la vie privée et à la sécurité que pose le nuage. Statistique Canada a créé un environnement infonuagique comportant des contrôles obligatoires de protection de la vie privée et de la sécurité pour les renseignements classifiés jusqu'au Protégé B, inclusivement, selon les directives d'une publication fédérale intitulée La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie. Il s'agit d'un catalogue des contrôles de protection de la vie privée et de la sécurité utilisés pour protéger le gouvernement du Canada et ses renseignements détenus contre les menaces et les risques. La plateforme d'infrastructure infonuagique jette les bases sur lesquelles les futures applications informatiques infonuagiques utilisées par Statistique Canada peuvent être développées et mises à la disposition des utilisateurs autorisés. Elle permettra de lancer des projets infonuagiques en réalisant d'importantes économies tout en augmentant en toute sécurité la disponibilité, la fiabilité, la sûreté et la vitesse du service.

Avant que les intervenants internes ou externes (exemples d'intervenants externes : chercheurs universitaires, chercheurs de bureaux de statistique provinciaux, etc.) puissent accéder à ces applications et services infonuagiques, ils doivent se connecter à un système centralisé de gestion de l'identité et de l'accès. Cet aspect de l'infrastructure infonuagique enregistre l'identité de l'utilisateur, son activité et d'autres renseignements pertinents. Les renseignements consignés font l'objet d'audits et de rapports. Par conséquent, la présente évaluation des facteurs relatifs à la vie privée s'articulera autour des deux aspects suivants, qui sont importants pour la protection des renseignements personnels identificatoires : la gestion de l'identité et de l'accès ainsi que les audits et la production de rapports.

Gestion de l'identité et de l'accès

Le but de la gestion de l'identité et de l'accès consiste à veiller à ce que seules les personnes autorisées ayant un besoin de travail essentiel au mandat puissent avoir accès aux renseignements et aux données appropriés. Cette pratique fait en sorte que l'accès aux renseignements personnels identificatoires est réservé aux employés qui doivent les connaître pour s'acquitter de leurs fonctions et responsabilités professionnelles. À cette fin, des contrôles de sécurité stricts en matière d'authentification et d'autorisation ont été mis en place afin d'atténuer le risque de divulgation non autorisée de renseignements personnels identificatoires. Les outils de gestion de l'identité et de l'accès sont gérés de façon centralisée, et tous les renseignements pertinents, y compris le prénom et le nom de famille de l'utilisateur, sont consignés dans un registre aux fins des activités futures d'audit et de production de rapports.

Audits et rapports

La plateforme d'infrastructure infonuagique de Statistique Canada a mis en œuvre d'importantes capacités de journalisation, d'audit et de production de rapports. Ensemble, ces capacités permettent à Statistique Canada de conserver la confiance du public dans sa gérance des données, en surveillant toujours les applications et les services auxquels il a eu accès et à quelles fins. Les registres peuvent être conservés jusqu'à deux ans ou plus, selon les besoins.

Identification et catégorisation des secteurs de risque

L'ÉFVP évalue aussi le niveau de risque potentiel (le niveau 1 représente le plus faible niveau de risque potentiel, et le niveau 4 représente le plus haut niveau) associé aux secteurs de risque suivants :

L'ÉFVP évalue aussi le niveau de risque potentiel (le niveau 1 représente le plus faible niveau de risque potentiel, et le niveau 4 représente le plus haut niveau) associé aux secteurs de risque suivants :
  Échelle de risque
Type de programme ou d'activité
Programme ou activité qui ne nécessitent pas la prise d'une décision concernant une personne identifiable.
1
Type de renseignements personnels recueillis et contexte
Seuls les renseignements personnels, qui ne sont pas de nature délicate selon le contexte, recueillis directement auprès de la personne ou fournis avec son consentement aux fins de divulgation en vertu d'un programme autorisé.
1
Participation des partenaires et du secteur privé au programme ou à l'activité
Organisations du secteur privé, organisations internationales ou gouvernements étrangers
4
Durée du programme ou de l'activité
Programme ou activité à long terme
3
Personnes concernées par le programme
Les renseignements personnels utilisés à des fins administratives externes dans le cadre du programme touchent certaines personnes.
3
Transmission des renseignements personnels
Les renseignements personnels sont transmis à l'aide de technologies sans fil.
4
Technologie et protection des renseignements personnels
Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pied afin de créer, recueillir ou traiter des renseignements personnels dans le but de soutenir le programme ou l'activité?
Oui, la plateforme offre de nouvelles solutions et de nouveaux services pour fournir du soutien infrastructurel aux applications et services infonuagiques.
Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, nécessite la modification d'anciens systèmes de technologie de l'information?
Non.
Questions propres aux technologies et à la protection de la vie privée
Indiquer si le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :
  • Méthodes d'identification améliorées (p. ex. technologie biométrique)
  • Recours à la surveillance
  • Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances
Oui, le centre de données Microsoft Azure, la plateforme d'infrastructure infonuagique de Statistique Canada et le réseau privé entre Statistique Canada et le centre de données infonuagiques Microsoft Azure ont tous été évalués par les entités appropriées du gouvernement du Canada et autorisés à transmettre, stocker et traiter les renseignements personnels identificatoires classifiés jusqu'au niveau Protégé B, inclusivement. Tous les contrôles techniques, opérationnels et de gestion concernant la protection de la vie privée et la sécurité pour les renseignements personnels identificatoires ont été mis en œuvre; par exemple, l'authentification à facteurs multiples a été mise en œuvre, de même que le niveau requis de journalisation, de surveillance, de vérification et de déclaration des activités des utilisateurs.
Risque potentiel qu'en cas d'atteinte à la vie privée, il y aura une incidence sur la personne ou l'employé.
Les aspects visés par la présente évaluation des facteurs relatifs à la vie privée (gestion de l'identité et de l'accès, audits et journalisation) traitent et stockent une quantité limitée de renseignements personnels (p. ex. nom d'utilisateur, heure d'ouverture de session, prénom et nom de famille). L'incidence d'une atteinte est faible.
Risque potentiel pour l'établissement institutionnel en cas d'atteinte à la vie privée.
L'incidence sur l'établissement institutionnel est jugée faible en raison des contrôles de sécurité mis en œuvre.

Conclusion

Cette évaluation de la plateforme d'infrastructure infonuagique n'a mis au jour aucun risque relatif à la vie privée qui ne puisse être géré au moyen des mesures de protection existantes. Elle démontre également que les renseignements personnels ou de nature délicate recueillis dans le cadre de cette initiative sont nécessaires et proportionnels à son but précis.