Confidentialité des renseignements statistiques de nature délicate

Rapport de vérification final
Confidentialité des renseignements statistiques de nature délicate

Services de la vérification interne
30 Septembre 2009

Sommaire
Introduction

Annexe A – Critères de vérification
Annexe B – Acronymes

Sommaire

Statistique Canada a pris l’engagement et est tenu par la loi de protéger la confidentialité des renseignements statistiques de nature délicate qui lui sont confiés en vertu de la Loi sur la statistique. Il est essentiel pour le Bureau d’établir et de maintenir une relation de confiance avec les répondants aux enquêtes afin d’être en mesure de bien remplir son mandat et de fournir aux canadiens des statistiques de qualité. La confidentialité est l’affaire de tous au sein de l’organisme.

L’objectif de la présente vérification était de déterminer si des contrôles sont en place et s’ils protègent efficacement la confidentialité des renseignements statistiques de nature délicate; il s’agit notamment des contrôles suivants:

  • contrôles de l’accès physique,
  • contrôles de l’accès électronique,
  • contrôles du personnel,
  • contrôles opérationnels.

Les contrôles ont été examinés aux niveaux de l’organisme ainsi que de certaines enquêtes.

La vérification a été effectuée par les Services de la vérification interne conformément à la Politique sur la vérification interne du gouvernement du Canada.

La vérification a révélé que les contrôles qui protègent la confidentialité des renseignements statistiques de nature délicate sont appropriés. Il est possible de faire progresser les pratiques de gestion des risques dans deux domaines; toutefois, ceci n’a aucune incidence sur l’évaluation globale. Ces deux domaines comprennent les contrôles de l’accès physique et les contrôles de l’accès électronique. En outre, une pratique exemplaire divisionnaire a été déterminée.

Les contrôles de l’accès physique sont efficaces, mais quelques lacunes furent identifiées. Il est possible d’apporter des améliorations aux pratiques de gestion des risques liées à la sécurisation du milieu de travail au-delà du niveau de base. L’équipe de vérification a cerné aussi les problèmes suivants : un questionnaire de type carte postale demandant aux répondants de fournir des renseignements confidentiels, mais qui est envoyé par la poste ouvertement, crée des problèmes de confidentialité; il y a lieu de resserrer les pratiques en matière de sécurité des intervieweurs sur le terrain; enfin, des employés divisionnaires qui travaillent dans un milieu protégé au-delà du niveau de base ne mettent pas sous clé les documents confidentiels après les heures de travail.

La vérification a révélé que les contrôles de l’accès électronique présentent certaines lacunes et qu’il est possible de renforcer le cadre de contrôle. Le programme de chiffrement requis pour protéger la confidentialité des données n’est pas installé sur tous les portables. En outre, il convient d’améliorer la surveillance par la direction des droits et autorisations d’accès aux postes de travail et aux serveurs.

Une pratique exemplaire a été observée à la Division de la statistique du travail et mérite d’être étudiée par d’autres divisions. Les droits d’accès électronique sont surveillés étroitement et revus continuellement à la Division.

La vérification a révélé que les contrôles opérationnels et du personnel sont efficaces.

Résultats sommaires

La protection de la confidentialité des renseignements statistiques de nature délicate comprend plusieurs niveaux ainsi que des contrôles de l’accès physique et électronique, des contrôles du personnel et des contrôles opérationnels.

La confidentialité des renseignements statistiques de nature délicate est protégée, mais il est possible d’apporter des améliorations aux pratiques de gestion des risques liées au milieu de travail protégé et il faut en outre améliorer les pratiques de sécurité des intervieweurs sur le terrain. Il convient de renforcer la surveillance de l’accès électronique.

Une pratique exemplaire divisionnaire a été déterminée en matière de surveillance des droits d’accès.

Introduction

Contexte

La confidentialité des renseignements statistiques de nature délicate est une valeur essentielle et une nécessité au sens de la loi à Statistique Canada (StatCan)1. En 2005, un groupe d’étude formé de cadres intermédiaires a été chargé de recommander des mesures visant à enrichir et à renforcer la culture de confidentialité à Statistique Canada. Ce groupe d’étude a formulé des recommandations visant à accroître la sensibilisation aux risques et aux responsabilités ainsi qu’à promouvoir et à améliorer les pratiques en matière de sécurité.

Statistique Canada tient son mandat essentiellement de la Loi sur la statistique. En vertu de cette loi, l’organisme a la responsabilité de recueillir, de dépouiller, d’analyser et de publier de l’information statistique sur les conditions économiques, sociales et générales du pays et de sa population. Les renseignements statistiques sont d’importance capitale en ce qu’ils permettent aux Canadiens de prendre des décisions éclairées et aux administrations publiques à tous les niveaux d’élaborer des politiques appropriées. Les types de répondants aux enquêtes sont divers; il peut aussi bien s’agir de ménages que d’organismes privés ou publics. La plupart des enquêtes-entreprises sont à participation obligatoire, alors que la majorité des enquêtes-ménages du Bureau sont volontaires (font exception le Recensement de la population et l’Enquête sur la population active). Il est donc essentiel que le Bureau établisse et maintienne une relation de confiance avec les répondants afin d’être en mesure de remplir son mandat et de fournir aux Canadiens des statistiques de qualité. Il est d’importance primordiale de protéger les renseignements fournis à titre confidentiel, puisqu’il s’agit du facteur clé pour obtenir la collaboration des répondants.

