Dossier :
- Date du rapport : 5 juin 2020
- Type d'incident : Divulgation non autorisée de renseignements
- Date et heure de l'incident : 8 mai 2020, 7 h 47
- Lieu de l'incident : Internet, Bloomberg Media
Rapport du dirigeant principal de la vérification et de la dirigeante principale de la sécurité de Statistique Canada
Sommaire
Le vendredi 8 mai 2020 à 7 h 47, Bloomberg Media a publié les indicateurs clés mensuels du marché du travail de l'Enquête sur la population active d'avril 2020, avant la diffusion officielle de 8 h 30 par Statistique Canada, ce qui constitue une divulgation non autorisée de renseignements. Dans le présent rapport, on décrit la méthode d'enquête, les données et l'analyse, les constatations et les conclusions. Selon l'enquête et l'examen des résultats, il n'y a aucune preuve que Bloomberg n'a obtenu des renseignements préalables à une publication sur l'Enquête sur la population active auprès du personnel de Statistique Canada ni à la suite d'une erreur technique.
Table des matières
Contexte
L'objectif de la Politique sur la diffusion officielle (2016) de Statistique Canada est de veiller à ce que les ensembles de données soient protégés jusqu'à leur diffusion officielle (au moyen d'une annonce dans Le Quotidien) et non partagés à l'extérieur de Statistique Canada avant leur diffusion officielle, sauf pour quelques rares exceptions. La Politique prévoit cinq situations permettant la diffusion de renseignements avant la diffusion officielle, à savoir :
- Autorisation du greffier du Conseil privé sur recommandation du statisticien en chef;
- Autorisation par le statisticien en chef;
- Accords sur les données en cours d'élaboration (à des fins de validation des données);
- Accords à des fins d'information (programmes à recouvrement des coûts et données administratives renvoyées à l'organisme source);
- Gouvernance commune.
Il convient de noter que les données de l'Enquête sur la population active (EPA) sont actuellement communiquées, avant leur diffusion officielle, à cinq organisations, avec l'autorisation du greffier du Conseil privé, sur l'avis du statisticien en chef.
La Politique énonce les responsabilités de toutes les parties qui participent à la diffusion officielle et comporte des obligations spécifiques en ce qui concerne la diffusion anticipée des renseignements. En particulier, à l'annexe B de la Politique, on indique les procédures précises visant les diffusions anticipées en vertu d'une autorisation du greffier du Conseil privé sur recommandation du statisticien en chef. On y précise ce qui suit :
- Lorsqu'une autorisation est accordée, la division auteure doit communiquer les conditions régissant la diffusion anticipée à l'organisme qui reçoit les renseignements protégés.
- La division auteure doit obtenir d'un représentant désigné de chaque organisme qui reçoit des renseignements protégés une entente signée de confidentialité sur la diffusion anticipée avec l'autorisation du greffier du Conseil privé sur recommandation du statisticien en chef.
- Les ententes de confidentialité sur la diffusion anticipée selon une autorisation du greffier du Conseil privé sur recommandation du statisticien en chef signée sont valides pour une période de 24 mois à compter de la date de la signature du destinataire. Elles doivent être envoyées à la directrice générale de la Direction des communications et de la diffusion.
- L'information sera fournie aux représentants désignés de l'organisme autorisé par le greffier du Conseil privé au plus tôt à 14 h (heure normale de l'Est) le jour ouvrable précédant le jour de la parution de l'information dans Le Quotidien, à moins que cela ne soit autorisé par le statisticien en chef.
- Lorsque l'organisme qui reçoit l'information de prédiffusion est gouvernemental, les ministres ou les autres représentants élus responsables de la direction du ministère ainsi que leur personnel ne seront pas informés avant 17 h (heure normale de l'Est) le jour ouvrable précédant le jour de la parution du document dans Le Quotidien, à moins que ne cela soit autorisé par le statisticien en chef. Toutefois, dans le cas des programmes à recouvrement des coûts, il n'y a pas de moment précis prévu pour informer les ministres ou les représentants élus des ministères qui participent au financement.
