Rapport d'audit
15 juillet 2014
Numéro de projet : 80590-79
- Sommaire
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Autorisation
- Conclusions, recommandations et réponses de la direction
- Environnement de contrôle et sécurité matérielle
- Sécurité des technologies de l'information
- Administration des contrats de recherche pour l'utilisation de microdonnées et contrôle de la confidentialité
- Annexes
- Annexe A : Critères d'audit
- Annexe B : Acronymes
Sommaire
Le Centre de données de recherche (CDR) de l'Université McMaster est l'un des 27 CDR situés sur les campus d'universités partout au Canada. Ces CDR ont été mis sur pied par Statistique Canada, le Conseil de recherches en sciences humaines du Canada, les Instituts de recherche en santé du Canada et des consortiums d'universités dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CDR de l'Université McMaster a été le premier à ouvrir ses portes et est situé au deuxième étage de la bibliothèque Mills sur le campus de l'Université McMaster.
Même si le CDR de l'Université McMaster est considéré comme un CDR de taille moyenne, il compte un certain nombre d'étudiants chercheurs qui ont besoin de plus de soutien que d'autres chercheurs plus expérimentés. En 2012, le nombre total de contrats actifs au CDR de McMaster a augmenté de près de 26 %. Parmi les 111 chercheurs autorisés à accéder au centre, 45 % étaient des étudiants.
Les CDR sont dotés par des employés de Statistique Canada et sont exploités en vertu de la Loi sur la statistique. Ils doivent donc mettre en place des mesures de sécurité, afin de protéger la confidentialité des données dans la même mesure que si elles se trouvaient dans les locaux de Statistique Canada.
Les objectifs de l'audit sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université McMaster :
- respecte les politiques et normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services;
- dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
L'audit a été réalisé par la Division de l'audit interne (DAI), conformément à la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
Les rôles et responsabilités au niveau du programme et de la région sont définis et communiqués. Même si le personnel du CDR a établi des rapports constructifs d'égal à égal avec les chercheurs, les activités de ceux-ci dans le CDR ne font pas l'objet d'un contrôle actif. Dans ce contexte, il est peu probable que le personnel du CDR soit en mesure de déceler, de déclarer et d'atténuer les répercussions des incidents au chapitre de la confidentialité.
Les chercheurs doivent devenir des « personnes réputées être employées » pour accéder aux microdonnées confidentielles dans les CDR, conformément à la Loi sur la statistique. Ainsi, ils sont assujettis aux dispositions de cette loi et à ses conséquences juridiques, si une violation de la confidentialité survient. La confidentialité des microdonnées est assurée dans les centres au moyen d'un contrôle de gestion clé.
L'examen de la sécurité matérielle au CDR de McMaster a fait ressortir que l'accès au centre est limité au personnel autorisé. L'examen des registres automatisés et manuels de contrôle de l'accès a permis de déterminer que ces contrôles ne sont pas pleinement efficaces, les contrôles automatisés ne rendant pas compte avec précision de toutes les activités, et les registres manuels des visiteurs n'étant pas utilisés.
Les exigences relatives à l'aménagement des postes de travail des chercheurs dans les CDR prévoient une protection matérielle des écrans, afin que ceux-ci ne puissent être vus directement d'un poste de travail à l'autre. Cette mesure n'est pas en place au CDR de McMaster. Par ailleurs, les recommandations de Statistique Canada concernant la sécurité matérielle, qui découlent de l'inspection de décembre 2011, n'ont pas eu de suite officielle, et le pêne dormant hautement sécuritaire obligatoire n'était pas installé à l'entrée du CDR.
Des systèmes des TI qui servent à la sauvegarde des dossiers et des données sont en place et sont conformes aux lois pertinentes et aux politiques du Conseil du Trésor. Les contrôles d'authentification et d'identification en place sont efficaces.