Plusieurs méthodes sont employées pour recueillir des données sur les personnes et les entreprises : questionnaires papier, interviews sur place ou interviews téléphoniques menées par des employés du Bureau, déclaration électronique de données par les répondants et sources administratives. Les données recueillies en dehors du bureau central sont transférées à Ottawa, où elles sont soumises à un processus centralisé de traitement, d’analyse et de diffusion confié à différents secteurs d’enquête et de service. Outre les employés du Bureau, des personnes de l’extérieur, sous certaines conditions très strictes exposées dans la Loi sur la statistique, ont également accès à des renseignements statistiques de nature délicate. Il s’agit, par exemple, d’organismes statistiques provinciaux, de ministères fédéraux commanditaires et de chercheurs universitaires. La confidentialité des renseignements de nature délicate doit être protégée, peu importe la méthode employée pour recueillir les données, l’endroit où celles-ci sont traitées et les processus utilisés.

Le cadre de contrôle comprend plusieurs niveaux. Le premier est celui de la Loi sur la statistique qui protège les renseignements des répondants. À l’appui de la Loi, le Bureau a mis en place un certain nombre de politiques et de pratiques afin de gérer les risques d’accès non autorisé, de perte, de vol, de divulgation, de reproduction ou d’utilisation de renseignements de nature délicate. Les politiques en place sont notamment la Politique sur la sécurité des renseignements statistiques de nature délicate, la Politique sur la diffusion des microdonnées, la Politique relative à la révélation discrétionnaire, la Politique relative au couplage d’enregistrements, la Politique d’information des répondants aux enquêtes, la Politique sur l’utilisation de personnes réputées être employées et la Politique sur la sécurité de la TI. De plus, le Manuel des pratiques de sécurité de Statistique Canada renferme des renseignements complémentaires et plus détaillés sur les politiques du Bureau et sur la Politique du gouvernement sur la sécurité. Des comités de gestion dont le mandat est lié à la sécurité sont également en place, à savoir, le Comité de la confidentialité et des mesures législatives et son Sous-comité de la diffusion des microdonnées, le Comité de l’informatique et le Comité de coordination de la sécurité. Enfin, la Division des services d’accès et de contrôle des données conseille les cadres et fait fonction de coordonnateur pour les questions concernant la confidentialité des données statistiques.

Durant la vérification, Statistique Canada a retenu les services d’une société d’experts-conseils qu’il a chargée de procéder à une Évaluation de la menace et des risques en ce qui concerne l’accès aux immeubles et de recommander des options aux fins du remplacement du système de contrôle technique existant qui a été mis en place en 2002. Cette évaluation ne portait pas sur les bureaux régionaux. La société d’experts-conseils a présenté en juillet 2007 un rapport contenant plusieurs recommandations. Ce rapport a servi de document de référence supplémentaire aux fins de la vérification.

Autorité

La vérification a été entreprise par les Services de la vérification interne et un cadre de référence a été approuvé par le Comité de vérification interne le 28 mars 2007. La mission a été menée conformément à la Politique sur la vérification interne du gouvernement du Canada.

Objectifs de la vérification

L’objectif de la vérification était de déterminer si des contrôles sont en place et s’ils protègent efficacement la confidentialité des renseignements statistiques de nature délicate; il s’agit notamment des contrôles suivants:

  • contrôles de l’accès physique
  • contrôles de l’acc&egregrave;s électronique
  • contrôles du personnel
  • contrôles opérationnels

Les contrôles ont été examinés aux niveaux de l’organisme et de certaines enquêtes.

Les critères de vérification appliqués sont résumés au tableau qui figure à l’annexe A. Ils ont été sélectionnés durant un examen de pré-planification mené de concert avec la direction de StatCan, en fonction des risques éventuels et en connaissance du cadre de contrôle de gestion, des besoins opérationnels de Statistique Canada et des vérifications et/ou examens antérieurs.

Portée et approche

Le bureau central à Ottawa se compose de trois immeubles, et il y a trois bureaux régionaux dotés de bureaux satellites. La portée de la vérification comprenait une évaluation des trois immeubles du bureau central ainsi que d’un bureau régional, soit le bureau régional de l’Est (Montréal) et d’un de ses bureaux satellites (Sherbrooke).

Lorsque le cadre de référence a été approuvé en mars 2007, selon la Politique du gouvernement sur la sécurité, les renseignements statistiques de nature délicate étaient des renseignements « protégé B » regroupant:

  • les données obtenues en vertu de la Loi sur la statistique directement de répondants ou de tierces parties, sous une forme permettant l’identification de ceux-ci;
  • les données dépourvues d’identificateurs mais qui sont gardées selon une structure ou un format par élément ou région qui permettrait d’établir un lien direct entre ces données et des unités identifiables;
  • les renseignements statistiques officiels avant leur diffusion.

