Rapport d'audit
14 novembre 2013
Numéro de projet : 80590-78
- Résumé
- Principaux résultats
- Conclusion générale
- Conformité aux normes professionnelles
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Autorité
- Conclusions, recommandations et réponse de la direction
- Cadre de gestion du risque
- Gérance
- Annexes
- Annexe A : Clauses pertinentes du PE
- Annexe B : Objectifs de l'audit
- Annexe C : Acronymes
Résumé
En vertu des conditions d'un protocole d'entente (PE) signé en 2011, l'Agence du revenu du Canada (ARC) et Statistique Canada se partagent de l'information afin de faciliter et de favoriser la recherche et l'analyse statistiques associées à l'administration de plusieurs de leurs programmes respectifs. La Division des données fiscales (DDF) est chargée d'élaborer des bases de données centralisées renfermant des microdonnées fiscales vérifiées et imputées accessibles à l'interne aux divisions utilisatrices, ainsi que de gérer et de coordonner tous les aspects des demandes de données faites à l'ARC dans le cadre du PE.
À l'heure actuelle, 29 fichiers de microdonnées fiscales actifs sont transmis à Statistique Canada. L'accès a été accordé à 36 divisions au sein de l'organisme, lesquelles comptent près de 700 utilisateurs au total. La DDF gère actuellement plus de 3 300 demandes chaque année pour accéder aux fichiers de microdonnées fiscales disponibles.
Les objectifs de cet audit étaient de donner au statisticien en chef et au Comité ministériel de vérification l'assurance que :
- la DDF dispose d'un cadre de gestion du risque adéquat et efficace pour veiller à ce que les conditions du PE en matière de sécurité des renseignements confidentiels sur les contribuables soient respectées;
- l'information est utilisée, divulguée, conservée et détruite conformément aux modalités stipulées dans le PE.
L'audit a été mené en vertu des pouvoirs prévus dans le Plan de vérification et d'évaluation fondé sur les risques de Statistique Canada de 2013-2014 à 2017-2018, qui a été approuvé.
Principaux résultats
La DDF a mis en œuvre un cadre adéquat de gestion du risque pour protéger les renseignements confidentiels sur les contribuables. Les rôles et les responsabilités sont définis; des politiques et des directives organisationnelles propres aux données fiscales, qui répondent ou qui dépassent les exigences du PE, ont été élaborées et communiquées aux intervenants.
Le Système de demande d'accès aux données (SDAD) est utilisé pour gérer et pour contrôler l'accès aux fichiers de produits de la DDF. Il conserve une piste de vérification : des personnes autorisées à accéder aux renseignements sur les contribuables; de l'identification des fichiers de données qui doivent être accessibles; de l'utilisation et de l'objet prévus; et de la période pendant laquelle l'autorisation est accordée. Le SDAD est une façon efficace de répondre aux exigences du PE.
Bien que les divisions clientes soient autorisées à créer des fichiers supplémentaires à partir des fichiers de microdonnées fiscales originaux, elles n'ont pas déclaré régulièrement ou continuellement à la DDF les renseignements exigés, ce qui fait qu'un segment de l'emplacement et des utilisateurs des données fiscales n'a pas été déclaré au SCA comme l'exige le PE.
L'ARC et Statistique Canada doivent veiller à ce qu'une piste de vérification de tous les accès à l'information fournie en vertu du PE soit tenue à jour et fournie sur demande. Une telle piste de vérification n'est pas conservée. La direction de la DDF croit comprendre que les exigences de la piste de vérification décrites à l'annexe C-1 étaient suffisantes pour répondre aux exigences de la clause 30 du PE. Le PE n'est pas clair pour ce qui est de la profondeur et de l'ampleur d'une piste de vérification pour tous les accès à l'information fournie en vertu du PE.
Le PE permet à Statistique Canada de conclure des ententes avec les coordonnateurs statistiques (CS) provinciaux et les ministères et organismes du gouvernement du Canada pour l'utilisation des renseignements sur les contribuables pour leur secteur de compétence. Les tests de vérification ont révélé que les ententes énonçaient les conditions d'utilisation, de divulgation, de conservation et de destruction des renseignements fiscaux conformément aux conditions établies dans le PE.
Les résultats des tests de vérification sur un échantillon de 33 utilisateurs de microdonnées fiscales autorisés enregistrés ont révélé que la plupart des principales pratiques de sécurité physique et informatique et des outils conçus pour protéger les renseignements sur les contribuables répondaient ou dépassaient les exigences du PE. Les dossiers partagés sont souvent utilisés pour offrir l'accès à de l'information opérationnelle à tous les employés d'une équipe, d'un groupe ou d'une division ou à certains employés d'autres divisions. L'audit a conclu que dans certains cas, l'utilisation de dossiers partagés pour diffuser des données fiscales à d'autres employés n'était pas adéquatement contrôlée, ce qui donnait à un accès non autorisé aux microdonnées fiscales et allait à l'encontre du principe du besoin de connaître.
Des vulnérabilités ont également été relevées pendant l'audit et pourraient présenter un risque pour la confidentialité des microdonnées fiscales. D'abord, dans un contexte de travail électronique où la gestion d'importantes bases de données est essentielle, l'accès à des ports USB offre la possibilité de sortir des renseignements confidentiels des locaux de Statistique Canada, d'une manière intraçable et indétectable. De plus, les périodes de conservation et les procédures de destruction des fichiers de microdonnées fiscales ne sont pas clairement établies.
Conclusion générale
La DDF a mis en œuvre un cadre adéquat de gestion du risque afin de s'assurer que les conditions du PE en matière de sécurité des renseignements confidentiels sur les contribuables sont respectées. La direction doit porter attention à deux domaines : 1) S'assurer que les rapports sur l'emplacement et les utilisations des renseignements fiscaux sont complets en incluant l'information détenue par la DDF et les divisions clientes. 2) Demander des précisions à l'ARC sur la profondeur et l'étendue d'une piste de vérification pour tous les accès à l'information fournie dans le cadre du PE.
