Vérification de l'Accord de partage de données
Ministre de l'Énergie de l'Alberta

Rapport de vérification

17 décembre 2012
Numéro de projet : 80590-73

Résumé

Pour remplir son mandat, la Division de la fabrication et de l'énergie (DFE) conclut des accords de partage de données statistiques avec des organisations en vertu de l'article 12 de la Loi sur la statistique. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété en parts égales d'au moins deux partenaires. Les accords de partage de données (APD) sont un processus opérationnel clé. Ces dernières années, la gestion du partage des données a pris de l'ampleur et est devenue de plus en plus complexe. Assurer la confidentialité des données présente un défi.

Afin de protéger la confidentialité et la nature délicate des renseignements recueillis, les APD comprennent des modalités pour faire en sorte que la confidentialité des renseignements ne soit pas compromise.

L'objectif de la présente vérification est de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :

  • les modalités de l'Accord de partage de données (APD) entre Statistique Canada et le Ministre de l'Énergie de l'Alberta sont respectées.

La vérification a été effectuée par la Division de la vérification interne en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Bien que la portée de la vérification ait été limitée à un APD en particulier, il a été déterminé que la nature des constatations avait un impact sur le processus plus large de la gestion des accords de partage de données au sein de lagence. Conséquemment, le Comité des politiques de Statistique Canada a contribué à la réponse de la direction et le plan d'action pour donner suite aux conclusions et recommandations au niveau corporatif.

Principales constatations

À Statistique Canada, les rôles et responsabilités en matière de mise en œuvre et de gestion de l'APD avec le Ministre de l'Énergie de l'Alberta sont définis et les pratiques à cet égard sont en place, mais la vérification a montré qu'on ne s'y conforme pas toujours parce que les lignes directrices internes au niveau du programme ne sont pas suffisamment claires.

Il y a lieu de renforcer les pratiques de gestion de l'APD à la DFE pour faire en sorte que les renseignements confidentiels communiqués au ministère de l'Énergie de l'Alberta portent seulement sur les années auxquelles il est fait référence dans l'APD.

La vérification a montré que des pratiques et des procédures de partage des renseignements confidentiels de Statistique Canada existent mais qu'il y a lieu de les renforcer. Le cadre stratégique pour la gestion des APD et la diffusion anticipée des microdonnées confidentielles devrait être plus clair et mieux intégré de manière à en assurer l'application uniforme et appropriée.

Au ministère de l'Énergie de l'Alberta, les protocoles internes de gestion et de traitement des renseignements confidentiels de Statistique Canada n'ont pas toujours été suivis parce que les employés ne comprenaient pas bien leurs rôles et responsabilités.

Des contrôles efficaces de l'accès physique aux locaux du ministère de l'Énergie de l'Alberta sont en place. Des contrôles d'accès logique et des mesures d'identification et d'authentification sont en place et contrôlées par le groupe des technologies de l'information (TI). Toutefois, il existe des possibilités de renforcer les contrôles d'accès aux données en veillant à ce que les microdonnées de Statistique Canada soient entreposées de façon sécuritaire et accessibles seulement aux personnes autorisées au ministère de l'Énergie de l'Alberta, conformément aux modalités de l'APD.

Conclusion générale

Le Ministre de l'Énergie de l'Alberta a conclu un accord de partage de données statistiques avec Statistique Canada à des fins statistiques et de recherche et pour faciliter la prise de décisions portant sur le secteur de l'énergie dans la province.

Même si Statistique Canada a énoncé les rôles et responsabilités en matière de gestion des APD, il est nécessaire de fournir plus de précisions sur les rôles et responsabilités afin d'assurer la bonne gestion des microdonnées confidentielles. Améliorer le cadre stratégique pour la gestion des APD et la diffusion anticipée des microdonnées confidentielles aurait pour effet de garantir l'application uniforme et appropriée des politiques et des directives.

Des mesures de gérance des données sont en place au ministère de l'Énergie de l'Alberta mais il y a lieu de les appliquer pour faire en sorte que seules les personnes autorisées aient accès aux microdonnées confidentielles de Statistique Canada et que celles-ci soient entreposées conformément aux modalités énoncées dans l'APD.

Conformité aux normes professionnelles

La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, selon les résultats du Programme d'assurance et d'amélioration de la qualité.

Patrice Prud'homme
Dirigeant principal de la vérification

Introduction

Contexte

Le secteur de la statistique de l'énergie est l'un des deux programmes spécialisés de la Division de la fabrication et de l'énergie (DFE) à Statistique Canada ayant pour mandat de recueillir, compiler, analyser, dépouiller et publier des renseignements statistiques sur les activités des entreprises canadiennes dans le secteur de l'énergie. Les statistiques sur les caractéristiques financières, industrielles, opérationnelles et liées à l'emplacement du secteur de l'énergie sont obtenues au moyen de 23 enquêtes sur l'offre et la demande d'énergie, soit 8 enquêtes mensuelles, 2 enquêtes trimestrielles et 13 enquêtes annuelles. Les principales formes d'énergie couvertes sont le pétrole brut, le gaz naturel, le charbon, l'électricité et les produits pétroliers raffinés. La Section de la statistique de l'énergie produit des données sur les industries de production et de distribution d'énergie, la consommation de formes d'énergie particulières, l'exploitation et les technologies.

Le secteur de l'énergie a pris de l'importance en raison de nouveaux enjeux tels que la hausse des prix de l'énergie, la déréglementation des marchés de l'électricité et du gaz naturel, la sécurité énergétique et les dépendances, ainsi que les émissions de gaz à effet de serre résultant de la production et de la consommation de combustibles fossiles.

Pour remplir son mandat, la DFE conclut des accords de partage de données statistiques (APD) avec des organisations en vertu de l'article 12 de la Loi sur la statistique. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsqu'il entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage des données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques. L'APD avec le ministère de l'Énergie de l'Alberta a été signé en 2010 et porte sur 21 enquêtes mensuelles et annuelles sur l'énergie.