Au cours de la vérification, il a été déterminé que les paradonnées2 entrent également dans cette catégorie. Il en été tenu compte au cours de cette vérification.

Pour des raisons opérationnelles, les renseignements statistiques officiels avant leur diffusion et les renseignements statistiques conservés dans les centres de données de recherche ne faisaient pas partie de la portée de la vérification. Certains de ces domaines seront visés par d’autres vérifications prévues dans le Plan de vérification axé sur les risques de 2008-2009 /2010-2011.

La vérification a été conçue de manière à recueillir des données sur les mesures utilisées pour protéger la confidentialité des renseignements statistiques de nature délicate et sur la sensibilisation des employés à l’importance de cette confidentialité. La vérification a été menée au niveau de l’organisme ainsi qu’au niveau d’enquêtes particulières.
Cinq enquêtes ont été sélectionnées, en tenant compte de la méthode de collecte, de la période de collecte, de la périodicit&eacueacute; de l’enquête et du type d’enquête. Il s’agissait de l’Enquête sur les voyages internationaux, l’Enquête sur la population active, l’Enquête longitudinale nationale sur les enfants et les jeunes, l’Enquête sur les dépenses de protection de l’environnement et l’Enquête sur l’origine et la destination des marchandises transportées par camion.

Les travaux comprenaient :

  • des entrevues personnelles menées avec des employés à tous les niveaux dans les diverses divisions au bureau central qui ont participé directement à la réalisation des enquêtes sélectionnées ou qui ont fourni au Bureau les services centraux associés à la sécurité des renseignements statistiques de nature délicate;
  • des entrevues personnelles menées auprès d’employés à tous les niveaux dans le bureau régional de Montréal et le centre d’appels de Sherbrooke;
  • l’examen de fichiers électroniques et de dossiers sur papier, y compris la vérification de l’accès électronique aux données et des portables chiffrés;
  • le balayage (inspection physique) des locaux du bureau central les plus susceptibles de contenir des renseignements statistiques de nature délicate tirés des cinq enquêtes;
  • l’analyse des résultats d’un questionnaire envoyé à un échantillon de 59 intervieweurs représentant les trois bureaux régionaux.

Constatations, recommandations et plan d’action de la direction

I – Contrôles de l’accès physique

Les contrôles de l’accès physique comprennent les suivants : l’accès aux immeubles est réglementé; l’accès aux zones protégées dans les immeubles est réglementé; la transmission physique de l’information à l’intérieur et à l’extérieur de StatCan est faite conformément aux normes approuvées; l’information est stockée, marquée et supprimée conformément aux normes approuvées; l’accès physique aux serveurs et à l’ordinateur central est règlementé; le matériel informatique est réparé dans les locaux de StatCan par des employés de StatCan.

Les contrôles de l’accès physique fonctionnent comme prévu. Les entrées des immeubles sont protégées et les renseignements demeurent confidentiels. Toutefois, il est possible d’apporter des améliorations aux pratiques de gestion des risques liées à la confidentialité des renseignements statistiques. Pour améliorer l’efficacité du cadre de confidentialité, il faut que la direction mette l’accent sur la protection des lieux de travail et de l’information.

Les immeubles sont protégés mais il faut des directives pour des aires protégées à l’intérieur de ces immeubles

Les contrôles de l’accès aux immeubles de Statistique Canada, y compris ceux au bureau central, au bureau régional de Montréal et au bureau de Sherbrooke, sont efficaces. Le système de contrôles comprend des barrières, des gardiens et des caméras vidéo, y compris un nouveau système de sécurité et de caméras installé au bureau central en 2008 pour améliorer la surveillance dans les immeubles.

La vérification a révélé que les exigences de la Politique sur la sécurité des renseignements de nature délicate de Statistique Canada sont satisfaites; toutefois, le Bureau ne satisfait pas aux critères énoncés au paragraphe 10.7 de la Politique du gouvernement sur la sécurité portant sur les mesures de sécurité au-delà des mesures de base. Ce paragraphe stipule ce qui suit : « Les ministères doivent effectuer des évaluations des menaces et des risques pour déterminer la nécessité d’aller au-delà des mesures sécuritaires de base3. Ils doivent continuellement être aux aguets de tout changement aux menaces et faire les ajustements nécessaires au maintien d’un niveau de risque acceptable et d’un équilibre entre les besoins opérationnels et la sécurité ». L’équipe de vérification n’a pas constaté de mesures de surveillance ou d’évaluations des menaces et des risques à l’appui de cette exigence.

Certaines mesures de contrôle au-delà du niveau de base ont été déterminées, mais il s’agit de décisions aléatoires plutôt que fondées sur les risques. Par exemple, certaines aires dans l’immeuble Principal sont protégées à cause de la présence d’autres locataires dans les locaux. En outre, la décision de protéger l’accès aux divisions dans les autres immeubles est prise principalement par le directeur, en fonction des risques perçus et des fonds disponibles. Dans certaines aires, les risques sont peut-être plus élevés mais l’accès n’est pas protégé.