En dehors de l'annexe B, la Politique exige également qu'avant chaque diffusion, la division auteure demande aux organismes destinataires de confirmer le nom des personnes qui recevront les renseignements faisant l'objet d'une diffusion anticipée afin de s'assurer que seules les personnes qui en ont besoin pour des raisons d'ordre professionnel peuvent y avoir accès.
Enjeu
Le matin du 8 mai 2020, Statistique Canada a été informé qu'un journaliste de Bloomberg avait obtenu les résultats de l'Enquête sur la population active (EPA) d'une source non autorisée, et prévoyait les publier avant leur diffusion officielle, à 8 h 30 le même jour. À 7 h 57, Bloomberg a publié des chiffres de haut niveau sur l'emploi, en indiquant que les données provenaient d'une source proche en la matière.
Méthode d'enquête
À la demande du statisticien en chef, la Direction de l'audit et de l'évaluation a dirigé une enquête administrative générale avec l'appui de la dirigeante principale de la sécurité et chef des ressources humaines. Les objectifs de l'examen étaient les suivants :
- Déterminer la source de la fuite et prendre les mesures nécessaires à l'égard de cette fuite.
- Déterminer si la politique et les procédures en matière de diffusion anticipée ont été respectées et sont suffisantes pour atténuer le risque de fuite de cette nature.
- Déterminer si la diffusion anticipée des estimations de l'EPA devrait se poursuivre et, dans l'affirmative, si d'autres mesures d'atténuation peuvent être prises pour réduire les risques de cette nature.
Objectif 1
Déterminer la source de la fuite et prendre les mesures nécessaires à l'égard de cette fuite.
Données et paramètres
L'enquête comprenait des entrevues avec des particuliers ainsi que la vérification de la correspondance par courriel et des registres téléphoniques pour la période du 29 avril à 17 h, lorsque les indicateurs clés de l'EPA mensuelle ont été finalisés, au 8 mai à 8 h 30, moment de la diffusion officielle par Statistique Canada.
Le 16 mai 2020, Stacey Money, dirigeante principale de la sécurité, a communiqué avec les services judiciaires de Services partagés Canada (SPC) pour demander un examen des dossiers de courriels échangés entre les comptes de Statistique Canada et ceux des journalistes de Bloomberg, ainsi que l'extraction des registres de comptes téléphoniques des personnes qui avaient accès aux données de l'EPA de mai, avant leur diffusion officielle
La portée de l'enquête a donné à ce qui suit :
- 10 personnes interrogées,
- 210 dossiers de courriel analysés (correspondance directe entre les comptes de Statistique Canada et les comptes de Bloomberg);
- 116 registres de comptes téléphoniques (au total 9 812 correspondances individuelles) examinés.
Sommaire de l'analyse
Voici un résumé de l'analyse.
Examen de la correspondance par courriel
L'examen de la correspondance par courriel effectué par SPC a permis de relever 210 messages sortants provenant d'un domaine de Statistique Canada qui ont été envoyés vers les deux domaines de Bloomberg (Bloomberg.net et Bloomberg.com), avec la date, l'adresse de destination et la ligne d'objet du message. L'examen fait ressortir quatre messages dont les lignes d'objet portaient sur la population active. Un message était une invitation à une téléconférence envoyée par la Ligne info-médias générique de Statistique Canada invitant les médias à participer à la séance d'information technique du 6 mai pour la diffusion du 8 mai. Le contenu de l'invitation à la réunion et du document de référence joint ne contenait aucune information de prédiffusion. Les trois autres courriels consistaient en des échanges entre [caviardé], de Bloomberg, et Martin Magnan (gestionnaire, Relations avec les médias, Statistique Canada), dans lesquels [caviardé] demandait des données historiques sur la population active. Ces messages électroniques contenaient des données historiques sur la population active, mais aucune référence à des données de diffusion anticipée de l'EPA ni divulgation de telles données.