Les enquêtes mensuelles permettent de recueillir des données volumétriques détaillées sur la production, les importations, les exportations, le transport par pipeline et les ventes intérieures de diverses ressources énergétiques. Les enquêtes trimestrielles et annuelles sur la destination de l'énergie fournissent des données sur la consommation des ressources énergétiques par les secteurs clés, notamment l'exploitation minière et l'extraction du pétrole et du gaz, la fabrication, l'exploitation forestière, la construction, le transport et l'agriculture ainsi que les secteurs résidentiel, commercial et institutionnel. D'autres enquêtes annuelles fournissent des renseignements opérationnels et techniques, par exemple sur les capacités de production des centrales électriques, les émissions de gaz à effet de serre des grandes exploitations industrielles ou les états financiers de l'industrie énergétique.

Dans le cas de la plupart des enquêtes, les données sont recueillies directement auprès des répondants. Font exception les données sur la production mensuelle d'électricité, de pétrole brut et de gaz naturel ainsi que celles sur les importations et les exportations d'énergie lorsque ces données proviennent de sources administratives fédérales et provinciales.

Le ministère de l'Énergie de l'Alberta peut utiliser les renseignements communiqués en application de l'APD se rapportant à un répondant identifiable à des fins statistiques et de recherche seulement. La vérification permettra de s'assurer que la confidentialité des renseignements n'est pas compromise et que les données sont protégées.

Objectifs de la vérification

L'objectif de la vérification est de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :

  • les modalités de l'Accord de partage de données (APD) entre Statistique Canada et le Ministre de l'Énergie de l'Alberta sont respectées.

Portée

La portée de la présente vérification comprenait un examen des modalités prévues dans l'APD pour faire en sorte que la confidentialité des renseignements soit protégée. La vérification a porté plus particulièrement sur les mesures de protection de la confidentialité et de la sécurité (accès physique, entreposage et transmission des TI, entreposage physique, copie et rétention de l'information et gestion des dossiers) au ministère de l'Énergie de l'Alberta afin de s'assurer de la protection des données et du respect de la confidentialité.

Approche

La vérification comprenait un examen des politiques, procédures et renseignements pertinents pour l'administration et la gestion de l'accord avec le Ministre de l'Énergie de l'Alberta. On a procédé à des entrevues avec le personnel et la direction de la DFE et on a examiné, passé en revue et testé les processus et procédures en place à la DFE. L'approche au ministère de l'Énergie de l'Alberta comprenait des entrevues avec les cadres supérieurs clés, ainsi qu'un examen et une revue des processus et des procédures pour s'assurer que les modalités de l'APD entre Statistique Canada et le Ministre de l'Énergie de l'Alberta sont respectées, en mettant l'accent sur l'existence d'exigences en matière de sécurité, la conformité à ces exigences et le maintien de la confidentialité des données.

La présente vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI) et de la Politique sur la vérification interne du Conseil du Trésor.

Autorité

La vérification a été menée en vertu des pouvoirs prévus dans le Plan pluriannuel de vérification axé sur les risques pour 2012-2013 à 2014-2015 de Statistique Canada recommandé par le Comité ministériel de vérification en avril 2012 et approuvé ensuite par le statisticien en chef.

Conclusions, recommandations et réponses de la direction

Secteur d'intérêt no° 1 : Les modalités de l'Accord de partage de données (APD) entre Statistique Canada et le Ministre de l'Énergie de l'Alberta sont respectées.

Environnement de contrôle pour la gestion de l'APD

À la Division de la fabrication et de l'énergie (DFE), les rôles et responsabilités en matière de mise en œuvre et de gestion de l'APD sont définis et les pratiques à cet égard sont en place mais on ne s'y conforme pas toujours parce que les lignes directrices internes ne sont pas suffisamment claires.

Il y a lieu de renforcer les pratiques de gestion de l'APD en place à la DFE pour faire en sorte que les renseignements confidentiels communiqués au ministère de l'Énergie de l'Alberta portent seulement sur les années auxquelles il est fait référence dans l'accord.

Des pratiques et des procédures de partage des renseignements confidentiels de Statistique Canada existent mais il y a lieu de les renforcer. Le cadre stratégique pour la gestion des APD et la diffusion anticipée des microdonnées confidentielles devrait être plus clair et mieux intégré de manière à en garantir l'application uniforme et appropriée.

Les rôles, responsabilités et obligations de rendre compte à l'appui d'une bonne gestion des modalités des APD doivent être clairement définis de manière à assurer l'efficience et l'efficacité des opérations. Il faut surveiller le rendement opérationnel afin de détecter les erreurs éventuelles susceptibles d'accroître le risque opérationnel.

Autorité

Statistique Canada exerce son mandat qui consiste à conclure des accords de partage de données (APD) avec d'autres organisations en vertu des articles 11 et 12 de la Loi sur la statistique.

À l'appui de ses activités d'élaboration de politiques et de données, le ministère de l'Énergie de l'Alberta a besoin de renseignements exacts sur divers aspects de la production, de la consommation et de la production d'énergie dans la province. Par conséquent, en vertu de l'article 12 de la Loi sur la statistique, Statistique Canada a conclu avec le Ministre de l'Énergie de l'Alberta un APD pour le partage des renseignements tirés des 21 enquêtes sur l'énergie énumérées dans cet accord.

Politique cadre relative aux accords de partage de données

Les rôles et responsabilités liés aux exigences en matière d'élaboration, de mise en œuvre et de surveillance des APD sont énoncés dans la Directive sur le partage des données en vertu des articles 11 et 12. Cette directive précise que la Division de la gestion de l'information (DGI), de concert avec les Services juridiques, rédige les accords de partage de données à la demande des directeurs des programmes statistiques. La DGI doit également fournir le soutien nécessaire aux gestionnaires au moment de l'élaboration de nouveaux accords de partage de données ou d'accords modifiés avec les destinataires, en application de l'article 12 de la Loi sur la statistique. Les divisions spécialisées sont chargées de communiquer avec les organisations destinataires durant les négociations et la rédaction des accords.