Les pouvoirs requis pour l'administration des contrats de recherche pour l'utilisation de microdonnées (CRM) et l'analyse des risques pour la confidentialité sont officiellement délégués au niveau du programme et des opérations. Les rôles et responsabilités sont formellement définis et communiqués. L'examen de la gestion des CRM a permis de déterminer qu'il n'y avait pas de formulaire d'attestation relative aux valeurs et à l'éthique pour certains chercheurs dans les CRM actuels. Par ailleurs, les résultats de certaines évaluations de propositions de CRM n'étaient pas conservés dans le CDR et, dans un cas, le contrat ne rendait pas compte avec précision des données dont l'accès avait été approuvé. Par conséquent, les chercheurs avaient accès à des microdonnées confidentielles qui n'avaient pas été approuvées pour le projet.
Des processus et des procédures sont en place pour le contrôle de confidentialité et les demandes de contrôle de confidentialité sont administrées et évaluées avec soin par l'analyste du CDR, afin de veiller à ce que la confidentialité des données ne soit pas compromise. Toutefois, les formulaires de demande de contrôle de confidentialité des données sont supprimés une fois ce processus terminé.
Conclusion générale
Les Centres de données de recherche de Statistique Canada ont été créés pour fournir aux chercheurs externes l'accès aux microdonnées confidentielles de Statistique Canada. Afin d'assurer la confidentialité de ces fichiers de données, les gestionnaires de programme ont conçu un cadre de contrôle propre aux CDR. Dans ce contexte, plusieurs faiblesses au chapitre du contrôle ont été notées pendant l'audit du CDR de l'Université McMaster. Pris individuellement, ces éléments ne présentent pas de risque matériel important pour la confidentialité des données conservées dans les CDR. Toutefois, lorsque ces risques sont évalués globalement, les menaces au chapitre de la confidentialité des données augmentent. L'exigence que les chercheurs deviennent des « personnes réputées être employées » en vertu de la Loi sur la statistique fait en sorte qu'ils sont au courant de leurs responsabilités et des sanctions possibles associées à une violation de la confidentialité. Il s'agit d'une mesure de contrôle clé utilisée dans l'environnement des CDR pour atténuer les risques pour la confidentialité des données. Néanmoins, une plus grande application au jour le jour de contrôles à l'intérieur du centre est nécessaire pour s'assurer que la confidentialité des données est protégée dans le cadre de la prestation des services. Les exigences au chapitre de la sécurité matérielle pour les installations de CDR devraient être précisées et des exigences obligatoires devraient être mises en œuvre.
Même si des faiblesses ont été notées dans l'environnement matériel, l'audit a déterminé que la sécurité des technologies de l'information au CDR de l'Université McMaster est conforme aux politiques et normes pertinentes du SCT et de Statistique Canada concernant la préservation et la protection des données confidentielles de Statistique Canada.
Des pratiques et des mécanismes efficaces sont en place pour assurer la protection de la confidentialité des données dans le cadre du contrôle de la confidentialité des produits des chercheurs, les demandes de contrôle de confidentialité faisant l'objet d'une administration et d'une évaluation soigneuses par l'analyste du CDR de McMaster, afin de veiller à ce que la confidentialité des données ne soit pas compromise. Toutefois, les formulaires de demande de contrôle de confidentialité remplis devraient être conservés, même lorsque ce processus est terminé. L'administration des contrats devrait aussi être améliorée, afin de veiller à ce que les chercheurs aient accès à des ensembles de données approuvés seulement, et que toutes les attestations et déclarations requises des chercheurs soient en place pour les contrats en vigueur.
Conformité aux normes professionnelles
L'audit a été réalisé conformément aux Normes de vérification du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI).
L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient à l'époque, au regard de critères d'audit préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.
Patrice Prud'homme
Dirigeant principal de la vérification
Introduction
Contexte
Les décideurs doivent avoir une compréhension à jour et approfondie de la société canadienne, non seulement pour répondre aux besoins de l'heure, mais aussi pour prévoir les besoins futurs. Cela entraîne une demande croissante à l'égard des produits analytiques découlant des riches sources de données recueillies par Statistique Canada.
En 1998, dans le cadre de l'Initiative canadienne sur les statistiques sociales, on a examiné les défis auxquels fait face la collectivité des chercheurs au Canada. Dans son rapport sur l'avancement de la recherche utilisant les statistiques sociales, le groupe de travail national recommandait notamment de créer des installations de recherche pour améliorer l'accès des chercheurs universitaires aux fichiers de microdonnées de Statistique Canada.
