Introduction
Microsoft 365 est une version infonuagique des outils de productivité de Microsoft Office qui est utilisée à l'échelle de l'organisation et qui permet de créer des documents, des présentations et des feuilles de calcul électroniques pour gérer des courriels, planifier du travail et effectuer d'autres tâches administratives courantes. Cette suite intégrée d'outils appuie les activités quotidiennes des employés de Statistique Canada, y compris la collaboration au sein de l'organisme.
Objectif
On a mené une évaluation des facteurs relatifs à la vie privée (EFVP) pour Microsoft 365 (M365) afin de déterminer si, entre autres, ce produit soulève des problèmes ou des questions sur le plan de la protection de la vie privée, de la confidentialité et de la sécurité, et, le cas échéant, de formuler des recommandations en vue de les résoudre ou de les atténuer.
Description
Microsoft 365 remplacera la suite Microsoft Office (p. ex. Word, Excel, PowerPoint) et le système de courriel actuel. Il offre également d'autres applications et produits (p. ex. le Planificateur, PowerApps) pour aider le personnel à travailler efficacement.
Détermination et catégorisation des secteurs de risque
L'évaluation des facteurs relatifs à la vie privée détermine le niveau de risque potentiel (le niveau 1 correspond au niveau de risque le plus faible, et le niveau 4, au plus élevé) associé aux secteurs de risque suivants :
a) Type de programme ou d'activité
Administration des programmes, des activités et des services.
Échelle de risque : 2
b) Type de renseignements personnels recueillis et contexte
Les renseignements personnels peuvent comprendre le numéro d'assurance sociale d'une personne, des renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, des renseignements personnels dont le contexte est de nature délicate, des renseignements personnels sur des mineurs ou des personnes légalement incapables ou des renseignements mettant en cause un représentant agissant au nom de la personne concernée.
Échelle de risque : 3
c) Participation des partenaires et du secteur privé au programme ou à l'activité
Organisations du secteur privé, organisations internationales ou gouvernements étrangers.
Échelle de risque : 4
d) Durée du programme ou de l'activité
Programme ou activité à long terme (continu).
Échelle de risque : 3
e) Personnes concernées par le programme
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés.
Échelle de risque : 2
f) Transmission de renseignements personnels
Les renseignements personnels sont transmis à l'aide de technologies sans fil.
Échelle de risque : 4
g) Technologie et protection des renseignements personnels
M365 comprend des applications de productivité de bureau et des outils logiciels mis à jour et nouveaux qui appuieront la création, l'utilisation et le stockage de renseignements personnels par les employés dans le cadre de leur travail quotidien.
h) Risque qu'en cas d'atteinte à la vie privée, il y ait une incidence sur la personne ou l'employé
Il y a un risque qu'une atteinte à la vie privée ait une incidence sur une personne. Selon le type d'information divulguée, l'incidence pourrait comprendre un préjudice financier, un préjudice à la réputation, un embarras personnel ou un inconvénient.
Le risque global d'atteinte à la vie privée est faible en raison des contrôles et des procédures en place dans le système.
i) Risque potentiel pour l'établissement institutionnel en cas d'atteinte à la vie privée
Il y a un risque qu'une atteinte à la vie privée ait une incidence sur Statistique Canada. Selon le type d'information divulguée, les répercussions pourraient comprendre un préjudice à la réputation, une perte de confiance des employés à l'égard de la sécurité de cet outil et des inconvénients. Le risque global d'atteinte à la vie privée est faible en raison des contrôles et des procédures en place dans le système.
Conclusion
La présente évaluation de Microsoft 365 n'a pas permis de déterminer de risques relatifs à la vie privée qui ne peuvent pas être gérés à l'aide des mesures de protection existantes.