Comme mesure de contrôle supplémentaire des aires protégées dont l’entrée est protégée au niveau de base, les employés sont priés d’interroger tout inconnu qu’ils rencontrent dans leur aire de travail. Ce contrôle peut être efficace dans de petites aires de travail; toutefois, dans un édifice comme l’immeuble Jean-Talon, où les étages sont grands et partagés par de nombreuses divisions dont les locaux respectifs ne sont pas délimités clairement, ce contrôle a des limites.

Dans le cas des locaux des deux divisions responsables des enquêtes dans notre échantillon, l’entrée à l’aire de travail n’était pas protégée outre l’entrée à l’intérieur de l’immeuble. Durant notre balayage, l’Enquête sur la population active (EPA) était en mode de traitement final. En outre, l’Enquête sur les dépenses de protection de l’environnement n’était pas à l’étape de la production, de sorte qu’il était difficile de déterminer si une aire de travail protégée était nécessaire. Dans l’un et l’autre cas, une évaluation de la menace et des risques pour déterminer la nécessité de mesures de sécurité au-delà des niveaux de base serait utile pour améliorer les pratiques de gestion des risques.

Le Bureau devrait déterminer le niveau de sécurité de base requis en fonction du caractère délicat des fonds de données. On pourrait ensuite procéder à une analyse de la menace et des risques afin de déterminer les zones exposées à des risques plus grands et exigeant des mesures de sécurité améliorées, au-delà du niveau de base. Selon l’analyse de la menace et des risques, les aires ne présentant pas de risques élevés seraient protégées par des mesures de sécurité de base.

Le Bureau se trouve dans une situation où un incident pourrait avoir des répercussions considérables. En l’absence de lignes directrices du Bureau précisant les aires devant être protégées au-delà du niveau de base, et étant donné l’absence d’une approche intégrée de la gestion des risques présentés par les visiteurs, les employés, les autres locataires et, éventuellement, les entrepreneurs, le Bureau s’expose à des risques plus élevés liés à la confidentialité qui pourraient porter atteinte à sa réputation. Étant donné le très grand nombre de personnes qui travaillent dans le complexe, une personne non autorisée pourrait avoir accès à une aire protégée au niveau de base et ainsi à des renseignements statistiques de nature délicate.

Recommandation no 1

Le statisticien en chef adjoint, Secteur des services intégrés, devrait veiller à ce que la Division des services d’accès et de contrôle des données (DSACD) élabore des lignes directrices générales pour assurer une approche commune à l’échelle du Bureau et aide le Comité des politiques4, en passant par le Comité de coordination de la sécurité, à déterminer les zones à risque élevé en procédant à une analyse périodique de la menace et des risques.

Réponse et plan d’action de la direction

La direction accepte la recommandation.

La DSACD propose une approche intégrée de l’établissement d’une norme de contrôle de l’accès fondée sur les « zones de sécurité progressive », conformément à la Politique du gouvernement sur la sécurité. La norme serait utilisée pour l’approbation de dispositifs supplémentaires de contrôle de l’accès.

Cette proposition sera présentée au Comité de coordination de la sécurité à l’automne.

Réalisation attendue et calendrier
Directives et présentation et Comité de coordination de la sécurité
Résultats ensuite présentés au Comité des politiques
Directeur, Services d’accès et de contrôle des données – automne 2009

Sécurité des renseignements

Les renseignements de nature délicate sont transmis physiquement à l’intérieur et à l’extérieur de Statistique Canada conformément aux normes approuvées, mais l’équipe de vérification a constaté deux problèmes qui exigent une attention particulière.

Un questionnaire de type « carte postale » utilisé aux fins de l’Enquête sur les voyages internationaux (EVI), que les répondants sont priés de retourner par la poste une fois rempli, présente un risque sur le plan de la confidentialité. Les employés de la division responsable de l’EVI demandent aux répondants de remplir la carte postale et de la retourner par la poste. La carte postale porte la mention « Confidentiel une fois rempli ». Ce processus est à tout le moins ambigu et ne donne pas une impression de discipline et de rigueur en matière de transmission de renseignements réputés être confidentiels. Si le public canadien, et plus particulièrement la presse imprimée/les médias, remarquent cette situation étrange, la réputation de Statistique Canada pourrait en souffrir. Nos répondants pourraient croire que nous n’accordons pas l’attention voulue à la confidentialité.

En outre, les renseignements statistiques de nature délicate devraient être gardés sous clé après les heures de travail. Dans le cadre de la vérification, nous avons procédé à un balayage de certaines aires après les heures de travail, les 28 et 31 janvier 2009. Nous voulions déterminer si les documents confidentiels étaient gardés sous clé dans des contenants approuvés munis de serrures approuvées et si les clés des contenants et des serrures étaient gardées en lieu sûr comme il se doit. Nous avons également vérifié l’utilisation des commutateurs A/B et des assistants numériques personnels pour nous assurer du respect des politiques.