Les Centres de données de recherche (CDR) font partie d'une initiative de Statistique Canada, du Conseil de recherches en sciences humaines (CRSH), des Instituts de recherche en santé du Canada (IRSC) et de consortiums d'universités, dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CRSH est un organisme fédéral autonome qui appuie la recherche et la formation avancée dans les sciences humaines en milieu universitaire et qui en fait la promotion. Les IRSC sont le principal organisme fédéral chargé du financement de la recherche en santé au Canada.
La Division de l'accès aux microdonnées (DAM) offre un accès restreint à des microdonnées confidentielles par l'intermédiaire des CDR des universités partout au pays et du CDR fédéral à Ottawa. Elle est aussi responsable de veiller à la confidentialité des renseignements fournis par les Canadiens. À l'heure actuelle, 27 CDR font partie du réseau et sont tous situés dans un environnement protégé sur les campus universitaires. Ces CDR permettent aux chercheurs d'accéder à des microdonnées découlant d'enquêtes sur la population et auprès des ménages, ce qui signifie qu'ils n'ont pas à se rendre à Ottawa pour accéder aux microdonnées de Statistique Canada. Outre les centres situés sur les campus, le Centre fédéral de données de recherche (CFDR) situé à Ottawa permet aux chercheurs d'avoir accès aux microdonnées des ministères stratégiques fédéraux.
Les CDR permettent de donner une vue d'ensemble du paysage social canadien, d'offrir des installations de recherche en sciences sociales partout au pays, dans les grandes collectivités comme dans les petites, d'accroître la collaboration entre Statistique Canada et les intervenants, le CRSH, le Réseau canadien des centres de données de recherche (RCCDR), les IRSC et les chercheurs universitaires, et de former une nouvelle génération de spécialistes canadiens dans le domaine de la recherche quantitative en sciences sociales.
Les CDR sont dotés par des employés de Statistique Canada et sont exploités en vertu des dispositions de la Loi sur la statistique, conformément à toutes les règles de confidentialité, et ils sont accessibles uniquement pour les chercheurs qui ont des projets de recherche approuvés et qui ont prêté serment comme « personnes réputées être employées » en vertu de la Loi sur la statistique.
Conformément au plan d'évaluation et d'audit axé sur les risques de Statistique Canada, la Division de l'audit interne effectue l'audit d'un CDR par année. En 2011, les CDR de l'Université de Calgary et de l'Université de Lethbridge ont fait l'objet d'un audit et, en 2012, c'est le Centre de données de recherche de l'Université de l'Alberta qui a fait l'objet d'un audit.
Objectifs de l'audit
Les objectifs de l'audit sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université McMaster :
- respecte les politiques et normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services;
- dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
Portée
L'audit comprenait un examen détaillé des systèmes et des pratiques du CDR en matière de protection des données, d'utilisation des technologies et de sécurité matérielle.
L'audit a été axé sur l'analyse des risques de divulgation et le contrôle de la confidentialité des données par les employés de Statistique Canada sur place, le statut de « personne réputée être employée » et les exigences en matière d'autorisation de sécurité pour l'accès aux microdonnées, le processus des propositions de recherche des CDR, les contrats de recherche pour l'utilisation de microdonnées (CRM), la sécurité matérielle dans les locaux du CDR, conformément aux politiques et normes pertinentes du SCT et de Statistique Canada, et la protection des TI conformément aux politiques et normes pertinentes du SCT et de Statistique Canada.
Approche et méthodologie
Le travail d'audit a consisté en un examen de documents, en des entrevues avec des membres clés de la haute direction et du personnel et en un examen de la conformité aux politiques et aux lignes directrices pertinentes.
Le travail sur le terrain comprenait un examen, une évaluation et un essai des processus et des procédures en place pour assurer la sécurité matérielle, de l'utilisation des technologies et de la protection des données à l'Université McMaster. Un échantillon de contrats de recherche pour l'utilisation de microdonnées (terminés, en vigueur et en voie d'évaluation) a été examiné, l'examen ayant couvert les types de contrats, les sources de données, les détenteurs de contrats multiples et l'objectif de la recherche. On a sélectionné un échantillon discrétionnaire de 32 contrats pour l'essai, représentant environ 14 % de tous les contrats de recherche pour l'utilisation de microdonnées de ce CDR.