Examen des télécommunications
L'examen des télécommunications effectué par SPC a permis de relever 9 812 dossiers de télécommunications pour les 116 comptes demandés de Statistique Canada.
Parmi les facteurs importants à prendre en considération dans la portée des capacités de recherche de SPC, mentionnons :
- SPC n'a accès à aucun dossier sur les appels entrants ou sortants faits au moyen d'un téléphone fixe de bureau.
- Aucun numéro de téléphone n'est précisé pour les appels téléphoniques ou messages textes reçus.
- Le numéro des destinataires est accessible pour les appels et les messages textes sortants.
- Le numéro des destinataires n'est pas fourni dans les dossiers désignés comme messages d'images/vidéos.
La recherche de SPC a permis d'obtenir trois dossiers de télécommunication provenant d'un échange entre Jacques Fauteux, statisticien en chef adjoint, Engagement stratégique, et Bloomberg; deux messages textes à [caviardé]; et une tentative d'appel téléphonique vers un autre compte de Bloomberg, entre 7 h 13 et 7 h 23, le lundi 8 mai 2020. Ces communications ont été confirmées par écrit et verbalement par Jacques Fauteux.
Aucune autre correspondance de sortie entre les appareils de Statistique Canada et les comptes de Bloomberg n'a été enregistrée.
Peter Frayne, chef, Relations avec les médias, a indiqué avoir reçu de [caviardé] un appel sur son téléphone cellulaire, à 7 h, le 8 mai 2020. Selon M. Frayne, [caviardé] a appelé pour indiquer que Bloomberg avait obtenu deux indicateurs clés de l'EPA et avait l'intention de publier ces renseignements avant la diffusion officielle de 8 h 30 dans Le Quotidien. Ils cherchaient à obtenir les commentaires de Statistique Canada. Un appel entrant a été constaté dans le registre de télécommunication de Peter Frayne pour cette heure-là.
Source libre
L'équipe de sécurité de Statistique Canada a effectué une recherche de source libre supplémentaire étroitement ciblée (p. ex. Facebook, LinkedIn, Twitter) pour évaluer toute information pertinente provenant de Bloomberg menant jusqu'à l'heure de l'incident, et l'incluant. Les résultats de la recherche n'ont révélé aucune preuve de la transmission non autorisée à Bloomberg, par le personnel de Statistique Canada, de données de l'EPA avant leur diffusion officielle.
Entrevues
Dans le cadre de l'enquête, 10 personnes ont pris part à des entrevues avec Steven McRoberts, dirigeant principal de la vérification, et Supriya Edwards, directrice, Division de la paye, de l'éthique et de la gestion de l'effectif. La sélection des personnes était fondée sur une liste restreinte d'employés qui avaient accès aux données de l'EPA avant leur diffusion officielle, et qui avaient aussi des contacts avec les médias. Il y avait six employés de la Division de la statistique du travail, dont chacun a été désigné comme porte-parole pour la diffusion, ainsi que quatre personnes du Secteur de l'engagement stratégique, dont la Direction des communications stratégiques et du rayonnement. Les entrevues se sont déroulées du 13 mai 2020 au 3 juin 2020 en matinée.
Les entrevues ont permis de vérifier les événements qui établissaient les faits connus et de corroborer les constatations découlant de l'examen des courriels et des télécommunications, ainsi que de fournir des renseignements contextuels et des éclaircissements pertinents sur la chronologie de l'incident. Aucune preuve de la divulgation volontaire ou accidentelle, par un employé de Statistique Canada, des données de l'EPA de mai avant leur diffusion officielle n'a été trouvée.
Erreur technique
En plus des vérifications précédentes, et pour s'assurer qu'aucun problème technique n'aurait pu mener à la publication par inadvertance de résultats de l'EPA sur le site Web de Statistique Canada avant leur diffusion officielle, Katy Champagne, directrice générale intérimaire de la Direction des opérations de technologie de l'information, et son équipe ont effectué une analyse. Les résultats de cette analyse n'ont fourni aucune indication d'une erreur technique qui aurait pu permettre à Bloomberg à accéder aux données plus tôt.