Les résultats du balayage ont révélé que la Division des opérations et de l’intégration, qui occupe des locaux protégés à accès restreint, ne se conforme pas aux attentes en matière d’entreposage adéquat des renseignements statistiques de nature délicate à la fin de la journée de travail. La direction a indiqué que l’aire est protégée, que l’accès y est restreint et qu’entreposer tous les renseignements statistiques de nature délicate à la fin de chaque jour prendrait beaucoup de temps et serait contre-productif. En cas d’accès non autorisé à l’aire protégé, il n’y aurait pas d’autres contrôles protégeant la sécurité des renseignements. En outre, dans l’aire protégée, l’accès aux renseignements devrait être accordé seulement selon le « besoin de savoir ». La direction responsable de cette aire élabore un plan de mise en oeuvre selon lequel les questionnaires papier seront balayés et seule la version électronique sera diffusée ensuite.

Statistique Canada remet aux intervieweurs sur le terrain des directives écrites strictes concernant le traitement de matériels confidentiels comme les questionnaires, les ordinateurs portables et les listes d’adresses lorsqu’ils travaillent à l’extérieur de la maison, et concernant l’entreposage sécuritaire de ces documents à la maison. Pour évaluer les directives, l’équipe de vérification a mené une enquête auprès des intervieweurs sur le terrain. Selon les résultats de l’enquête, les intervieweurs sur le terrain assurent de façon efficace la confidentialité et la sécurité des documents lorsqu’ils sont à l’extérieur de la maison. Toutefois, les résultats de l’enquête ont indiqué également que 50 % des intervieweurs sur le terrain ne gardent pas leurs documents sous clé à la maison à la fin de leur journée de travail.

Il faut renforcer les directives portant sur l’entreposage de documents confidentiels à la maison par les intervieweurs sur le terrain et accorder plus d’attention à cette question. La perte de renseignements statistiques de nature délicate par les intervieweurs sur le terrain porterait atteinte à la confiance des répondants en Statistique Canada et pourrait empêcher le Bureau d’atteindre son objectif.

Recommandation no 2

Le statisticien en chef adjoint, Secteur de la statistique sociale, de la santé et du travail, devrait veiller à ce que la Division du tourisme et du Centre de la statistique de l’éducation, de concert avec la Division des services d’accès et de contrôle des données, trouve une solution à l’incohérence évidente que présente la carte postale de l’Enquête sur les voyages internationaux.

Réponse et plan d’action de la direction

La direction accepte la recommandation.

La DTCSE convient que la mention « Confidentiel une fois rempli » sur le questionnaire carte postale est illogique. Étant donné que le questionnaire rempli ne contient pas de renseignements permettant d’identifier le répondant, nous convenons de supprimer cette mention. En outre, le remaniement actuel de l’enquête fera disparaître le problème, puisque nous cesserons d’utiliser le questionnaire carte postale.

Réalisation attendue et calendrier
Questionnaire révisé
Directeur adjoint, Division du tourisme et du Centre de la statistique de l’éducation – août 2010

Recommandation no 3

Le statisticien en chef adjoint, Secteur du recensement et des opérations, devrait veiller à ce que la direction du bureau régional sensibilise davantage les intervieweurs sur le terrain à l’importance des documents confidentiels en leur possession, à leur responsabilité à cet égard et aux conséquences d’une irrégularité.

Réponse et plan d’action de la direction

La direction accepte la recommandation.

Nos réviserons notre documentation ainsi que nos documents de formation des intervieweurs portant sur l’importance de la protection des documents/renseignements confidentiels, ainsi que les divers mécanismes devant être mis en place à cette fin. Ainsi, nous ajusterons le contenu du manuel de formation de manière à refléter les dispositions du Code de conduite.

Lorsque de nouveaux employés reçoivent la formation de base, les superviseurs ou les gestionnaires veilleront à ce que tous comprennent bien leurs rôles et responsabilités en tant qu’intervieweur ou intervieweur principal aux Opérations des enquêtes statistiques en matière de confidentialité, de protection des renseignements et de sécurité.

Nous utiliserons divers moyens de communication (brochures, réunions avec les employés, etc. ) pour souligner encore l’importance de la confidentialité et de la sécurité des données aux employés et renforcer leurs responsabilités en ce qui a trait à la gestion des renseignements dans le processus de collecte.

Réalisation attendue et calendrier
Renforcement de la confidentialité des renseignements
Révision de nos lignes directrices et préparation d’un plan d’action
Directeur, Division des services de gestion régionale – automne 2009
Mise en oeuvre
Directeurs régionaux– hiver 2010

Recommandation no 4

Le statisticien en chef adjoint, Secteur du recensement et des opérations, devrait s’assurer que la Division des opérations et de l’intégration entrepose les documents confidentiels comme il se doit à la fin de la journée.

Réponse et plan d’action de la direction

La direction accepte la recommandation.

La DOI a entrepris de déménager notre équipement d’imagerie à une salle protégée, aux fins de l’imagerie de tous les questionnaires à ce lieu d’entrée, ce qui aura pour effet d’éliminer le risque pour les questionnaires papier. Les questionnaires papier seront ensuite entreposés en lieu sûr en attendant qu’ils puissent être éliminés de la manière appropriée. Le déménagement de l’équipement se fera à l’automne 2009 et on préparera un calendrier de conversion de tous les questionnaires d’enquête papier en images numériques. Ce processus devrait s’achever d’ici un an. L’accès aux questionnaires sera uniquement au moyen d’images numériques dans le système de gestion du contenu FileNet où l’accès est rigoureusement contrôlé.