Cet audit a été exécuté en conformité avec les Normes de vérification interne du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des auditeurs internes (IAI).
Autorité
L'audit s'est déroulé en vertu de l'autorisation du plan intégré d'évaluation et d'audit axé sur les risques de Statistique Canada de 2013-2014 à 2017-2018.
Conclusions, recommandations et réponse de la direction
Objectif 1 : Le CDR de l'Université McMaster respecte les politiques et normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
Environnement de contrôle et sécurité matérielle
Les rôles et responsabilités au niveau du programme et de la région sont définis et communiqués. Même si le personnel du CDR a établi des rapports constructifs d'égal à égal avec les chercheurs, les activités de ceux-ci dans le CDR ne font pas l'objet d'un contrôle actif. Dans ce contexte, il est peu probable que le personnel du CDR soit en mesure de déceler, de déclarer et d'atténuer les répercussions des incidents au chapitre de la confidentialité.
Les chercheurs doivent devenir des « personnes réputées être employées » pour accéder aux microdonnées confidentielles dans les CDR, conformément à la Loi sur la statistique. La confidentialité des microdonnées est assurée dans les centres au moyen d'un contrôle de gestion clé.
L'accès au CDR de l'Université McMaster est limité au personnel autorisé seulement, et des contrôles de la sécurité du périmètre et de détection des intrusions sont en place et sont efficaces. Les recommandations de Statistique Canada concernant la sécurité matérielle, qui découlent de l'inspection de décembre 2011, n'ont pas eu de suite officielle, et le pêne dormant hautement sécuritaire obligatoire n'était pas installé à l'entrée du CDR.
Les exigences relatives à l'aménagement des postes de travail des chercheurs dans les CDR prévoient une protection matérielle des écrans, afin que ceux-ci ne puissent être vus directement d'un poste de travail à l'autre. Cette mesure n'est pas en place au CDR de McMaster.
L'examen des registres automatisés et manuels de contrôle de l'accès a permis de déterminer que ces contrôles ne sont pas pleinement efficaces, les contrôles automatisés ne rendant pas compte avec précision de toutes les activités, et les registres manuels des visiteurs n'étant pas utilisés.
L'environnement de contrôle donne le ton dans une organisation ou un programme et influence le niveau de conscientisation des employés. Cela comprend la philosophie des gestionnaires, la structure hiérarchique, la répartition des rôles et des responsabilités, ainsi que le style de fonctionnement. En ce qui a trait aux CDR, un environnement de contrôle efficace permet au programme d'atteindre ses objectifs, tout en assurant la confidentialité des données conservées dans les centres. Des rôles et responsabilités bien définis et un contrôle de l'environnement d'exploitation devraient être en place pour assurer la sécurité de l'installation et la confidentialité des données conservées dans les CDR.
Environnement de contrôle
Le mandat des CDR est de promouvoir et de faciliter les travaux de recherche en sciences sociales, à partir des microdonnées confidentielles de Statistique Canada, tout en protégeant la confidentialité des données, grâce à des procédures et des politiques opérationnelles et analytiques efficaces qui créent une culture de la confidentialité.
Dans le cas du Programme des CDR globalement, l'audit a révélé que la responsabilité fonctionnelle est officiellement déléguée au gestionnaire/directeur du Programme des CDR. Au niveau régional, la responsabilité fonctionnelle revient au gestionnaire régional de CDR et le contrôle au quotidien de l'environnement et de la sécurité matérielle dans le CDR est du ressort des analystes de CDR. Ces derniers administrent le fonctionnement du Centre de données de recherche et s'assurent que les activités sont conformes au mandat de Statistique Canada.