En grande partie, les renseignements fiscaux sont utilisés, divulgués et détruits conformément aux conditions stipulées dans le PE. Des améliorations s'imposent dans trois domaines : 1) Les dossiers partagés sont limités aux utilisateurs autorisés seulement; 2) Considérer et gérer le risque relatif aux ports USB sur les ordinateurs des utilisateurs de microdonnées fiscales; 3) Établissement de périodes de conservation claires pour les fichiers de microdonnées fiscales.
Conformité aux normes professionnelles
Cet audit s'est déroulé conformément aux normes relatives à la vérification interne au sein du gouvernement du Canada, c'est-à-dire les normes internes de l'Institut des vérificateurs internes pour la pratique professionnelle de l'audit interne.
Patrice Prud'homme
Dirigeant principal de l'audit et de l'évaluation
Introduction
Contexte
En vertu des conditions d'un PE signé en 2011, l'ARC et Statistique Canada se partagent de l'information afin de faciliter et de favoriser la recherche et l'analyse statistiques associées à l'administration de certains de leurs programmes respectifs. Statistique Canada utilise les microdonnées fiscales pour remplacer directement des données d'enquêtes dans le cadre du programme de la statistique des entreprises. Les divisions utilisent ces riches sources de données pour valider les résultats d'enquêtes au moyen de comparaisons, et pour créer des couplages d'enregistrements. Statistique Canada utilise des microdonnées fiscales afin d'obtenir une plus grande exactitude, un plus haut niveau de détail géographique, une actualité accrue et un fardeau de réponse réduit.
Le PE a pour objet de clarifier les rôles et les responsabilités et de décrire les conditions et les procédures pour la diffusion de renseignements confidentiels sur les contribuables entre l'ARC et Statistique Canada en vertu de la Loi de l'impôt sur le revenu, de la Loi sur la taxe d'accise et de la Loi sur la statistique.
La DDF a été créée en avril 1997 en vue de centraliser l'acquisition et le traitement des microdonnées à Statistique Canada. La Division est responsable de l'élaboration de bases de données centralisées renfermant des microdonnées révisées et imputées, qui sont accessibles à l'interne aux divisions clientes. La DDF agit à titre de fournisseur de services aux divisions spécialisées et veille à ce que tous les clients reçoivent l'information au sujet des fichiers de données administratives et de leur utilisation. À l'heure actuelle, 29 fichiers de microdonnées actifs sont transmis à Statistique Canada. L'accès a été accordé à 36 divisions à l'étendue de l'organisme, ce qui représente près de 700 utilisateurs individuels. La DDF gère actuellement plus de 3 300 demandes chaque année pour accéder aux fichiers de microdonnées fiscales disponibles.
Hormis le dépôt centralisé de microdonnées fiscales au sein de la DDF, les divisions clientes de Statistique Canada s'occupent également de plusieurs fichiers renfermant des sous-ensembles ou des variables particulières tirées des microdonnées fiscales obtenues de la base de données de la DFF. Conformément à la Directive sur la sécurité des renseignements statistiques de nature délicate (SRSND), les responsabilités à l'égard de l'approbation de l'utilisation, de l'accès, du stockage et de la destruction de microdonnées fiscales sont déléguées aux directeurs des divisions. La Directive énonce également que les directeurs des divisions doivent déclarer cette information à la DDF chaque année.
Objectifs de l'audit
Les objectifs de cet audit étaient de donner au statisticien en chef et au Comité ministériel de vérification l'assurance que :
- la DDF dispose d'un cadre adéquat et efficace de gestion du risque afin de veiller à ce que les conditions du PE à l'égard de la sécurité des renseignements confidentiels sur les contribuables soient respectées;
- l'information est utilisée, divulguée, conservée et détruite conformément aux conditions établies dans le PE.
Portée
Le PE actuel exige qu'un audit interne soit effectué par chaque organisme dans les deux ans suivant sa signature. Le PE actuel a été signé en 2011. La portée de cet audit comprenait un examen axé sur les risques des processus et des mécanismes en place à Statistique Canada afin de favoriser l'accès aux microdonnées et leur diffusion aux secteurs de programmes de Statistique Canada.
Approche et méthodologie
Le travail de l'audit consistait en un examen des documents, des entrevues avec les membres du personnel et des cadres supérieurs importants, et un examen de la conformité aux politiques et lignes directrices applicables.
Le travail sur le terrain se composait de l'examen et de l'évaluation des processus et des procédures en place pour assurer la conformité aux exigences de sécurité du PE, ainsi que les politiques et les procédures pertinentes.
L'équipe de l'audit a effectué des répétitions pour un échantillon de 33 utilisateurs de microdonnées fiscales autorisés. Un échantillon d'utilisateurs autorisés a été sélectionné de façon aléatoire et raisonnée, à partir de la liste de quelque 700 utilisateurs dans les 36 divisions clientes à l'étendue de Statistique Canada. Les employés de la DDDF et de 11 autres divisions clientes à l'étendue de Statistique Canada ont été visités sans préavis ou à très court préavis pour une entrevue, une inspection physique et un balayage de leur ordinateur.
Cet audit s'est déroulé conformément aux normes de vérification interne au sein du gouvernement du Canada, c'est-à-dire les normes internationales de l'Institut des vérificateurs internes pour la pratique professionnelle de l'audit interne.
Autorité
L'audit a été mené en vertu des pouvoirs prévus dans le Plan de vérification et d'évaluation fondé sur les risques de Statistique Canada de 2013-2014 à 2017-2018.
Conclusions, recommandations et réponse de la direction
Objectif 1 : La DDF dispose d'un cadre adéquat et efficace de gestion du risque afin de veiller à ce que les conditions du PE au sujet de la sécurité des renseignements confidentiels sur les contribuables soient respectées.
Cadre de gestion du risque
La DDF a mis en œuvre un cadre adéquat de gestion du risque pour protéger les renseignements confidentiels sur les contribuables. Les rôles et les responsabilités sont définis; des politiques et des directives organisationnelles propres aux données fiscales, qui répondent ou dépassent les exigences du PE, ont été élaborées et communiquées aux intervenants.