Conclusion
Selon l'enquête et l'examen des résultats, il n'y a aucune preuve que Bloomberg a obtenu des données de l'Enquête sur la population active, avant leur diffusion officielle, auprès du personnel de Statistique Canada ni à la suite d'une erreur technique.
Objectif 2
Déterminer si la politique et les procédures en matière de diffusion anticipée en place ont été respectées et sont suffisantes pour atténuer le risque de fuite de cette nature.
Recherche des faits
Partage des données avant leur diffusion avec des parties externes
Conformément à la Politique sur la diffusion officielle, la division auteure de l'Enquête sur la population active est le Centre d'information sur le marché du travail (CIMT).
Pour obtenir l'autorisation de diffusion anticipée du greffier du Conseil privé, une lettre est envoyée par le statisticien en chef au greffier du Conseil privé demandant l'autorisation pour un ministère ou organisme. Le greffier du Conseil privé envoie une lettre à Statistique Canada, autorisant la diffusion anticipée. Avant le mois d'avril 2020, seules trois organisations avaient ce type d'accès, soit :
- Finances Canada;
- Emploi et Développement social Canada (EDSC);
- le Bureau du Conseil privé (BCP).
L'autorisation accordée à ces trois organisations est bien établie. L'examen a permis de constater que le statisticien en chef avait rappelé au greffier du Conseil privé l'accès accordé à ces trois organisations en mai 2014, et le greffier a répondu au statisticien en chef en approuvant l'accès permanent aux données de diffusion anticipée en juin 2014.
Le 7 avril 2020, le greffier du Conseil privé, sur recommandation du statisticien en chef, a autorisé l'accès aux données de l'EPA, avant leur diffusion officielle, par deux autres organisations, soit :
- la Banque du Canada;
- Innovation, Sciences et Développement économique Canada (ISDE).
Une fois l'autorisation accordée, la politique exige que la division auteure communique les conditions régissant la diffusion anticipée des données de l'EPA aux organisations destinataires. Le 7 avril 2020, le chef, Services au client du Centre de l'information sur le marché du travail, a envoyé un courriel aux représentants désignés des nouvelles organisations destinataires, soit la Banque du Canada et ISDE, pour les informer de ces conditions. En outre, dans le contexte des conditions de travail particulières découlant de la pandémie de COVID-19, avant la diffusion anticipée d'avril, le chef, Services au client du CIMT, a également informé les représentants désignés des cinq organisations destinataires des mesures spéciales recommandées pour le traitement des données de diffusion anticipée pendant la pandémie.
La Politique exige également que la division auteure obtienne, auprès d'un représentant désigné de chaque organisation qui reçoit des renseignements protégés, une Entente de confidentialité signée. L'entente décrit les responsabilités de l'organisation en vertu de la Politique en vue de protéger les données avant leur diffusion. Conformément à la Politique, les ententes de confidentialité sont valables pour une période de 24 mois à compter de la date de signature. Les dossiers indiquaient qu'une entente de confidentialité valide pour les deux nouvelles organisations (Banque du Canada et ISDE) se trouvait dans les dossiers. Compte tenu des difficultés posées par la pandémie pour l'obtention de formulaires signés de la part de la Banque du Canada et de l'ISDE, Statistique Canada a fait preuve de souplesse et a modifié sa procédure pour accepter des formulaires comportant des signatures numérisées. Il y avait aussi des ententes de confidentialité aux dossiers du BCP et d'EDSC, mais elles prenaient fin en 2018. Il n'y avait pas d'entente de confidentialité au dossier de Finances Canada. Toutefois, comme nous l'avons déjà mentionné, Statistique Canada a une entente de longue date avec le BCP, l'EDSC et Finances Canada, laquelle remonte à avant 2014, année à laquelle le statisticien en chef a reçu pour la dernière fois l'autorisation du greffier du Conseil privé de continuer à accorder l'accès aux données de l'EPA avant leur diffusion officielle.