Parmi les contrôles de gestion clés servant à assurer la confidentialité des données dans les CDR figure le statut de « personne réputée être employée », que chaque chercheur doit obtenir avant d'accéder au CDR. Chaque chercheur doit avoir un projet approuvé et doit subir une vérification de sécurité et prêter serment en vertu de la Loi sur la statistique. Une fois le serment prêté, il lie le chercheur pour la vie et celui-ci fait l'objet des mêmes sanctions que les employés de Statistique Canada en vertu de la Loi sur la statistique. Par ailleurs, les chercheurs doivent participer à une séance d'orientation, où sont énoncées les règles des CDR et les responsabilités des chercheurs en ce qui a trait à la confidentialité des données.
Le CDR de McMaster compte un analyste de CDR à temps plein, deux analystes de CDR à temps partiel et un adjoint statistique. Le gestionnaire régional responsable du CDR de McMaster se trouve au CDR de l'Université Western. Tous les analystes de CDR relèvent du gestionnaire régional, et l'adjoint statistique du CDR de McMaster relève de l'analyste de CDR à temps plein.
Les CDR sont gérés par des analystes de CDR, qui sont des employés de Statistique Canada et non pas des employés de l'université. Ce modèle organisationnel fait en sorte que les activités des installations sont conformes au mandat et aux politiques de Statistique Canada, afin d'assurer la sécurité du centre et la confidentialité des données qui y sont conservées. Dans la documentation du CDR, on note que
« l'analyste de CDR est la principale personne qui représente les intérêts de Statistique Canada dans le centre. Ainsi, l'analyste a des responsabilités particulières qui visent à assurer le bon fonctionnement du CDR, ainsi qu'à garantir le respect des critères de confidentialité et de sécurité par tous ceux qui accèdent au centre ».
Par ailleurs, dans le rapport de gestion annuel du Programme des CDR au Canada, on souligne qu'il est
« important pour les analystes de CDR d'avoir des rapports d'égal à égal avec les chercheurs qui travaillent dans leurs centres »
et que le personnel du CDR
« conserve au minimum, voire améliore, ses compétences en recherche ».
Au CDR de l'Université McMaster, les analystes de CDR sont aussi des chercheurs qui ont une expertise en analyse de données et en techniques statistiques et qui sont étroitement liés à la collectivité des chercheurs qui utilisent le CDR. Tous les analystes de CDR à l'Université McMaster ont un diplôme d'études supérieures, et trois des quatre employés de Statistique Canada effectuent aussi des recherches au CDR. Ce niveau de connaissances assure le maintien de l'expertise de recherche et facilite la recherche menée au centre.
Par conséquent, on s'attend à ce que les analystes de CDR jouent un rôle double, et parfois conflictuel, à l'intérieur du CDR. Comme les employés de Statistique Canada, leur rôle principal est de faire respecter les critères de confidentialité et de sécurité. Par suite des entrevues avec le personnel du CDR et des observations pendant la visite sur place, l'équipe d'audit a noté que les analystes de CDR mettent principalement l'accent sur la consultation avec les chercheurs concernant les techniques de recherche et les résultats, plutôt que sur le contrôle des activités permanentes du centre. Les employés du CDR ont indiqué que les chercheurs sont des professionnels et que, comme ils souhaitent avoir des rapports collégiaux et promouvoir le centre, ils n'ont pas comme rôle de contrôler les activités de chercheurs dans l'installation de McMaster. Ce point de vue entre en contradiction avec les attentes des gestionnaires de Statistique Canada en ce qui a trait aux CDR et contribue probablement à plusieurs des observations qui suivent.
Vulnérabilités
L'équipe d'audit a noté des faiblesses possibles au chapitre du contrôle pendant la visite sur place au CDR de l'Université McMaster. Isolément, ces éléments ne devraient pas présenter de risque important pour la confidentialité des données conservées dans les CDR. Toutefois, lorsqu'ils sont évalués dans l'environnement d'exploitation courant de l'installation, le risque pour la confidentialité des données est accru.
Tous les travaux d'impression effectués par les chercheurs doivent être examinés par le personnel du CDR, afin de veiller à ce qu'aucune donnée confidentielle ne sorte de l'installation. Les demandes d'impression des chercheurs sont dirigées à l'imprimante de réseau, qui est située dans la zone des postes de travail des chercheurs. On utilise du papier de couleur verte pour l'impression, et les chercheurs peuvent imprimer directement à partir de leur poste de travail et ont accès aux fournitures d'imprimerie. Des procédures documentées à l'intention des chercheurs stipulent que l'impression devrait se faire au moyen de l'imprimante de réseau sous le contrôle de l'analyste de CDR. Les chercheurs doivent remettre tous les documents imprimés sur du papier vert; toutefois, au CDR de l'Université McMaster, l'impression par les chercheurs ne fait pas l'objet d'un contrôle actif par les employés du CDR.