Le SDAD est utilisé pour gérer et contrôler l'accès aux fichiers de produits de la DDF. Il conserve une piste de vérification : des personnes autorisées à accéder aux renseignements sur les contribuables; de l'identification des fichiers de données qui doivent être accessibles; de l'utilisation et de l'objet prévus; et de la période pendant laquelle l'autorisation est accordée. Le SDAD est une façon efficace de répondre aux exigences du PE.
Bien que les divisions clientes soient autorisées à créer des fichiers supplémentaires à partir des fichiers de microdonnées fiscales originaux, elles n'ont pas déclaré régulièrement ou continuellement à la DDF les renseignements exigés, ce qui fait qu'un segment de l'emplacement et des utilisateurs des données fiscales n'a pas été déclaré au SCA comme l'exige le PE.
L'ARC et Statistique Canada doivent veiller à ce qu'une piste de vérification de tous les accès à l'information fournie en vertu du PE soit tenue à jour et fournie sur demande. Une telle piste de vérification n'est pas conservée. La direction de la DDF croit comprendre que les exigences de la piste de vérification décrites à l'annexe C-1 étaient suffisantes pour répondre aux exigences de la clause 30 du PE. Le PE n'est pas clair pour ce qui est de la profondeur et de l'ampleur d'une piste de vérification pour tous les accès à l'information fournie en vertu du PE.
Le PE permet à Statistique Canada de conclure des ententes avec les CS provinciaux et les ministères et organismes du gouvernement du Canada pour l'utilisation des renseignements sur les contribuables pour leur secteur de compétence. Les tests de vérification ont révélé que les ententes énonçaient les conditions d'utilisation, de divulgation, de conservation et de destruction des renseignements fiscaux conformément aux conditions établies dans le PE.
Un cadre de contrôle efficace pour la sécurité des microdonnées fiscales confidentielles permettrait à Statistique Canada de répondre aux conditions de son Protocole d'entente (PE) avec l'Agence du revenu du Canada. Des politiques, directives, systèmes et ententes écrites devraient être en place afin de faire en sorte que les conditions du PE soient respectées, et de contrôler et de limiter l'accès aux personnes dont les responsabilités du travail actuel exigent l'accès aux microdonnées fiscales.
La gestion des microdonnées fiscales à Statistique Canada
L'assurance de la conformité aux conditions du PE est une responsabilité qui est partagée entre la DDF, les divisions clientes à l'étendue de Statistique Canada et les divisions fournissant des services à l'échelle de l'organisme.
Rôles et responsabilités
Les rôles et les responsabilités de chaque entité peuvent être résumés comme suit :
- La DDF est responsable de fournir aux divisions des programmes à l'étendue de Statistique Canada l'accès aux bases de données fiscales et d'encourager et de faciliter l'utilisation accrue de microdonnées fiscales. La DDF est également responsable d'assurer la sécurité des microdonnées fiscales à Statistique Canada.
- La Direction de l'informatique est responsable de la mise en œuvre de la Politique sur la sécurité informatique, de la sélection et de l'évaluation des produits de sécurité informatique en vue d'une mise en œuvre à l'échelle de l'organisme, de la sensibilisation des employés à la sécurité informatique et de la prestation de conseils aux divisions au sujet des exigences en matière de sécurité informatique du PE.
- La Division de la gestion de l'information est responsable de la protection générale des renseignements et du cadre stratégique en matière de sécurité.
- Les divisions clientes utilisant des microdonnées fiscales sont responsables et imputables de veiller à ce que les exigences en matière de sécurité physique et informatique soient respectées au sein de la division. La DDF délègue également la responsabilité de la conformité aux exigences de sécurité du PE aux directeurs des divisions. Les responsabilités suivantes sont déléguées : exigences relatives au traitement informatique et au stockage des fichiers; exigences relative au marquage, au stockage, à l'effacement et à la destruction de documents et de médias informatiques; et exigences relatives à la transmission électronique et au transport.
Politiques et directives
Statistique Canada dispose de plusieurs politiques et directives pertinentes qui s'appliquent au traitement des microdonnées fiscales :
- Directive sur la sécurité des renseignements statistiques de nature délicate;
- Politique sur la sécurité informatique;
- Manuel des pratiques de sécurité;
- Politique d'utilisation du réseau;
- Directive sur la gestion des fichiers de microdonnées statistiques.
Gestion du risque
En vertu des politiques du Conseil du Trésor, les programmes gouvernementaux doivent cerner les risques susceptibles d'entraver la réalisation des objectifs, évaluer les contrôles existants en place et trouver des stratégies d'atténuation visant à réduire les risques.
Au niveau opérationnel, le Groupe de planification du projet des données fiscales comprend les chefs de la DDF et tient compte des risques relatifs à la protection et à la confidentialité des microdonnées fiscales, ainsi que de la conformité de la DDF au PE conclu avec l'ARC. La DDF documente ses risques au moyen du document organisationnel Registre des risques. La DDF a tenu compte des sources externes et internes des risques et documenté les détails de ses stratégies d'atténuation des risques, de ses plans d'action dans la perspective de la qualité et de l'actualité des produits livrés, ainsi que de la sécurité des microdonnées fiscales.
Exigences de sécurité
En vertu du PE, Statistique Canada doit informer les utilisateurs de microdonnées fiscales des exigences de sécurité. La DDF communique avec les divisions clientes afin de s'assurer que ces dernières comprennent leurs responsabilités relatives à la sécurité des microdonnées fiscales.