Pratiques de gestion de l'Accord de partage de données

L'APD avec le Ministre de l'Énergie de l'Alberta a été rédigé par la DGI et signé en janvier 2010. La Section de la statistique de l'énergie (SSE) à la Division de la fabrication et de l'énergie (DFE) assure la liaison entre le ministère de l'Énergie de l'Alberta et Statistique Canada et est chargée de la mise en œuvre de l'APD. La Section des services de diffusion et de base de sondage (SDBS) à la DFE assure la liaison entre le ministère de l'Énergie de l'Alberta et la DGI en ce qui concerne la négociation et la rédaction de l'accord, et supervise la transmission sécuritaire des fichiers d'enquête préparés au ministère de l'Énergie de l'Alberta.

À la réception du ministère de l'Énergie de l'Alberta d'une demande de données en vertu de l'APD, la SSE prépare les fichiers de microdonnées demandés pour s'assurer qu'ils comprennent seulement les données portant sur la province et que les renseignements fiscaux ont été supprimés, et les dépose dans un répertoire sur l'unité partagée. Elle informe le personnel de la SDBS que les fichiers sont prêts à être transférés. Les fichiers de microdonnées sont ensuite préparés aux fins de transmission sécuritaire, soit sur disque d'ordinateur (CD), soit par transfert électronique de fichiers (TEF) par la SDBS.

Conformément à la Directive sur le partage des données en vertu des articles 11 et 12, la division spécialisée tient un registre de contrôle dans lequel sont indiqués l'organisation, l'article de la Loi sur la statistique en vertu duquel l'APD a été conclu, le nom du destinataire officiel, le nom de l'utilisateur final, la date d'envoi au destinataire, la date de réception par le destinataire et la méthode de transmission. Le registre contient également une description du contenu, soit le nom du fichier, la période de référence couverte, le numéro d'enquête, la date de réception de la demande, le spécialiste du domaine (SD) qui a préparé le fichier, le nom de la personne qui a préparé les microdonnées en vue de leur transmission et le délai de traitement de la demande.

Depuis la mise en œuvre de l'APD, le ministère de l'Énergie de l'Alberta a demandé deux ensembles de données sur CD. Le premier, contenant les données de l'Enquête mensuelle sur le charbon, a été demandé et envoyé en janvier 2011. Un examen du registre de contrôle de transmission a révélé que cette demande de microdonnées a été faite et transmise par la personne-ressource autorisée à la direction de l'économie et des marchés (EM pour Economics and Markets Branch) au ministère de l'Énergie de l'Alberta. Cette demande a été traitée à Statistique Canada par le spécialiste du domaine pour l'enquête à la Section de la statistique de l'énergie.

La deuxième demande portait sur les données de l'Enquête annuelle sur les mines de charbon, et le CD a été envoyé en octobre 2011. Le personnel de la SDBS est tenu d'apparier les coordonnées de la personne-ressource fournies par le spécialiste du domaine et de celle identifiée dans l'accord pour faire en sorte que les CD soient transmis seulement à la personne-ressource autorisée. Le registre de contrôle de transmission des données montre que cette demande a été faite directement par l'utilisateur final et non par la personne-ressource autorisée et l'administrateur de données. La demande a été traitée par la SSE et envoyée directement à l'utilisateur final et non à la personne-ressource autorisée comme l'exigent les modalités de l'APD. La vérification a montré que le document interne «Procédures – Transmission de fichiers» ne fournit pas de directive claire précisant qui est autorisé à recevoir les données.

La vérification a permis de conclure qu'à Statistique Canada, les rôles et responsabilités en matière de mise en œuvre et de gestion de l'APD sont définis et les pratiques à cet égard sont en place mais on ne s'y conforme pas toujours parce que les lignes directrices internes ne sont pas suffisamment claires.

Aux fins du partage des microdonnées de Statistique Canada en vertu de l'article 12 de la Loi sur la statistique, il est nécessaire de donner aux répondants préavis du partage proposé et de leur donner le droit de refuser d'autoriser le partage des renseignements les concernant. Il est tenu compte de cette exigence dans la disposition de l'APD avec le Ministre de l'Énergie de l'Alberta qui stipule que

«chaque questionnaire d'enquête utilisé par Statistique Canada contiendra une déclaration à l'effet que les renseignements fournis peuvent être communiqués par Statistique Canada au ministère de l'Énergie de l'Alberta, à moins que le répondant ne s'oppose à pareil partage, tel que requis par la Loi sur la statistique fédérale». [Traduction]

L'examen du deuxième fichier de données (de l'Enquête annuelle sur les mines de charbon) préparé et acheminé au ministère de l'Énergie de l'Alberta a révélé que Statistique Canada a transmis au ministère de l'Énergie de l'Alberta des données pour des années civiles qui n'étaient pas visées par l'APD. L'APD couvre les données de l'Enquête sur le charbon à compter de 2010, mais des microdonnées confidentielles portant sur les années 2006, 2007 et 2008 ont été transmises au destinataire.

Les répondants à l'enquête n'ont pas eu la possibilité de s'opposer au partage de renseignements avec le ministère de l'Énergie de l'Alberta portant sur ces années, ce qui est contraire tant à la Loi sur la statistique fédérale qu'à l'Accord de partage de données avec le Ministre de l'Énergie de l'Alberta.