Réalisation attendue et calendrier
Images numériques de tous les questionnaires
Directeur, Division des opérations et de l’intégration – septembre 2010.

II – Contrôles de l’accès électronique

Les contrôles de l’accès électronique comprennent les suivants : les postes de travail et les serveurs sont configurés avec des contrôles d’accès; la transmission électronique de l’information à l’intérieur et à l’extérieur de Statistique Canada est faite conformément aux normes approuvées; le stockage de l’information sur des supports de stockage amovibles est fait selon les procédures de sécurité approuvées par la DSTI; l’information est traitée, stockée, consultée ou transmise uniquement sur le réseau A; tous les ordinateurs portables sont dotés de fonctions de chiffrement intégral; et, les ordinateurs sont nettoyés suivant des méthiodes ayant été approuvées par la DSTI.

L’équipe de vérification a observé que les postes de travail et les serveurs sont dotés de contrôles d’accès électronique maintenus par la Division des services de technologie informatique (DSTI); toutefois, les divisions exécutent de façon sporadique les activités de surveillance en vue d’accorder ou de retirer une autorisation. En outre, la vérification a révélé que le programme de chiffrement approprié est installé sur seulement 75 % des ordinateurs portables utilisés par des personnes autres que les intervieweurs.

Les postes de travail et les serveurs sont dotés de contrôles de l’accès

La DSTI maintient éeacute;lectroniquement l’accès aux postes de travail et aux serveurs; toutefois, le pouvoir d’accorder et/ou de retirer l’accès appartient aux directeurs divisionnaires. L’équipe de vérification a constaté que la surveillance par la direction en vue d’accorder ou de retirer les autorisations d’accès aux postes de travail et aux serveurs varie d’une division à l’autre. Par conséquent, la surveillance de l’accès électronique aux postes de travail et aux serveurs se fait de façon sporadique.

Le processus d’accord des autorisations est efficace et fonctionne bien. Il convient d’apporter des améliorations au retrait des autorisations lorsque l’accès n’est plus requis. Dans la plupart des cas, les personnes chargées de retirer l’accès comptent sur les employés qui ont présenté la demande d’accès initiale pour les informer d’un changement. Les contrôles sont efficaces dans le cas des employés qui quittent leur division mais ils deviennent inefficaces dans le cas des utilisateurs de l’aire de service et d’autres utilisateurs de l’extérieur de la division. La surveillance de la direction, conformément aux processus en place pour l’Enquête sur la population active (EPA– mentionnée plus loin dans cette section), améliorerait la surveillance et la gestion des risques des fichiers confidentiels.

L’équipe de vérification a déterminé une pratique exemplaire de gestion des droits d’accès par les responsables de l’EPA. Les responsables de l’EPA évaluent les fichiers électroniques selon les risques et la confidentialité. Très peu d’employés ont accès aux fichiers les plus confidentiels. Pour y obtenir accès, il faut présenter une demande par l’entremise du système de gestion des cas et le directeur doit signer un formulaire d’autorisation. Lorsque la demande est présentée, un mot de passe permettant d’avoir accès aux fichiers est attribué. Les autorisations d’accès aux fichiers confidentiels de l’EPA sont accordées pour une période de trois mois et les droits d’accès aux serveurs font l’objet d’une surveillance constante.

Recommandation no 5

Les statisticiens en chef adjoints, Secteur des services intégrés et Secteur de l’informatique et de la méthodologie, devraient veiller à ce que:

  • la Division des services d’accès et de contrôle des données, de concert avec la Division des services de technologie informatique, émettent des directives claires portant sur le caractère délicat des données et la gestion des autorisations d’accès aux serveurs/dossiers partagés;
  • la Division des services de technologie informatique continue d’accorder et de retirer l’accès lorsqu’on lui en fait la demande et élabore des outils pour automatiser davantage ce processus.

Tous les statisticiens en chef adjoints doivent veiller à ce que les lignes directrices soient mises en oeuvre.

Réponse et plan d’action de la direction

La direction accepte la recommandation.

Les directeurs divisionnaires sont chargés de la mise en oeuvre du principe du besoin de savoir en ce qui a trait à l’accès aux fichiers. La DSACD, de concert avec la DSTI, élaborera un ensemble de lignes directrices sur la gestion de l’accès aux fichiers. La DSACD communiquera ces lignes directrices aux directeurs divisionnaires. Ces travaux devraient s’achever d’ici la fin de décembre 2009.

La DSTI continuera d’accorder et de retirer l’accès aux serveurs et aux dossiers partagés conformément aux demandes divisionnaires.

La DSTI rétablira automatiquement les autorisations et l’accès de groupe lorsqu’un employé change de division.