Deux documents sont distribués aux utilisateurs de microdonnées fiscales des divisions clientes avant que l'accès soit accordé : la liste de contrôle de la DDF pour l'accord d'utilisation et les pratiques exemplaires contient une liste des exigences et des pratiques en matière de sécurité pour maintenir la confidentialité des microdonnées fiscales, qui respectent et dans certains cas, dépassent les exigences indiquées dans les conditions du PE. De plus, le directeur de la DDF envoie des rappels annuels aux directeurs des divisions clientes pour leur rappeler leurs responsabilités à l'égard des données fiscales. Le Protocole en cas d'atteinte portée aux renseignements et à la protection de la vie privée de Statistique Canada définit ce qui est considéré comme une atteinte à la protection des renseignements et énonce clairement que si l'atteinte met en cause des microdonnées fiscales, le directeur de la DDF doit être prévenu. Aucun incident ne mettant en cause des microdonnées fiscales traitées par des divisions clientes n'a été signalé.
Utilisations autorisées et emplacement
Le directeur (DDF) est responsable de surveiller l'emplacement et les utilisations des données fiscales au sein de Statistique Canada.L'annexe C-1 du PE mentionne une piste de vérification qui exige la conservation des renseignements suivants : les personnes autorisées à accéder aux microdonnées fiscales et à les utiliser, la période pendant laquelle cette autorisation est accordée et l'objectif et l'identification des fichiers de microdonnées fiscales dont l'accès doit être accordé.
Afin de gérer l'accès aux microdonnées fiscales, la DDF fait la distinction entre deux types d'utilisateurs :
- Les utilisateurs principaux sont ceux qui accèdent à des fichiers de microdonnées fiscales originaux détenus par la DDF. Seuls les employés qui présentent une demande à titre d'utilisateurs principaux peuvent accéder aux fichiers fiscaux de la DDF. Le système contrôle efficacement l'accès à ces fichiers et tient à jour des listes complètes des employés autorisés à accéder aux fichiers détenus par la DDF.
- Les utilisateurs secondaires sont les employés qui accèdent aux fichiers créés et conservés à l'extérieur des serveurs de la DDF et qui contiennent des microdonnées fiscales exportées des fichiers fiscaux originaux de la DDF. L'accès aux fichiers obtenus est contrôlé par les divisions clientes au moyen de permissions d'accès aux fichiers approuvées par les directeurs des divisions, et activées par la Division des opérations des technologies de l'information (DOTI). Le PE attribue la responsabilité d'autoriser les demandes d'accès aux microdonnées fiscales détenues à la DDF au directeur de la DDF. La Directive sur la SRSND attribue la responsabilité d'autoriser l'accès aux microdonnées fiscales détenues à l'extérieur de la DDF aux directeurs des divisions. Cette situation respecte l'exigence du PE.
La DDF utilise le système organisationnel appelé SDAD pour gérer et contrôler l'accès aux fichiers de produits de la DDF. Le SDAD est utilisé par la DDF pour tenir une piste de vérification sur : les personnes autorisées à accéder aux renseignements sur les contribuables; l'identification des fichiers de données qui doivent être accessibles; l'utilisation et l'objectif prévus; et la période pendant laquelle l'autorisation est accordée. Un essai a été effectué pour vérifier l'efficacité des processus de révocation et de réaffectation lorsque des employés quittent l'organisme ou changent de division. Les résultats révèlent que les accès sont rapidement révoqués. Le SDAD est un outil efficace pour répondre aux exigences du PE à cet égard.
Production de rapports
Conformément au PE, le directeur de la DDF est responsable de produire des rapports périodiques au statisticien en chef adjoint (SCA), Secteur de l'informatique et de la méthodologie sur l'emplacement et les utilisations des données fiscales à Statistique Canada.
Comme susmentionné, la DDF utilise le SDAD pour surveiller les utilisateurs primaires et secondaires dans le cadre de son processus de reddition de comptes au SCA, en fonction de leur accès direct aux fichiers fiscaux originaux de la DDF ou de leur accès à un fichier dérivé créé à partir d'un fichier de la DDF. Le PE n'exige pas que cette distinction soit faite.
Les rapports au SCA comprennent de l'information sur les autorisations d'accès actif et sont produits tous les mois et tous les trimestres, comme suit :
- Tableau 1 : Rapport d'accès aux fichiers de données fiscales par type d'utilisation – usager primaire;
- Tableau 2 : Rapport du nombre total d'usagers uniques primaires des fichiers de données fiscales par division;
- Tableau 3 : Rapport d'accès aux fichiers de données fiscales par type d'utilisation – usager secondaire;
- Tableau 4 : Rapport du nombre total d'usagers uniques secondaires des fichiers de données fiscales par division;
- Tableau 5 : Rapport du nombre total d'usagers uniques pour les fichiers de données fiscales par division;
- Tableau 6 : Rapport des dix plus grands utilisateurs des divisions;
- Tableau 7 : Rapport des utilisateurs par divisions– le trimestre courant et précédent.
La DDF surveille efficacement l'emplacement et les utilisations des microdonnées fiscales détenues par la division et fait des comptes rendus au SCA.
Les politiques de Statistique Canada permettent aux divisions clientes de créer des fichiers supplémentaires à partir des fichiers de microdonnées fiscales originaux. La responsabilité de protéger la confidentialité de cette information a été déléguée aux utilisateurs clients. Les directeurs de ces divisions sont habilités à approuver l'accès aux microdonnées fiscales contenues dans les fichiers conservés dans leur secteur de compétence. La Directive sur la SRSND exige que les directeurs des divisions fassent « annuellement état de l'emplacement, des utilisateurs et de l'utilisation des microdonnées fiscales fournies par d'autres divisions au directeur de la DDF ». La nécessité pour les directeurs des divisions de faire des comptes rendus annuels à la DDF ne cadre pas avec les rapports mensuels et trimestriels au SCA exigés à l'heure actuelle. La direction de la DDF a confirmé que les divisions clientes n'ont pas fourni l'information requise de façon régulière ou constante, ce qui ne répond pas aux exigences de la Directive.
Bien que la DDF soit en mesure de faire des comptes rendus sur l'emplacement et les utilisations des microdonnées fiscales qu'elle détient, il existe une lacune pour ce qui est des rapports sur l'emplacement et les utilisations des microdonnées fiscales détenues à l'extérieur de la DDF. Par conséquent, un segment des emplacements et des utilisateurs des renseignements fiscaux n'est pas déclaré au SCA comme l'exige le PE.
