Office 365 – Mise en œuvre provisoire - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Introduction

Office 365 sera mis en œuvre de façon provisoire à l’intention de tous les employés de Statistique Canada, en vue de permettre une collaboration efficace en dehors du réseau de Statistique Canada pendant la crise de la COVID 19. Cette mesure devrait se poursuivre jusqu’au 31 octobre 2020, après quoi ce service provisoire sera désactivé. Des processus seront mis en place pour s’assurer qu’au moment de la désactivation, les renseignements seront gérés conformément aux pratiques de gestion de l’information en vigueur.

Objectif

On a mené une évaluation des facteurs relatifs à la vie privée (EFVP) au regard de la mise en œuvre d’Office 365 afin de déterminer si cette solution provisoire soulève des problèmes ou des questions sur le plan de la protection des renseignements personnels, de la confidentialité et de la sécurité, et, le cas échéant, de formuler des recommandations en vue de les résoudre ou de les atténuer.

Description

Office 365 sera provisoirement mis à la disposition des employés de Statistique Canada en vue de leur permettre d’utiliser leurs appareils personnels pour travailler en collaboration sur des documents qui ne sont pas protégés ou classifiés. Cette mesure vise à réserver une bande passante limitée du réseau aux programmes essentiels au mandat. La plateforme Office 365 donnera aux employés les moyens de collaborer efficacement grâce aux applications qu’elle propose.

Office 365 offre une version infonuagique des produits de base de Microsoft, tels qu’Excel, Word, PowerPoint et Outlook, ainsi que des fonctionnalités de collaboration améliorées, comme la possibilité que plusieurs utilisateurs travaillent simultanément sur un même document en temps réel. Office 365 comprend également l’application Microsoft Teams, un carrefour de collaboration comportant des fonctionnalités intégrées de messagerie instantanée et de vidéoconférence de même que des canaux de groupe et des capacités de partage de fichiers.

Aucun renseignement protégé qui est recueilli en vertu de la Loi sur la statistique ne pourra être utilisé dans cet environnement. Aucun renseignement personnel sur des clients ou des employés n’y sera recueilli, utilisé ou conservé. Il faudra notamment éviter, sur cette plateforme, toute communication portant sur des renseignements protégés en vertu de la Loi sur la statistique ainsi que d’autres renseignements protégés, comme la situation de travail ou la rémunération d’un employé, les mémoires au Cabinet ou les présentations au Conseil du Trésor, les communications proposant des options ou des conseils à la haute direction sur des sujets d’intérêt national, ou les communications avec des entreprises qui comprennent des renseignements sur leurs activités.

La seule exception en ce qui concerne les renseignements personnels a trait au profil personnel. Un employé pourra créer un profil personnel et y inclure quelques renseignements personnels, comme une description de ses projets, de ses compétences et de son expertise, de ses études, de ses champs d’intérêt et de ses passe temps. L’inscription de ces renseignements est volontaire, et les employés doivent délibérément choisir de le faire.

Détermination et catégorisation des secteurs de risque

L’EFVP évalue aussi le niveau de risque potentiel (le niveau 1 représente le plus faible niveau de risque potentiel, et le niveau 4 représente le plus haut niveau) associé aux secteurs de risque suivants :

  Échelle de risque
a) Type de programme ou d'activité
Programme ou activité qui ne nécessitent pas la prise d’une décision concernant un individu identifiable. 1
b) Type de renseignements personnels et contexte
Seuls les renseignements personnels non contextuellement sensibles recueillis directement auprès de l’individu ou fournis avec son consentement aux fins de divulgation en vertu d’un programme autorisé. 1
c) Participation des partenaires et du secteur privé au programme ou à l'activité
Avec d’autres institutions fédérales. 2
d) Durée du programme ou de l'activité
Programme à court terme. 2
e) Personnes visées par le programme
Le programme touche certains employés à des fins administratives internes. 1
f) Transmission de renseignements personnels
Les renseignements personnels sont transmis à l’aide de technologies sans fil. 4
g) Technologie et protection de la vie privée
La plateforme Office 365 comprend une variété d’applications infonuagiques (Teams, Excel, Word, SharePoint, PowerPoint, etc.) qui permettent aux employés de collaborer sur des documents non protégés et non classifiés, en dehors du réseau de Statistique Canada. Les employés ne pourront accéder à aucun document se trouvant sur le réseau de Statistique Canada à partir de cette plateforme. Il n’y a aucune modification à apporter aux systèmes de TI existants.
h) Risque potentiel qu'en cas d'atteinte à la vie privée, il y aura une incidence sur la personne ou l'employé.
Le risque d’atteinte à la sécurité des renseignements personnels est très faible. Exception faite du profil personnel pouvant être créé par les employés, aucun renseignement personnel ne doit être stocké sur la plateforme Office 365.

Conclusion

Cette évaluation de la mise en œuvre provisoire d’Office 365 n’a relevé aucun risque d’entrave à la vie privée qui ne peut être géré à l’aide des mesures de protection existantes.