Statistique Canada cherche à améliorer la prestation de ses services de TI et à réduire les coûts généraux de gestion et de soutien. Dans le cadre de ces activités de modernisation en cours, l’organisme aligne maintenant les services sur les besoins actuels et futurs de l’entreprise et a mis en œuvre une nouvelle solution de gestion des services d’entreprise (SGSE) pour l’organisation appelée le système de logiciel-service (SaaS) Helix du fournisseur de services BMC.
Objectif
Une évaluation des facteurs relatifs à la vie privée a été menée pour le projet de Solution de gestion des services d’entreprise (SGSE) afin de déterminer si cette initiative pose des problèmes sur le plan de protection de la vie privée, de la confidentialité ou de la sécurité et, le cas échéant, de formuler des recommandations en vue de les résoudre ou de les atténuer.
Description
La nouvelle solution intègre l’ensemble des fonctions de prestation de services anciennement offerts par les systèmes sortants : HEAT, Gestion des demandes de service (GDS), formulaires de demande du centre de libre-service, Portail des comptes informatiques (PCI) et d’autres portails et formulaires qui s’intègrent au système HEAT. BMC Helix est un SaaS infonuagique, contrairement aux solutions hébergées sur place de GDS-HEAT.
Ce système a deux fonctions principales : servir de système de demande de service pour la TI et de système de gestion des demandes de service pour les secteurs de prestation de services internes, y compris les suivants : Ressources humaines, Approvisionnement, Finances, Installations et Sécurité. Tous les services seront désormais fournis par l’intermédiaire d’un portail frontal unique (DWP). La suite de gestion des services de TI (GSTI) [gestion des incidents, gestion des ordres de travail, gestion des changements, biens et gestion des configurations] servira à fournir des services de TI. Business Workflows sera utilisé pour offrir d’autres secteurs de prestation de services internes à StatCan qui doivent garantir la confidentialité.
Identification et catégorisation des secteurs de risque
L’évaluation des facteurs relatifs à la vie privée détermine le niveau de risque potentiel (le niveau 1 correspond au niveau de risque potentiel le plus faible et le niveau 4 au niveau le plus élevé) associé aux secteurs de risque suivants :
| Description | Niveau de risque |
|---|---|
| a) Type de programme ou d’activité | |
| Administration des programmes, des activités et des services. | 2 |
| b) Type de renseignements personnels recueillis et contexte | |
| Numéro d’assurance sociale, renseignements médicaux et financiers, autres renseignements personnels de nature délicate, ou renseignements personnels dont le contexte est de nature délicate; renseignements personnels sur des mineurs, des personnes légalement incapables ou renseignements mettant en cause un représentant agissant au nom de la personne concernée. | 3 |
| c) Participation des partenaires et du secteur privé au programme ou à l’activité | |
| Organisations du secteur privé, organisations internationales ou gouvernements étrangers | 4 |
| d) Durée du programme ou de l’activité | |
| Programme ou activité à long terme | 3 |
| e) Personnes visées par le programme | |
| Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés. | 2 |
| f) Transmission des renseignements personnels | |
| Les renseignements personnels sont transmis à l’aide de technologies sans fil. | 4 |
| g) Technologie et vie privée | |
| Le logiciel de SGSE sera mis en œuvre afin de soutenir la TI et les secteurs de prestation de services internes de StatCan dans un environnement infonuagique de logiciel en tant que service (SaaS) hébergé par BMC dans son nuage Amazon Web Services (AWS) approuvé par le gouvernement du Canada. Cette solution desservira le secteur de la TI et divers secteurs de prestation de services internes. BMC sera également responsable de fournir un soutien de certaines façons. La plateforme comprend des caractéristiques et fonctions de libre-service aux utilisateurs employés afin de leur permettre, par exemple, de signaler des problèmes, de soumettre des demandes de service et d’exécuter d’autres fonctions générales d’utilisateur. | |
| h) Risque potentiel pour l’individu ou l’employé en cas d’atteinte à la vie privée | |
| Il y a un risque faible d’atteinte à certains des renseignements personnels confidentiels qui circulent dans le nuage Helix. Si une telle atteinte allait au-delà de StatCan, l’individu pourrait en subir des répercussions d’une gravité variable, selon la nature délicate des renseignements en cause. Voir l’annexe 2, Tableau des éléments de renseignements personnels, pour obtenir la liste des renseignements personnels. | |
| i) Risque potentiel pour l’organisme en cas d’atteinte à la vie privée | |
| Il y a un risque faible d’atteinte à certains des renseignements personnels confidentiels qui circulent dans le nuage Helix. Si une atteinte allait au-delà de StatCan, la réputation de Statistique Canada pourrait être ternie, en raison de l’incapacité perçue de protéger les renseignements personnels des employés. | |
Conclusion
Cette évaluation de la Solution de gestion des services d’entreprise (SGSE) n’a mis au jour aucun risque relatif à la vie privée qui ne puisse être géré au moyen des mesures de protection existantes.