Registres d'accès
La clause 30 du PE stipule que l'ARC et Statistique Canada doivent s'assurer de la conservation et de la prestation sur demande d'une piste de vérification pour tous les accès aux renseignements fournis en vertu du PE. Dans le contexte de la protection de la sécurité des renseignements, une « piste de vérification » se définit comme un registre chronologique se rapportant à la sécurité indiquant qui a accédé à un système informatique et quelles opérations cette personne a exécutées pendant une période donnée, ce qui apporterait des preuves documentaires d'une séquence d'activités.
D'après les entrevues réalisées auprès des employés et des gestionnaires de la DDF, ainsi que du personnel de la DOTI, des registres d'accès réels aux fichiers fiscaux de la DFF et aux fichiers connexes stockés à l'étendue de l'organisme ne sont pas conservés. La direction de la DDF a déclaré comprendre que les exigences de la piste de vérification décrites à l'annexe C-1 (c.-à-d. qui est autorisé à accéder aux renseignements sur les contribuables; l'identification des fichiers de données qui doivent être accessibles; l'utilisation et objectifs prévus; et la période pendant laquelle l'autorisation est accordée) étaient suffisantes pour répondre aux exigences de la clause 30 du PE. Le PE n'est pas clair en ce qui concerne l'objectif prévu de cette exigence, sa portée et son étendue et la période de conservation pendant laquelle les registres d'accès devraient être tenus à jour.
Le partage de microdonnées fiscales avec d'autres ministères fédéraux et organismes statistiques des territoires et des provinces
Le PE conclu avec l'ARC permet à Statistique Canada de conclure des ententes avec des CS provinciaux et des ministères et organismes du gouvernement du Canada pour l'utilisation de renseignements sur les contribuables pour leur secteur de compétence. Les CS sont des organismes qui jouent à peu près le même rôle que Statistique Canada pour ce qui est de la collecte et de la prestation de produits statistiques à l'échelon provincial et sont assujettis à des lois provinciales similaires à la Loi sur la statistique. Ces organismes sont préapprouvés par l'ARC en vertu de la clause 11 du PE. Statistique Canada a conclu des ententes avec huit (8) CS. Les procédures pour obtenir des permissions et des registres d'autorisation des directeurs sont en place pour le transfert d'information aux CS et à trois ministères et organismes du gouvernement fédéral. L'autorisation est documentée et étayée officiellement dans les ordonnances de divulgation signées par le statisticien en chef.
Un échantillon de trois ententes a été sélectionné au hasard et passé en revue pour déterminer si les dispositions du PE concernant l'utilisation et la protection de ce genre de renseignement sont respectées. Les résultats ont révélé que dans chaque cas, l'entente établissait les modalités relatives à l'utilisation, à la divulgation, à la conservation et à la destruction de renseignements fiscaux conformément aux conditions stipulées dans le PE. L'exigence relative à la déclaration d'incidents de sécurité suspectés ou avérés mettant en cause des microdonnées fiscales fait partie des ententes écrites avec des organismes externes auxquels Statistique Canada fournit les renseignements confidentiels ou sur les contribuables obtenus en vertu du PE. Aucun incident mettant en cause des clients externes n'a été signalé.
Recommandations :
Le SCA du Secteur des études analytiques, de la méthodologie et de l'infrastructure, doit veiller à l'exécution des tâches suivantes :
- Mettre en place des mécanismes pour s'assurer que le SCA est informé de l'emplacement et des utilisations des renseignements fiscaux détenus dans les divisions clientes à l'étendue de Statistique Canada.
- Demander des précisions à l'ARC quant à la portée et à l'étendue d'une piste de vérification de tous les accès à l'information fournie en vertu du PE, et prendre des mesures appropriées pour mettre en œuvre l'exigence.
Réponse de la direction :
La direction accepte les recommandations.
- Le directeur de la DDF mettra en œuvre un processus de production de rapports pour veiller à ce que les utilisations et les utilisateurs secondaires des renseignements fiscaux soient fournis à la DDF et surveillés par cette dernière. Les renseignements pertinents seront intégrés aux rapports réguliers au SCA sur l'utilisation des données fiscales.
Résultats attendus et calendrier : Système de demande d'accès de l'organisme (SDAO). Mise en œuvre prévue d'ici à juin 2014. - Le directeur de la DDF discutera avec l'ARC et lui demandera des précisions.
Résultats attendus et calendrier : Confirmation de l'intention de la clause 30 du PE en ce qui concerne les exigences d'information. Nota : Au cas où les précisions donneraient lieu à des exigences d'information différentes, un plan d'action pour la mise en œuvre sera élaboré pour assurer la conformité. Risques – coûts, collaboration de Services partagés Canada (SPC). Discussion à venir d'ici à décembre 2013. Mise en œuvre d'ici à septembre 2014.
Objectif 2 : Les renseignements sont utilisés, divulgués, conservés et détruits conformément aux modalités et aux conditions décrites dans le PE.
Gérance
Les résultats des tests de vérification sur un échantillon de 33 utilisateurs de microdonnées fiscales autorisés enregistrés ont révélé que la plupart des principales pratiques de sécurité physique et informatique et des outils conçus pour protéger les renseignements sur les contribuables répondaient aux exigences du PE ou les dépassaient. Les dossiers partagés sont souvent utilisés pour offrir l'accès à de l'information opérationnelle à tous les employés d'une équipe, d'un groupe ou d'une division ou à certains employés d'autres divisions. L'audit a conclu que dans certains cas, l'utilisation de dossiers partagés pour diffuser des données fiscales à d'autres employés n'était pas adéquatement contrôlée, ce qui a donné lieu à un accès non autorisé aux microdonnées fiscales et qui va à l'encontre du principe du besoin de connaître.