Partage des renseignements confidentiels de Statistique Canada

Les renseignements confidentiels transmis aux destinataires désignés dans l'APD avant leur diffusion officielle dans Le Quotidien sont assujettis à la Politique sur la diffusion officielle dans Le Quotidien. Cette politique énonce quatre conditions que doivent satisfaire les organisations afin d'avoir accès à de nouveaux ensembles de données ou produits d'information avant leur diffusion officielle dans Le Quotidien et précise les types d'arrangements et les formules de demande qui doivent être en place pour permettre la diffusion anticipée de renseignements statistiques de nature délicate. Ces conditions comprennent ce qui suit :

  • autorisation du greffier du Conseil privé sur recommandation du statisticien en chef;
  • ententes sur les données en cours d'élaboration ou évaluations par les pairs;
  • partenariats externes dans le cadre de programmes de collaboration (programmes en régime de recouvrement des coûts, gouvernance commune et programmes administratifs);
  • autorisation par le statisticien en chef de la diffusion de l'information avant la publication officielle dans des circonstances spéciales, lorsque les avantages justifient l'exception.

La vérification a permis de déterminer que des données provisoires de l'Enquête annuelle sur le charbon pour 2010 qui n'avaient pas été traitées entièrement ont été communiquées au ministère de l'Énergie de l'Alberta en octobre 2011, avant leur diffusion officielle dans Le Quotidien en mai 2012. Dans ce cas, aux fins de la diffusion préalable des données, un formulaire de demande de diffusion anticipée aurait dû être rédigé et présenté à la Division des communications pour approbation, conformément à la Politique. Cela n'a pas été fait.

La vérification a montré que, selon le personnel du secteur de programme à la DFE, la diffusion anticipée de microdonnées est acceptable lorsqu'il existe un APD en vertu de l'article 11 ou de l'article 12. À la Sous-section de la diffusion, il est entendu qu'en raison de la portée de la Politique, les conditions régissant la diffusion anticipée ne sont pas applicables aux APD. Il s'agit d'une interprétation de la disposition qui porte sur le champ d'application de la Politique selon laquelle

«le partage de microdonnées d'enquête en vertu des articles 11 et 12 de la Loi sur la statistique est régi par les dispositions de la Loi sur la statistique ainsi que par celles des ententes de partage de données».

Selon les responsables du programme, cette disposition est une clause d'exclusion. Les responsables de la vérification ont confirmé auprès de la Division des communications et de la Division de la gestion de l'information que les APD sont visés par la Politique et que pareille diffusion anticipée de microdonnées est donc assujettie à cette Politique. La vérification a révélé également que la Directive sur le partage des données en vertu des articles 11 et 12 ne fournit pas de lignes directrices sur les différentes exigences dont les responsables des programmes devraient être au courant au moment de diffuser des renseignements protégés comprenant des microdonnées ou des agrégats statistiques à un niveau confidentiel.

Une deuxième source de confusion dans l'APD avec le Ministre de l'Énergie de l'Alberta a été portée à l'attention de l'équipe de vérification. Selon le personnel de la DFE, l'APD comprend une clause laissant entendre que le partage de microdonnées est permis. Les clauses 4 et 5(1) de l'APD avec le ministère de l'Énergie de l'Alberta énoncent ce qui suit :

4. Le Ministère (ministère de l'Énergie de l'Alberta) peut diffuser ou publier seulement des agrégats statistiques tirés des renseignements qui lui sont fournis en application du présent accord. Toutefois :

5.(1) Le Ministère (ministère de l'Énergie de l'Alberta) ne procédera pas à leur diffusion ou publication avant leur diffusion officielle par Statistique Canada. [Traduction]

Selon les responsables du programme, étant donné que l'accord précise que le Ministère (ministère de l'Énergie de l'Alberta) convient de diffuser ou de publier les données seulement après leur diffusion officielle par Statistique Canada, il est permis de communiquer des microdonnées confidentielles avant leur publication officielle par Statistique Canada.

Un examen des nouveaux modèles d'APD approuvés pour les accords avec les provinces, y compris les accords généraux, le gouvernement fédéral et les sociétés d'État a révélé que tous les modèles comprennent des clauses semblables et donc laissent supposer par inadvertance le partage de microdonnées avec des partenaires externes avant la diffusion officielle par Statistique Canada dans Le Quotidien. Cela est contraire à la Politique sur la diffusion officielle dans Le Quotidien de Statistique Canada.

La vérification a permis de conclure que des pratiques et des procédures de partage des renseignements confidentiels de Statistique Canada existent mais qu'il y a lieu de les renforcer. Le cadre stratégique pour la gestion des APD et la diffusion anticipée de microdonnées confidentielles devrait être plus clair et mieux intégré de manière à en assurer l'application uniforme et appropriée.

Gestion des risques et surveillance

La DFE procède annuellement à un exercice formel d'évaluation des risques, en vue d'évaluer et de surveiller l'environnement interne (processus d'enquête) et l'environnement externe afin de déterminer les risques et de fournir un apport à l'exercice de planification intégrée. L'Examen de rendement de programme de 2010 a permis de déterminer que la gestion de tous les APD conclus par la DFE devrait être centralisée. À la suite de cet examen, la fonction de gestion de tous les APD à la DFE a été centralisée et confiée à la Section des services de diffusion et de base de sondage (SDBS) au sein de la Division.

La surveillance est prescrite par Statistique Canada dans une clause de vérification incluse dans l'APD. La direction EM est chargée de la surveillance de l'APD au ministère de l'Énergie de l'Alberta. Étant donné que le ministère de l'Énergie de l'Alberta a demandé seulement deux ensembles de données et qu'aucun contrat n'a été passé avec un chercheur pour fournir des produits ou services liés aux enquêtes dans les locaux de l'énergie de l'Alberta, la direction EM n'a procédé à aucun contrôle.

L'APD de Statistique Canada avec le Ministre de l'Énergie de l'Alberta comprend une disposition énonçant les exigences en cas d'accès non autorisé. Aucun cas d'accès non autorisé n'a été déclaré à Statistique Canada par le ministère de l'Énergie de l'Alberta.