Réalisation attendue et calendrier
Lignes directrices acheminées aux directeurs divisionnaires – décembre 2009
Directeur, Division des services d’accès et de contrôle des données
Directeur, Division des services de technologie informatique

Installation des programmes de chiffrement sur les ordinateurs portables

Selon une directive de Statistique Canada, un programme de chiffrement doit être installé sur tous les portables. L’équipe de vérification s’attendait à trouver le programme de chiffrement approuvé par la DSTI (technologie Pointsec) installé sur tous les portables.

Durant leurs entrevues avec les administrateurs du réseau local et le personnel de la Sécurité des TI du Bureau, les vérificateurs ont été informés que le programme de chiffrement était installé sur la plupart des portables. Un échantillon de portables sélectionné au jugé a été soumis à un nouveau contrôle. Selon les résultats, les programmes de chiffrement étaient installés sur la majorité des portables dans l’échantillon. D’autres entrevues ont été menées auprès des représentants de la Sécurité des TI du Bureau; en outre, on a procédé à une comparaison du fichier clé portable du Bureau et du SAIGM (le système d’inventaire). Les résultats ont révélé que le programme était installé correctement dans le cas de 75 % des portables utilisés par des personnes autres que les intervieweurs seulement. Le programme était installé sur tous les portables utilisés par les intervieweurs. Les vérificateurs ont vérifié si le programme de chiffrement peut être désactivé par les employés. Les résultats du test montrent que les employés ne peuvent ni désactiver ni supprimer le programme de chiffrement. La Sécurité des TI a envoyé un courriel aux directeurs sollicitant leur soutien sur cette question.

Il pourrait y avoir une violation de la confidentialité en cas de perte d’un portable non doté d’un programme de chiffrement et contenant des renseignements confidentiels.

Recommandation no 6

Le statisticien en chef adjoint, Secteur de l’informatique et de la méthodologie, devrait veiller à ce que la Division des services de technologie informatique surveille les progrès de l’installation de la technologie Pointsec sur les ordinateurs portables et informe le Comité de coordination de la sécurité des résultats sur une base trimestrielle jusqu’au respect intégral de la directive.

Réponse et plan d’action de la direction

La direction accepte la recommandation.

L’inventaire des portables de Statistique Canada peut être divisé en deux grandes catégories, à savoir les portables utilisés par les intervieweurs sur le terrain et ceux utilisés par des personnes autres que les intervieweurs. Les portables utilisés par les intervieweurs sont gérés et entretenus par la Division de la planification et de la gestion de la collecte (DPGC); dans le cadre de leur processus de déploiement, tous les portables sont chiffrés.

Les portables utilisés par des personnes autres que les intervieweurs sont entretenus par les Services de soutien aux postes de travail du Bureau (SSPTB) de la DSTI. En juillet 2009, 84 % de ces portables étaient entièrement conformes à la directive et leur fichier de récupération de chiffrement était enregistré à la DSTI. Pour ce qui est des autres portables, soit ils ne sont pas chiffrés, soit ils sont chiffrés et leur fichier de récupération de chiffrement n’a simplement pas été déclaré. En ce qui concerne ces derniers, le plan d’action suivant est proposé.

Les tâches générales comprennent repérer chaque portable, s’assurer qu’il est chiffré et copier le fichier de récupération. Le système SAIGM sera utilisé pour déterminer les portables actifs. Le groupe SSPTB DSTI collaborera avec chaque secteur et nommera un représentant du secteur qui sera responsable du respect de la conformité à la directive. Des rapports de surveillance des progrès seront acheminés aux représentants des secteurs.

Le directeur de la DSTI fera rapport au Comité de coordination de la sécurité sur une base trimestrielle des progrès réalisés en matière de conformité.

Résultat attendu et calendrier
Surveillance des rapports destinés aux représentants des secteurs – décembre 2009
Rapport trimestriel au Comité de coordination de la sécurité – en cours
Directeur, Division des services de technologie informatique

III – Contrôles du personnel

L’information sur la confidentialité est communiquée à tous les employés de façon régulière.

Statistique Canada emploie diverses méthodes pour promouvoir la sécurité et la confidentialité des renseignements statistiques. Il s’agit entre autres de formation, de manuels, de courriels, d’articles dans @statcan, d’événements spéciaux et d’affiches. L’équipe de vérification a constaté que les méthodes utilisées pour communiquer avec les employés du Bureau et de la Direction des opérations régionales afin de promouvoir la sécurité et la confidentialité sont efficaces. Les entrevues menées auprès des employésà Ottawa et dans les régions ont montré que les employés comprennent l’importance de la sécurité et de la confidentialité.

Les preuves recueillies montrent que les contrôles du personnel sont en place et sont efficaces. Par conséquent, il n’y a pas lieu de formuler de recommandations.

IV – Contrôles opérationnels

Les identificateurs personnels sont supprimés des fichiers principaux et sont conservés séparément de ces derniers dès qu’ils ne sont plus nécessaires, et les violations de la confidentialité sont signalées au statisticien en chef.