Des vulnérabilités ont également été relevées pendant l'audit et pourraient présenter un risque pour la confidentialité des microdonnées fiscales. D'abord, dans un contexte de travail électronique où la gestion de gros ensembles de données est essentielle, l'accès à des ports USB offre la possibilité de sortir des renseignements confidentiels des locaux de Statistique Canada, d'une manière intraçable et indétectable. Ensuite, les périodes de conservation et les procédures de destruction des fichiers de microdonnées fiscales ne sont pas clairement établies.
Des pratiques et des procédures de saine gestion, comme le respect des directives et des politiques de sécurité et l'utilisation des outils appropriés pour protéger les microdonnées fiscales, devraient être en place pour faire en sorte que les renseignements sur les contribuables soient utilisés, divulgués, conservés et détruits à Statistique Canada conformément aux conditions établies dans le PE.
Une partie de cette responsabilité est déléguée aux directeurs des divisions clientes au moyen des microdonnées fiscales à l'étendue de Statistique Canada. La DDF compte sur les employés à l'extérieur de son secteur de compétence pour respecter les conditions du PE. De plus, étant donné que la grande majorité des microdonnées fiscales sont transmises par voie électronique de l'ARC et disponibles sur support électronique, la DDF dépend de l'infrastructure informatique de l'organisme comme mécanisme de protection des microdonnées confidentielles détenues par Statistique Canada dans un contexte qui est devenu essentiellement un environnement sans papier.
L'équipe de l'audit a effectué des répétitions pour un échantillon de 33 utilisateurs de microdonnées fiscales autorisés. Un échantillon d'utilisateurs autorisés a été sélectionné de façon aléatoire et raisonnée, à partir de la liste de quelque 700 utilisateurs dans les 36 divisions clientes à l'étendue de Statistique Canada. Les employés de la DDF et de 11 autres divisions clientes à l'étendue de Statistique Canada ont été visités sans préavis ou à très court préavis pour une entrevue, une inspection physique et un balayage du disque dur de leur ordinateur. Il s'agissait de déterminer si la conformité de certaines mesures de sécurité décrites dans la liste de contrôle des pratiques exemplaires de la DDF a été appliquée uniformément, et de corroborer que les applications informatiques et les composantes de son infrastructure sont en place conformément aux exigences de sécurité du PE.
Respect des lignes directrices de la DDF et du PE
La liste de contrôle des pratiques exemplaires de la DDF comporte 11 éléments, qui ont trait à la sécurité physique et informatique. L'équipe de l'audit a passé en revue plusieurs pratiques et outils de sécurité essentiels en place pour ce qui est de l'utilisation, de la divulgation, du stockage et de la destruction des microdonnées fiscales. Les 33 employés répondaient aux exigences suivantes, ce qui répond aux exigences du PE ou les dépasse :
- Utilisation d'armoires de rangement sécurisées prévues par la Sécurité du Bureau;
- Accès à des imprimantes qui répondent aux exigences de confidentialité;
- Utilisation de déchiqueteuses approuvées prévues par la Sécurité du Bureau;
- Verrouillage de l'accès à l'ordinateur avant de quitter son poste de travail.
Des entrevues ont également été réalisées avec le personnel de la Technologie de l'information (TI) affecté au soutien de la DFF, l'équipe de la Sécurité des TI, les employés du réseau à SPC en affectation à Statistique Canada, l'équipe du SDAD et les directeurs de quatre (4) divisions clientes. Les exigences suivantes se rapportant à l'infrastructure de TI de Statistique Canada répondaient aux exigences du PE :
- Les serveurs renfermant des microdonnées fiscales délicates sont limités à un réseau fermé sécurisé (réseau A);
- Les serveurs n'ont pas de capacités de communication sans fil;
- Les serveurs sont conservés dans le centre de données sécurisé et sont gérés par l'équipe des TI/SPC;
- La politique de Statistique Canada sur les mots de passe s'applique au niveau du réseau. Les configurations relatives à la durée de vie des mots de passe et aux normes ont été mises à l'essai, et les mesures de contrôle en place répondent aux exigences du PE;
- Les pratiques pour l'utilisation du protocole de TEF répondent aux exigences du PE;
- Le logiciel Entrust est utilisé pour le préchiffrement des fichiers avant l'envoi par TEF;
- Les postes de travail sont livrés sans capacité sans fil et, lorsqu'il y a lieu, les capacités de communication sans fil des ordinateurs portatifs sont désactivées. Les ordinateurs portatifs pouvant être empruntés dans la réserve commune ont l'accès sans fil, mais ne peuvent pas se connecter au réseau A.
L'audit a conclu que dans certains cas, l'utilisation de dossiers partagés pour diffuser des données fiscales à d'autres employés n'était pas bien contrôlée et permettait l'accès non autorisé aux microdonnées fiscales.
Les employés des divisions clientes utilisent des dossiers partagés pour partager des microdonnées fiscales et y accéder. Cette pratique est conforme aux ententes d'utilisation de la DDF, à condition que ces dossiers partagés soient réservés aux utilisateurs autorisés seulement, avant d'être déclarés à la DDF. Dans ses ententes avec les divisions clientes, cette pratique est recommandée pour partager des fichiers renfermant des microdonnées fiscales, comme solution de rechange à l'utilisation de support de stockage amovible avec chiffrement.
L'équipe de l'audit a sélectionné deux fichiers créés par une division cliente et testé l'efficacité d'utiliser des dossiers partagés pour diffuser des microdonnées fiscales à d'autres employés de la division et à d'autres divisions. Les résultats ont permis de constater que ces deux dossiers n'étaient pas limités aux utilisateurs autorisés seulement. Bon nombre des employés ayant accès à ces deux dossiers partagés n'étaient pas indiqués dans les listes de la DDF des utilisateurs secondaires autorisés. Les fichiers renfermant des microdonnées fiscales étaient stockés dans les dossiers partagés existants à la division, au lieu d'être conservés dans des dossiers partagés créés spécifiquement pour les utilisateurs autorisés des microdonnées fiscales.