Recommandations :

Le statisticien en chef adjoint (SCA), Statistique du commerce et des entreprises, doit veiller à ce que :

  • les employés comprennent leurs rôles et responsabilités en ce qui a trait au traitement et à la gestion des renseignements confidentiels de Statistique Canada;
  • seuls les renseignements confidentiels se rapportant aux enquêtes dont il est fait mention dans un accord de partage de données valide et aux cycles de ces enquêtes, et du partage desquels les répondants ont été informés, soient partagés avec des partenaires externes en vertu de l'article 12 de la Loi sur la statistique;
  • les conditions énoncées dans la Politique sur la diffusion officielle dans Le Quotidien d'accès aux ensembles de données et produits d'information diffusés par anticipation aux partenaires de l'extérieur soient respectées.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

La DFE a conclu des APD avec un grand nombre (30 et croissant) de partenaires et d'organisations utilisatrices dans tout le pays. En 2012, la Division a cerné comme risque et priorité stratégique dans son RPP la nécessité d'améliorer la gestion de ces APD en raison de leur nombre croissant, de la complexité de ce travail, du taux élevé de roulement du personnel et des répercussions éventuellement importantes des problèmes qui pourraient survenir. Au cours du dernier exercice, la DFE a reçu du financement du processus de planification à long terme pour lui permettre de prendre de mesures pour relever ce défi. Plusieurs des stratégies connexes aideront à garantir que les problèmes qui se sont posés dans le cas du ministère de l'Énergie de l'Alberta ne se poseront pas à l'avenir.

  • Le directeur de la DFE demandera au ministère de l'Énergie de l'Alberta de détruire les données qu'il a reçues portant sur les années 2006 à 2008 (enquête annuelle sur le charbon) et les années 2006 à 2009 (enquête mensuelle sur le charbon) et demandera de recevoir par écrit confirmation de la date à laquelle les données ont été détruites.

    Produits livrables et échéance : Lettre du directeur de la DFE au ministère de l'Énergie de l'Alberta en novembre 2012
  • Centralisation de la gestion des APD à la Section des services de diffusion et de base de sondage (SDBS) de la DFE. Cela permettra d'acquérir les compétences spécialisées, l'expérience et les ressources d'appui nécessaires, de se doter de procédures de contrôle et de suivi améliorées et d'accroître la responsabilisation.

    Produits livrables et échéance : Le directeur de la DFE a établi la nouvelle section centralisée chargée de gérer les APD pour le compte de la DFE en mars 2012.
  • Le personnel de la nouvelle section centralisée reçoit une formation périodique portant sur les règles et procédures de gestion des APD.

    Produits livrables et échéance : Le chef de la Section des services de diffusion et de base de sondage est chargé de veiller à ce qu'une formation périodique soit assurée au personnel. Jusqu'ici, la formation a été fournie en mai et octobre 2012.
  • La DGI présentera aux employés de la DFE annuellement de l'information sur la confidentialité et la sécurité.

    Produits livrables et échéance : Le chef de la SDBS est chargé de s'assurer que des séances d'information sont données par la DGI aux employés de la DFE à toutes les réunions du personnel, sur une base annuelle. La première séance a eu lieu en juin 2012.
  • L'information sur les nouveaux processus et l'organisation est communiquée à la direction de la DFE.

    Produits livrables et échéance : Le chef de la SDBS a envoyé des instructions à tous les gestionnaires de la DFE en juillet 2012.
  • Des procédures détaillées et une liste de contrôle pour le personnel s'occupant des APD seront élaborées.

    Produits livrables et échéance : Le chef de la SDBS a préparé et a assuré la mise en œuvre de la liste de contrôle en mai 2012. La liste de contrôle a été mise à jour en octobre 2012.
  • Un nouveau certificat obligatoire d'enregistrer la conformité de l'information partagée sera signé par les directeurs de programme à chaque fois qu'un fichier est fourni à un partenaire externe.

    Produits livrables et échéance : Une nouvelle procédure, les dossiers et la documentation seront élaborés par la DGI et suivie par les directeurs de programme d'ici juin 2013.
  • Une nouvelle exigence obligatoire afin que les partenaires externes accusent réception de l'information et soient conscients des conditions énoncées dans l'accord de partage de données à chaque fois qu'un fichier partagé leur est fournie.

    Produits livrables et échéance : Une nouvelle procédure, les dossiers et la documentation seront élaborés par la DGI et suivie par les directeurs de programme d'ici juin 2013.
  • Une nouvelle session de formation obligatoire pour les directeurs de programme à propos des accords de partage de données.

    Produits livrables et échéance : Formation par la DGI et la Division du Perfectionnement des Ressources Humaines (DPRH) d'ici juin 2013.
  • Rappels aux gestionnaires de programme afin qu'ils suivent le protocole de communication et de signaler rapidement les incidents au niveau de gestion approprié.

    Produits livrables et échéance : Rappels aux programmes par les SCA et les équipes de direction d'ici décembre 2012.

Recommandations

Le statisticien en chef adjoint (SCA), Statistique du commerce et des entreprises, de concert avec le SCA, Informatique et Méthodologie et le SCA, Recensement, Opérations et Communications, doit veiller à ce que :

  • de concert avec la DGI, l'APD avec le Ministre de l'Énergie de l'Alberta soit modifié de manière à préciser que les microdonnées ne peuvent être communiquées au ministère de l'Énergie de l'Alberta avant leur diffusion officielle par Statistique Canada;
  • la clause dans les nouveaux modèles d'APD pour les accords avec les provinces, y compris les accords généraux, le gouvernement fédéral et les sociétés d'État soit modifiée de manière à préciser que les microdonnées ne peuvent pas être partagées avec les partenaires externes avant leur diffusion officielle par Statistique Canada à moins que les conditions de diffusion préalables énoncées dans la Politique sur la diffusion officielle dans Le Quotidien soient remplies;
  • les conditions énoncées dans la Directive sur le partage des données en vertu des articles 11 et 12 de la Loi sur la statistique soient conformes à celles énoncées dans la Politique sur la diffusion officielle dans Le Quotidien que les divisions spécialisées doivent remplir aux fins de la diffusion anticipée de renseignements statistiques de nature délicate.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

  • Le directeur de la DGI et le directeur de la DFE prépareront un modèle d'APD mis à jour qui remplacera l'APD avec le ministère de l'Énergie de l'Alberta.