Avant chaque diffusion, la division auteur doit demander aux organisations destinataires de confirmer le nom des destinataires des données faisant l'objet d'une diffusion anticipée pour s'assurer que seules les personnes qui en ont besoin pour des raisons d'ordre professionnel peuvent y avoir accès. Chaque mois, avant la diffusion anticipée des données, le chef des Services au client du CIMT envoie par courriel une liste des noms des personnes qui avaient déjà été désignées pour recevoir ces données, pour chaque organisation destinataire. Le représentant désigné confirme ensuite la liste ou demande des modifications, au besoin, par courriel. Si de nouveaux noms sont ajoutés à la liste, le représentant désigné indique leur nom, leur titre et leur rôle. Les dossiers et la documentation des messages électroniques ont confirmé que le chef, Services au client du CIMT, a effectué une vérification pour la diffusion anticipée de l'EPA de mai 2020. Selon les dossiers pour la diffusion de mai 2020, 67 personnes issues de cinq organisations se sont vues accorder l'accès aux données avant leur diffusion officielle.
La Politique exige que les données faisant l'objet d'une diffusion anticipée soient mises à la disposition des organisations externes au plus tôt à 14 h, heure normale de l'Est, le jour ouvrable précédant la parution. Les données de la diffusion anticipée sont transmises aux organisations destinataires au moyen du Service de transfert électronique de fichiers (STEF). Un compte individuel du STEF est fourni à plusieurs utilisateurs au sein de chaque organisation, et l'accès est surveillé par le chef, Services au client du CIMT. Les rapports automatisés du STEF ont confirmé que les personnes qui avaient été désignées par les organisations destinataires comme nécessitant un accès selon le principe de l'accès sélectif ont accédé aux données de diffusion anticipée le 7 mai 2020 à 14 heures ou après, conformément à la Politique.
Analyse et conclusion
Selon les résultats de l'examen de la correspondance par courriel et des documents pertinents, ainsi que des entrevues menées avec des représentants clés, la Politique sur la diffusion officielle (2016) a été généralement suivie pour la diffusion anticipée des données de l'EPA de mai 2020. Dans le contexte de la pandémie de COVID-19, des améliorations au processus de diffusion anticipée de l'EPA ont été déterminées et mises en œuvre. Elles comprenaient la réception par courriel des formulaires d'entente de confidentialité signés et numérisés; la réduction du nombre de participants à la séance d'information avec le statisticien en chef; la mise en œuvre d'un processus ne permettant pas de parler de données pendant la séance d'information avec le statisticien en chef; et la communication aux organisations destinataires des mesures spéciales à prendre dans le contexte de la COVID-19 pour assurer la confidentialité des données.
Objectif 3
Déterminer si la diffusion anticipée des estimations de l'EPA devrait se poursuivre et, dans l'affirmative, si d'autres mesures d'atténuation peuvent être prises pour réduire les risques de cette nature.
Toute décision concernant la poursuite de la communication de données avant leur diffusion officielle ne sera pas prise isolément. À mesure que nos organisations partenaires terminent leurs propres enquêtes, les résultats seront examinés en combinaison avec les nôtres. Cette évaluation du processus global, en consultation avec le greffier du Conseil privé, les principaux intervenants et l'équipe de la haute direction de Statistique Canada, éclairera la décision en ce qui concerne la poursuite ou la modification de cette pratique.
Contributors
Steven McRoberts
Dirigeant principal de la vérification
Direction de l'audit et de l'évaluation
Stacey Money
Dirigeante principale de la sécurité
Chef des Ressources humaines, et
Directrice générale, Direction de l'effectif et du milieu de travail
Autres contributeurs
- Laurie Spencer, directrice de l'audit interne, Direction de l'audit et de l'évaluation
- Craig Kolanko, gestionnaire de l'audit interne, Direction de l'audit et de l'évaluation
- Janice Carkner, gestionnaire de l'audit interne, Direction de l'audit et de l'évaluation
- Supriya Edwards, directrice, Division de la paye, de l'éthique et de la gestion de l'effectif