Bien que cette pratique fasse en sorte que les microdonnées fiscales restent dans un réseau fermé sécurisé et sont limitées aux employés de Statistique Canada en tout temps, le stockage de microdonnées fiscales dans des dossiers partagés accessibles à tous les employés d'une division ne limite pas l'accès aux utilisateurs autorisés seulement en cas de besoin absolu, comme l'exige le PE.
Des vulnérabilités ont également été relevées pendant l'audit et pourraient présenter un risque pour la confidentialité des microdonnées fiscales :
Ports USB actifs
L'équipe de l'audit a cerné des vulnérabilités relatives à la protection des microdonnées fiscales associées aux ports USB actifs sur les ordinateurs des utilisateurs de microdonnées fiscales.
Bon nombre d'employés ont indiqué qu'ils apportent des clés USB personnelles au travail et qu'ils transfèrent parfois de la musique, des photos et d'autres renseignements personnels à leur ordinateur de bureau. Un petit nombre d'utilisateurs ont déclaré utiliser les clés USB fournies par la division pour transporter des présentations électroniques, en précisant toutefois qu'aucunes microdonnées fiscales ne sont stockées dans ces clés. Certains utilisateurs ont également dit brancher leur téléphone cellulaire au port USB de leur ordinateur pour le charger. Ces appareils ont une grande capacité de stockage électronique et pourraient permettre aux utilisateurs d'y stocker des renseignements confidentiels. Les téléphones intelligents ont également un accès au réseau public sans fil, qui pourrait être activé pendant l'utilisation sur le réseau A.
Dans un environnement de travail électronique, où la gestion de gros ensembles de données est essentielle, l'accès à des ports USB actifs ouvre la porte à l'enlèvement de renseignements confidentiels des locaux de Statistique Canada, d'une manière intraçable et indétectable.
Dès que les renseignements confidentiels quittent le réseau fermé de Statistique Canada, ils ne peuvent plus être protégés. La Direction de l'informatique est en train d'examiner des solutions potentielles pour éliminer les risques associés aux ports USB actifs.
Période de conservation et destruction des microdonnées fiscales
Le PE exige la destruction des microdonnées fiscales qui ne sont plus nécessaires. Cependant, le PE ne précise pas de lignes directrices en ce qui concerne la façon de déterminer l'utilité des microdonnées. En fait, les microdonnées fiscales pourraient être conservées indéfiniment, puisqu'elles pourraient être utiles pour des études à venir.
La Directive sur la gestion des fichiers de microdonnées statistiques s'applique à tous les fichiers qui renferment des renseignements délicats, y compris les microdonnées fiscales. D'après la Directive, les fichiers de microdonnées fiscales tombent dans la catégorie des fichiers administratifs, qui ont une période de conservation de cinq ans. En avril 2013, la DDF a présenté une proposition pour demander une exemption de la conservation des fichiers de microdonnées fiscales, comme stipulé dans la Directive. La DDF a proposé que les fichiers fiscaux reçus de l'ARC soient considérés comme des fichiers de collecte, et dans certains cas, comme des fichiers principaux, ce qui pourrait prolonger leur période de conservation pour une période indéterminée.
La DDF reconnaît qu'il y a lieu de déterminer les périodes de conservation et les procédures de destruction des fichiers de microdonnées fiscales.
Recommandations :
Le SCA du Secteur des études analytiques, de la méthodologie et de l'infrastructure, doit veiller à l'exécution des tâches suivantes :
- Les dossiers partagés utilisés par les divisions clientes pour diffuser des microdonnées fiscales à d'autres employés de Statistique Canada sont réservés aux utilisateurs autorisés selon le principe du besoin de connaître et déclarés à la DDF;
- Les risques associés aux ports USB actifs sur les ordinateurs des utilisateurs de microdonnées fiscales sont considérés et gérés;
- Statistique Canada établit des périodes de conservation claires pour les fichiers qui contiennent des microdonnées fiscales.
Réponse de la direction :
La direction accepte les recommandations.
- Le directeur de la DDF mettra en œuvre un processus de production de rapports pour s'assurer que les utilisations et les utilisateurs secondaires des renseignements fiscaux seront fournis à la DDF et surveillés par cette dernière. Les renseignements pertinents seront intégrés aux rapports réguliers présentés au SCA. Le processus d'accès doit répondre au principe du besoin de connaître, selon la définition des rôles.
Réalisations attendues et calendrier : La production de rapports sera incluse dans les conditions d'utilisation des données fiscales. Mise en œuvre prévue d'ici à janvier 2014. Système de demande d'accès de l'organisme (SDAO). Mise en œuvre prévue d'ici à septembre 2014. - Le directeur de la DDF élaborera les conditions d'utilisation des données fiscales dans le contexte des pratiques de sécurité de l'organisme en ce qui concerne les appareils de stockage portatifs communiquées clairement aux programmes au moyen des données fiscales.
Réalisations attendues et calendrier : Les lignes directrices révisées à l'intention des divisions utilisatrices de données incluront les conditions d'utilisation et l'attestation du directeur. Mise en œuvre prévue d'ici à janvier 2014. - Le directeur de la DDF et du Secrétariat des données administratives (SDA) et le directeur de la Division de la gestion de l'information veilleront à ce que la Directive sur la gestion des fichiers de microdonnées statistiques soit révisée de manière à fournir des lignes directrices claires sur le traitement de tous les fichiers de données administratives.
Réalisations attendues et calendrier : Mise à jour de la Directive sur la gestion des fichiers de microdonnées statistiques. Mise en œuvre prévue d'ici à juin 2014.