    Produits livrables et échéance : Un modèle d'APD mis à jour signé par Statistique Canada et le ministère de l'Énergie de l'Alberta d'ici le printemps 2013
  • Le directeur de la DGI préparera un modèle d'APD mis à jour.

    Produits livrables et échéance : Un modèle d'APD mis à jour d'ici le printemps 2013
  • Le directeur de la DGI et le directeur général de la Division des communications assureront l'uniformité recommandée.

    Produits livrables et échéance : Mises à jour requises de la Directive sur le partage des données en vertu des articles 11 et 12 et de la Politique sur la diffusion officielle dans Le Quotidien d'ici mars 2013

Gérance des données

Au ministère de l'Énergie de l'Alberta, les protocoles internes de gestion et de traitement des renseignements confidentiels de Statistique Canada n'ont pas toujours été suivis parce que les employés ne comprenaient pas bien leurs rôles et responsabilités.

Des protocoles internes précisant les rôles et responsabilités en matière de bonne gestion des données ainsi que les pratiques et procédures à cet égard doivent être mis en place de manière à assurer la protection et la bonne garde des renseignements confidentiels de Statistique Canada.

Rôles et responsabilités du destinataire des données

Au ministère de l'Énergie de l'Alberta, la responsabilité fonctionnelle de l'administration et de la gestion des données des enquêtes sur l'énergie de Statistique Canada est confiée à la direction de l'économie et des marchés (EM pour Economics and Markets Branch) qui est l'administrateur de données et le destinataire désigné. La direction EM assure la liaison entre Statistique Canada et toutes les personnes au ministère de l'Énergie de l'Alberta qui demandent de l'information à Statistique Canada.

Dans le cadre des modalités de l'APD, au ministère de l'Énergie de l'Alberta l'accès aux renseignements confidentiels de Statistique Canada doit être accordé selon le principe du besoin de savoir aux employés dont les responsabilités professionnelles exigent pareil accès afin de permettre au Ministère de répondre à ses besoins statistiques et de recherche. La vérification a montré que le ministère de l'Énergie de l'Alberta a établi des protocoles internes précisant les procédures de transmission, de réception, de traitement et d'entreposage des microdonnées confidentielles de Statistique Canada au sein du Ministère. Les dispositions prévues dans l'APD sont incluses dans un protocole d'entente (PE) préparé par la direction EM. Les personnes qui présentent une demande d'accès doivent s'engager à respecter les dispositions en signant le PE.

Un examen du modèle de PE au ministère de l'Énergie de l'Alberta a révélé qu'en plus des dispositions ci-dessus, il contenait des dispositions précisant que la direction EM recevra toutes les microdonnées confidentielles de Statistique Canada et les transmettra ensuite aux personnes autorisées au sein du Ministère, et que les microdonnées confidentielles seront entreposées en lieu sûr pendant qu'elles sont en la possession de la direction EM et de toute personne au ministère de l'Énergie de l'Alberta.

Dans le cadre de la vérification, tous les PE signés devaient faire l'objet d'un examen en vue d'apparier et de confirmer les signatures des utilisateurs finals et les noms figurant dans les PE. On devait s'assurer que les noms des utilisateurs finals sur les formules étaient conformes aux noms figurant dans le registre de contrôle de transmission des données tenu par la SDBS. Par conséquent, on a trouvé un seul PE signé au ministère de l'Énergie de l'Alberta. Un examen de la situation au ministère de l'Énergie de l'Alberta a révélé que le premier utilisateur final ne comprenait pas son rôle et ses responsabilités et qu'il avait par conséquent donné accès à des microdonnées confidentielles à un employé dans sa direction pour lequel une demande d'approbation n'avait pas été présentée en bonne et due forme. Cela est contraire à l'exigence dans l'accord avec le ministère de l'Énergie de l'Alberta selon laquelle tous les utilisateurs de microdonnées confidentielles de Statistique Canada doivent recevoir l'approbation formelle de la direction EM et signer le PE pour indiquer leur engagement à respecter les dispositions de l'accord.

Au ministère de l'Énergie de l'Alberta, des protocoles internes de gestion et de traitement des renseignements confidentiels de Statistique Canada ont été documentés mais ils n'ont pas toujours été suivis parce que les employés ne comprenaient pas bien leurs rôles et responsabilités.

Tiers bénéficiaires

Aux termes de l'accord en vigueur, il est interdit au ministère de l'Énergie de l'Alberta de partager ou de communiquer des renseignements confidentiels de Statistique Canada à des tiers bénéficiaires de l'extérieur. Seuls les chercheurs travaillant à contrat directement pour le ministère de l'Énergie de l'Alberta, qui fournissent des produits ou services liés à une enquête dans les locaux du ministère de l'Énergie de l'Alberta sont autorisés à avoir accès aux microdonnées confidentielles de Statistique Canada.

La vérification a révélé que, conformément aux dispositions de l'accord, les renseignements confidentiels de Statistique Canada n'ont pas été communiqués à des tiers bénéficiaires de l'extérieur et le ministère de l'Énergie de l'Alberta n'a conclu aucun contrat avec un chercheur en vue de fournir un produit ou un service lié à une enquête dans les locaux du Ministère, tel que permis par l'accord.

Les microdonnées reçues de Statistique Canada doivent servir à des fins statistiques de recherche seulement et sont réservées à l'usage interne. La vérification a confirmé que les agrégats statistiques qui permettent d'identifier directement ou indirectement une personne, une entreprise commerciale ou un produit ne sont jamais diffusés ni publiés.