L’équipe de vérification s’attendait à constater que les identificateurs personnels sont supprimés des fichiers statistiques principaux. La vérification a révélé que, dans le cas des enquêtes sociales, les identificateurs personnels sont supprimés tôt dans le processus tandis que dans le cas des enquêtes économiques, ils sont supprimés beaucoup plus tard. Cette question a été une source de préoccupation pour les vérificateurs qui ont décidé de l’approfondir. Il a été déterminé que, dans le cas des enquêtes économiques, les identificateurs personnels sont nécessaires durant toute l’étape de l’analyse mais qu’ils sont supprimés dès qu’ils ne sont plus nécessaires.

Il existe de nombreuses sources d’information recommandant aux employés de signaler les éventuelles violations de la confidentialité. Il s’agit, entre autres, de la Politique sur la sécurité des renseignements statistiques de nature délicate de 2007, du Manuel des pratiques de sécurité, chapitre 2 (révisé à l’été de 2007) et du site Web de sensibilisation à la confidentialité.

Au niveau régional, le risque d’une violation de sécurité est beaucoup plus élevé à l’étape de la collecte. L’équipe de vérification a trouvé des preuves de l’existence de procédures claires pour signaler une violation de la sécurité. Les intervieweurs et les intervieweurs principaux reçoivent des instructions sur la façon de déclarer la perte d’un document confidentiel ainsi que de déclarer immédiatement la perte ou le vol d’ordinateurs portables. Ultérieurement, le directeur régional est informé et des mesures correctives sont prises. L’équipe de vérification a observé des fichiers documentés du Bureau portant sur des violations de confidentialité. Les procédures en place ont été suivies et les mesures correctives appropriées ont été prises.

Les preuves recueillies montrent que des contrôles opérationnels sont en place et qu’ils sont efficaces. Par conséquent, il n’est pas nécessaire de formuler de recommandations.

Annexe A

Critères de vérification
Objectifs Critères de vérification
Contrôles de l’accès physique 1. L’accès aux immeubles est réglementé.
2. L’accès aux zones protégées dans les immeubles est réglementé.
3. La transmission physique de l’information à l’intérieur et à l’extérieur de SC est faite conformément aux normes approuvées.
4. L’information est stockée, marquée et supprimée conformément aux normes approuvées.
5. L’accès physique aux serveurs est réglementé.
6. Le matériel informatique est réparé dans les locaux de SC par des employés de SC.
Contrôles de l’accès électronique 7. Les postes de travail, les serveurs sont configurés avec des contrôles d’accès.
8. La transmission électronique de l’information à l’intérieur et à l’extérieur de Statistique Canada est faite conformément aux normes approuvées.
9. Le stockage de l’information sur des supports de stockage amovibles est fait selon les procédures de sécurité approuvées par la DSTI.
10. L’information est traitée, stockée, consultée ou transmise uniquement sur le réseau A afin d’empêcher tout accès non autorisé de la part du public.
11. Tous les ordinateurs portables sont dotés de fonctions de chiffrement intégral des données stockées ayant été approuvées par la DSTI.
12. Avant d’être mis au rebut, les ordinateurs sont nettoyés selon les méthodes approuvées par la DSTI.
Contrôles du personnel 13. L’information sur la confidentialité est communiquée à tous les employés de façon régulière.
Contrôles opérationnels 14. Les identificateurs personnels sont supprimés des fichiers principaux et sont conservés séparément de ces derniers dès qu’ils ne sont plus nécessaires au traitement des données.
15. Les violations de la confidentialité, s’il y a lieu, sont signalées officiellement à l’agent de la Sécurité du Bureau, qui en informe le statisticien en chef.

 

Annexe B

 

Acronymes
BR Bureau régional
DOI Division des opérations et de l'intégration
DSTI Division des services de technologie informatique
EDPE Enquête sur les dépenses de protection de l'environnement
ELNEJ Enquête longitudinale nationale sur les enfants et les jeunes
EPA Enquête sur la population active
EVI Enquête sur les voyages internationaux
IPAO Interview sur place assistée par ordinateur
IPC Interview utilisant papier et crayon
ITAO Interview téléphonique assistée par ordinateur
ODMTC Enquête sur l'origine et la destination des marchandises transportées par camion
SACD Division des services d'accès et de contrôle des données
SAIGM Système automatisé d'information sur la gestion du matériel
SDAD Système de demande d'accès aux données
SSPTB Services de soutien aux postes de travail du Bureau
StatCan Statistique Canada

 

Note

 

  1. Les acronymes sont définis à l’annexe B.
  2. Les paradonnées sont des renseignements liés à un processus de collecte de production de données statistiques se rapportant à une personne, une entreprise ou un organisme identifiable. Il s’agit généralement d’un type de renseignements utiles aux intervieweurs (p. ex. , meilleur moment pour appeler, type de répondant, etc. ).
  3. Les mesures sécuritaires de base à Statcan consistent en la sécurité du périmètre, y compris les caméras, gardiens et barrières.
  4. La structure de comités à Statcan est un élément essentiel de la gouvernance. Les sujets sont discutés d’abord à un comité de gestion tel le Comité de coordination de la sécurité. Le président de ce comité présentera par la suite le résultat des délibérations au Comité des politiques qui rendra une décision si nécessaire. Le Comité des politiques est présidé par le Statisticien en chef et chapeaute tous les comités.