Annexes
Annexe A : Clauses pertinentes du PE
Clauses | Exigences |
---|---|
11 | StatCan s'engage à conclure des ententes avec chaque ministère ou organisme auquel il propose de fournir des renseignements sur les contribuables ou des renseignements confidentiels obtenus dans le cadre du présent PE. Ces ententes permettront d'assurer le respect des dispositions du présent PE liées à l'utilisation et à la protection de ces renseignements. Sur demande, des copies de ces ententes seront fournies à l'ARC. |
12 | Les renseignements sur les contribuables et les renseignements confidentiels ne seront pas partagés par StatCan, lorsque ce partage est autorisé par la loi, avec toute autre entité, sauf ceux énumérés à l'article 11 ci-dessus, sans le consentement écrit de l'ARC. |
30 | L'ARC et StatCan s'assureront de la conservation d'une piste de vérification pour tous les accès aux renseignements fournis en vertu du présent PE, et la fourniront sur demande. |
Annexe C-1 - (c) Accès physique et gestion des documents | |
Paragraphe 1 | L'accès autorisé aux renseignements est fondé sur la nécessité d'accomplir des activités liées au travail attribué (principe du besoin de connaître). La politique de StatCan sur la SRSND confère au directeur de la DDF la responsabilité d'autoriser les demandes d'accès aux microdonnées fiscales détenues par la DDF. |
Paragraphe 2 | Le directeur de la DDF est également chargé d'autoriser toutes les demandes d'accès aux microdonnées fiscales. |
Paragraphe 3 | Le directeur est également responsable de faire le suivi de l'emplacement et de l'utilisation des données fiscales au sein de StatCan et, périodiquement, de faire état de la situation au SCA du Secteur de l'informatique et de la méthodologie. |
Paragraphe 4 | StatCan doit maintenir une piste de vérification afin de s'assurer que les renseignements sont utilisés uniquement en conformité avec la loi prévoyant son utilisation et que toutes les exigences en matière de sécurité précisées dans le présent appendice sont respectées. Tel que l'exige la politique sur la SRSND, la piste de vérification doit inclure une liste comportant les éléments suivants : les personnes autorisées à accéder aux données de l'ARC et à les utiliser, la période visée par l'autorisation, et l'objet et les fichiers de données qui seront accessibles. StatCan doit aussi informer les utilisateurs des données de l'ARC des exigences en matière de sécurité et s'assurer qu'ils s'y conforment. |
Annexe C-1 - (d) Stockage et transmission informatisés | |
Paragraphe 1 | Lorsque les renseignements sont conservés dans un support de données portatif, les mots de passe et le chiffrement intégral doivent être utilisés. Cela s'applique aussi aux copies de sauvegarde des renseignements confidentiels stockés dans le support de données portatif. |
Paragraphe 2 | Tous les ordinateurs qui sont utilisés pour accéder aux données fiscales, pour les traiter et pour les stocker utiliseront des contrôles d'accès logique (mots de passe) au niveau de l'appareil et du réseau. |
Paragraphe 3 | Les données fiscales ne peuvent pas être transmises par télécopieur ou par courriel, à moins que le tableau du courriel soit protégé par un mot de passe ou chiffré et que le marquage approprié soit appliqué à chaque page du tableau. |
Paragraphe 4 | Les serveurs stockant et transmettant des données non chiffrées, s'il y a lieu, doivent être placés dans un endroit sécurisé où l'accès est contrôlé. Des contrôles doivent être mis en place afin de s'assurer que seules les personnes autorisées accèdent aux serveurs. À moins que les renseignements soient chiffrés de manière constante à l'extérieur de la zone sécurisée, une voie d'accès doit être utilisée pour tout le câblage et tous les raccordements transversaux doivent être physiquement sécurisés. |
Paragraphe 5 | Des pare-feux au réseau et des règles sur l'accès doivent être en place pour empêcher l'accès aux renseignements par d'autres personnes que les personnes désignées. Les renseignements peuvent être conservés et transmis dans des réseaux approuvés qui ne satisfont pas à ces exigences seulement s'ils sont chiffrés. Il est également possible de conserver les renseignements dans un ordinateur autonome sans connexion externe ou dans un réseau fermé. Lorsque des données sont transmises par un réseau et qu'elles quittent une zone protégée (par exemple, à un bureau de StatCan à l'extérieur d'Ottawa), elles doivent être chiffrées dès qu'elles sortent de la zone protégée. |
Paragraphe 6 | Les fichiers de chiffrement transférés de l'ARC à Statistique Canada et les fichiers transférés de Statistique Canada à l'ARC doivent utiliser des clés de chiffrement appropriées, comme l'exige TPSGC. |
Annexe C-1 - (f) Reproduction et conservation des renseignements | Il est possible de faire des copies et de tirer des extraits des renseignements aux fins du travail tel qu'il est stipulé dans cette entente. Lorsqu'ils ne sont plus nécessaires, les copies ou extraits doivent être détruits d'une manière sécuritaire. Tous les supports de données électroniques qui sont utilisés dans le traitement des renseignements, y compris les copies de sauvegarde et les supports de données portatifs, doivent être épurés ou détruits à la fin de leur utilité. La destruction doit avoir lieu dans la zone sécurisée et répondre aux exigences de la Politique du gouvernement sur la sécurité. |
Annexe F – Transmission électronique | La sécurité du mécanisme de transfert électronique de fichiers au moyen du protocole FTP, y compris les plans pour éventualités en cas de panne de l'infrastructure liée à la livraison par FTP d'un fichier prévu. |
Annexe B : Objectifs de l'audit
Objectifs | Collecte de données probantes | ||
---|---|---|---|
Principales sources d'information | Principales méthodes de collecte | Principales méthodes d'analyse des données | |
1. La DDF dispose d'un cadre de gestion du risque adéquat et efficace pour veiller à ce que les conditions du PE en matière de sécurité des renseignements confidentiels sur les contribuables soient respectées. |
|
|
|
2. Les renseignements sont utilisés, divulgués et détruits conformément aux conditions stipulées dans le PE |
|
|
|
Annexe C : Acronymes
Acronyme | Description |
---|---|
PE | Protocole d'entente |
ARC | Agence du revenu du Canada |
DDF | Division des données fiscales |
SDAD | Système de demande d'accès aux données |
SCA | Statisticien en chef adjoint |
TI | Technologie de l'information |
SPC | Services partagés Canada |
DOTI | Division des opérations des technologies de l'information |
CS | Coordonnateurs statistiques |
SRSND | Sécurité des renseignements statistiques de nature délicate |