Recommandations :

Le statisticien en chef adjoint (SCA), Statistique du commerce et des entreprises, doit communiquer avec le ministère de l'Énergie de l'Alberta pour veiller à ce que :

  • les employés comprennent leurs rôles et responsabilités en ce qui a trait au traitement et à la gestion des renseignements confidentiels de Statistique Canada et signent le PE interne énonçant ces responsabilités.

Réponse de la direction :

La direction souscrit à la recommandation formulée.

  • Le directeur de la DFE s'assurera que le modèle d'APD mis à jour comprend tous les renseignements nécessaires que le modèle d'APD actuel englobe déjà.

    Produits livrables et échéance : Un modèle d'APD mis à jour signé par Statistique Canada et par le ministère de l'Énergie de l'Alberta et une réunion en personne dans les locaux du ministère de l'Énergie de l'Alberta en vue de fournir d'autres renseignements et conseils d'ici le printemps 2013

Sécurité matérielle et des technologies de l'information (TI)

Des contrôles de l'accès physique et logique efficaces sont en place au ministère de l'Énergie de l'Alberta, mais il y a lieu de renforcer les contrôles d'accès aux données en s'assurant que les microdonnées de Statistique Canada sont sous la garde de l'administrateur de données désigné, entreposées de façon sécuritaire et accessibles aux personnes autorisées seulement.

Les renseignements fournis au ministère de l'Énergie de l'Alberta sont désignés comme étant des renseignements « Protégés B », conformément à la définition de la Politique sur la sécurité du gouvernement fédérale. Le ministère de l'Énergie de l'Alberta est tenu de veiller à ce que le contrôle et la protection des renseignements matériels ou électroniques soient assurés de façon à protéger contre la perte, le vol, la violation ou la divulgation inappropriée. L'accès devrait être accordé uniquement aux employés selon le principe du « besoin de savoir » dans le cadre de leurs fonctions.

Accès physique aux locaux du ministère de l'Énergie de l'Alberta

Une inspection physique des locaux du ministère de l'Énergie de l'Alberta a été menée au cours de l'étape d'examen de la vérification. La vérification a montré que tous les étages du ministère de l'Énergie de l'Alberta sont sécuritaires et que seul le personnel autorisé y a accès. Un lecteur de cartes se trouve à l'extérieur de chaque série de portes et le personnel doit y glisser sa carte d'identité pour entrer. Les visiteurs doivent signer le registre à la réception; ils reçoivent un laissez-passer de visiteur qui doit être visible en tout temps mais qui n'autorise pas l'accès aux zones protégées; en outre, ils doivent être accompagnés en tout temps par une personne autorisée.

Accès physique aux fichiers de données

L'accès aux fichiers d'enquête de Statistique Canada est accordé seulement selon le principe du « besoin de savoir ». Au moment de la vérification, seulement deux employés avaient accès aux CD.

La vérification a montré que les CD des deux ensembles de données envoyés au ministère de l'Énergie de l'Alberta (Enquête annuelle sur le charbon et Enquête mensuelle sur le charbon) en application de l'APD conclu en vertu de l'article 12 sont conservés dans un coffre-fort verrouillé à clé dans la zone protégée de l'utilisateur final, conformément aux modalités de l'APD. Pour que le personnel puisse avoir accès à la clé du coffrer-fort, celle-ci est conservée dans un tiroir non fermé à clé du bureau d'un membre du personnel situé dans une aire ouverte, ce qui accroît le risque que des personnes non autorisées au ministère de l'Énergie de l'Alberta aient accès aux données.

Des données confidentielles de Statistique Canada sont conservées sur les CD originaux et ne sont pas transférées à un serveur, un ordinateur ou un autre support électronique.

Mesures d'identification et d'authentification, entreposage et transmission des TI

Au ministère de l'Énergie de l'Alberta, les appareils et les réseaux sont protégés par des contrôles d'accès logique et administrés par le groupe des TI. Des mots de passe sont requis pour avoir accès aux réseaux informatiques du ministère de l'Énergie de l'Alberta et doivent être mis à jour toutes les six semaines.

La « Policy for Maintaining Security of Government Data Stored on Electronic Data Storage Devices » (politique sur la sécurité des données du gouvernement entreposées sur dispositifs électroniques d'entreposage des données) du gouvernement de l'Alberta ne recommande pas le stockage des données de nature très délicate sur un ordinateur portatif ou une clé mémoire ou leur transmission au moyen d'un tel dispositif. Les clés USB sont utilisées seulement pour entreposer les présentations aux intervenants aux conférences et, lorsqu'elles sont utilisées,  elles sont protégées par un mot de passe. L'accès à distance aux renseignements ministériels est permis au moyen du système Citrix.

Des contrôles efficaces de l'accès physique et électronique aux locaux du ministère de l'Énergie de l'Alberta sont en place. Toutefois, il est possible de renforcer les contrôles d'accès aux espaces d'entreposage en s'assurant que les CD originaux de Statistique Canada sont sous la garde de l'administrateur de données désigné seulement et que la clé du coffre-fort contenant les CD est gardée en lieu sûr comme il se doit, conformément aux modalités de l'APD.

Recommandation :

Le statisticien en chef adjoint (SCA), Statistique du commerce et des entreprises, doit communiquer avec le ministère de l'Énergie de l'Alberta pour veiller à ce que :

  • les fichiers de microdonnées transmis par Statistique Canada soient conservés de façon sécuritaire et accessibles seulement aux personnes autorisées conformément aux modalités de l'APD.

Réponse de la direction :

La direction souscrit à la recommandation formulée.

  • Le directeur de la DFE s'assurera que le modèle d'APD mis à jour comprend tous les renseignements nécessaires que le modèle d'APD actuel englobe déjà.

    Produits livrables et échéance : Un modèle d'APD mis à jour signé par Statistique Canada et par le ministère de l'Énergie de l'Alberta et une réunion en personne dans les locaux du ministère de l'Énergie de l'Alberta en vue de fournir d'autres renseignements et conseils d'ici le printemps 2013

Annexes

Annexe A : Critères de vérification

Le tableau montre les résultats de annexe a : critères de vérification . Les données sont présentées selon secteur d'intérêt/contrôles de base/critères (titres de rangée) et sous-critères et instrument de politique, calculées selon 4.2.1 la surveillance active est manifeste. et modèle de contrôle de gestion de base (cgb) du bureau du contrôleur général unités de mesure (figurant comme en-tête de colonne).
Secteur d'intérêt/contrôles de base/critères Sous-critères Instrument de politique
Les modalités de l’Accord de partage de données (APD) entre Statistique Canada et le ministère de l’Énergie de l’Alberta sont respectées.
Reddition de comptes
1.1 Les pouvoirs et responsabilités sont clairement établis et communiqués et la séparation des fonctions est établie de la manière appropriée au niveau du programme et au ministère de l'Énergie de l'Alberta. (RC-1) 1.1.1 Les pouvoirs et responsabilités sont clairement établis et communiqués et la séparation des fonctions est établie de la manière appropriée au niveau du programme et au ministère de l'Énergie de l'Alberta. (RC-1) Modèle de contrôle de gestion de base (CGB) du Bureau du contrôleur général

Loi sur la statistique

APD avec le Ministre de l'Énergie de l'Alberta

Politique sur la sécurité des renseignements statistiques de nature délicate

Directive sur les accords de partage de données en vertu des articles 11 et 12
1.1.2 Les pouvoirs sont officiellement délégués, en fonction des responsabilités de chacun. Le cas échéant, les fonctions incompatibles ne sont pas combinées. CGB

Loi sur la statistique

Politique sur la sécurité des renseignements statistiques de nature délicate

Directive sur les accords de partage de données en vertu des articles 11 et 12

Procédures – transmission de fichiers de la DFE
1.2 Le ministère de l'Énergie de l'Alberta a établi des processus pour déterminer, solliciter, évaluer et gérer l'accord. (GE-22) 1.2.1 Les processus sont compris et suivis. CGB

Loi sur la statistique

APD avec le Ministre de l'Énergie de l'Alberta

Directive sur les accords de partage de données en vertu des articles 11 et 12

Modèle de protocole d'entente préparé par le ministère de l'Énergie de l'Alberta
Gestion des risques
2.1 La direction à la Division de la fabrication et de l'énergie (DFE) et au ministère de l'Énergie de l'Alberta détermine et évalue les risques qui pourraient entraver l'atteinte de ces objectifs et prend les mesures qui s'imposent. (GR-2 et 4) 2.1.1 Les risques sont déterminés et tiennent compte des environnements interne et externe. CGB

Registre des risques de la Division

Rapport de rendement de programme de la Division de la fabrication et de l'énergie
2.2 La direction détermine et évalue le caractère approprié des contrôles en place pour gérer ses risques. (GR-3) 2.2.1 Il existe des processus et des lignes directrices officiels afin d'évaluer les contrôles en place pour gérer les risques déterminés. Directive sur les accords de partage de données en vertu des articles 11 et 12

Politique sur la diffusion officielle dans Le Quotidien

APD avec le Ministre de l'Énergie de l'Alberta
Gérance
3.1 Les actifs sont protégés à la DFE et au ministère de l'Énergie de l'Alberta. (GE 9) 3.1.1 L'accès aux données est limité aux personnes autorisées et fait l'objet de contrôles de sécurité appropriés en conformité avec les dispositions des accords de partage de données (APD). SCT – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle

SCT – Directive sur la gestion de la sécurité ministérielle

Manuel des pratiques de sécurité
3.1.2 L'accès est limité. SCT – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle

Manuel des pratiques de sécurité

Politique sur la sécurité des renseignements statistiques de nature délicate
3.1.3 Il existe des procédures pour sauvegarder les données partagées à la suite de la résiliation d'un accord. SCT – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle

Manuel des pratiques de sécurité

Politique sur la sécurité des renseignements statistiques de nature délicate
3.1.4 Il existe des procédures pour protéger l'utilisation des données contre les abus ou les fraudes. SCT – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle

Manuel des pratiques de sécurité
3.2 Des contrôles des systèmes d'application appropriés sont en place au ministère de l'Énergie de l'Alberta. (GE-11) 3.2.1 Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées. SCT – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle

Manuel des pratiques de sécurité

Exigences de sécurité de base des technologies de l'information du gouvernement de l'Alberta

SCT – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle
3.2.2 Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées. Manuel des pratiques de sécurité de StatCan

Politique sur la sécurité des TI du gouvernement de l'Alberta

Politique sur l'utilisation d'internet et du courrier électronique du gouvernement de l'Alberta,

Politique sur la sécurité des renseignements statistiques de nature délicate
Résultats et rendement
4.1 La direction surveille le rendement réel en fonction des résultats escomptés et modifie son plan d'action, au besoin, de manière à mieux répondre aux exigences/besoins du programme (RR-3) 4.1.1 La responsabilité de la surveillance est clairement établie et communiquée et les résultats sont communiqués aux niveaux d'autorisation requis. Modèle de contrôle de gestion de base (CGB) du Bureau du contrôleur général
4.2.1 La surveillance active est manifeste. Modèle de contrôle de gestion de base (CGB) du Bureau du contrôleur général

Annexe B : Acronymes

Acronymes
Acronyme Description
CD Disque d'ordinateur (ou disque compact)
SC Statisticien en chef
CMV Comité ministériel de vérification
SDBS Services de diffusion et de base de sondage
APD Accord de partage de données
e-FT Transfert électronique de fichiers
EM Economics and Markets (direction de l'économie et des marchés)
SSE Section de la statistique de l'énergie
IVI Institut des vérificateurs internes
DGI Division de la gestion de l'information
TI Technologies de l'information
DFE Division de la fabrication et de l'énergie
PE Protocole d'entente
RPP Rapport de rendement de programme
SD Spécialiste du domaine
SCT Secrétariat du Conseil du Trésor