Par ailleurs, selon les exigences du CDR, les notes manuscrites prises par les chercheurs pendant qu'ils sont au CDR doivent faire l'objet des mêmes règlements et exigences en matière de confidentialité que les produits d'analyse et ne devraient pas être sorties sans avoir été vérifiées par le personnel du CDR. L'audit a permis d'observer que les chercheurs prennent des notes et quittent l'installation sans les faire vérifier.
Dans la documentation du CDR, il est noté que les mesures de sécurité mises en œuvre dans les CDR doivent être évidentes et doivent être considérées comme protégeant les données des centres. Par exemple, les CDR ne peuvent pas être laissés sans surveillance. Selon la documentation,
« pour qu'un CDR soit ouvert, il faut qu'un employé de Statistique Canada et non une « personne réputée être employée » soit sur les lieux ».
Au CDR de McMaster, le personnel a indiqué que les chercheurs sont laissés sans surveillance dans le centre, pendant de courtes périodes.
Au cours de l'audit de 2012 du CDR de l'Université de l'Alberta, on a noté que la documentation relative à l'utilisation des dispositifs électroniques dans les CDR n'était pas uniforme. L'audit a recommandé que les politiques et directives concernant l'utilisation de téléphones cellulaires et d'autres dispositifs électroniques dans les CDR soient cohérentes et définissent clairement les pratiques approuvées. Cela a été mis en œuvre, et toute la documentation est uniforme et énonce que les chercheurs peuvent entrer des dispositifs électroniques dans le centre, mais qu'ils ne doivent pas s'en servir à proximité des postes de travail. Au CDR de McMaster, on a accès au WIFI et on peut l'utiliser avec des appareils électroniques; toutefois, il n'est pas disponible dans les postes de travail de chercheurs. Étant donné que le CDR de l'Université McMaster est une installation occupée, et que les activités des chercheurs ne sont pas activement contrôlées, l'accès au WIFI peut faire augmenter le risque pour la confidentialité des données du centre.
L'audit a révélé que l'environnement de contrôle du CDR de McMaster a été modifié pour mettre l'accent principalement sur l'enseignement et la recherche facilitée dans l'installation. Le personnel du CDR met l'accent sur des rapports d'égal à égal avec les chercheurs et ne comprend pas pleinement son rôle principal de protection des intérêts de Statistique Canada, et n'applique pas non plus la rigueur nécessaire pour contrôler les activités. Les vulnérabilités notées par l'équipe d'audit, outre l'absence de contrôle dans le centre, font augmenter le risque pour la confidentialité des données. En l'absence d'un contrôle actif par les employés du CDR, il est peu probable que les incidents possibles au chapitre de la confidentialité soient détectés ou fassent l'objet d'un rapport par la suite.
Sécurité matérielle
Les mesures d'aménagement et de sécurité matérielle requises dans les CDR visent à aider à assurer la sécurité des données conservées dans l'installation. Ces mesures devraient être conformes aux politiques pertinentes du SCT, comme la Politique sur la sécurité du gouvernement (PSG) et le Manuel des pratiques de sécurité de Statistique Canada. Dans le contexte des CDR, la sécurité matérielle devrait inclure des contrôles concernant le périmètre et la détection des intrusions, l'accès matériel et des contrôles matériels particuliers de l'emplacement.
Contrôles de sécurité du périmètre et de détection des intrusions
Le CDR est situé au deuxième étage de la bibliothèque Mills de l'Université McMaster. Il a été construit en conformité avec les exigences pertinentes de Statistique Canada concernant la sécurité du périmètre pour les « étages partagés », c'est-à-dire les murs entourant le CDR proprement dit, qui doivent être des murs de brique ou des murs portants, ou encore les fenêtres givrées et insonorisées (c.-à-d. des fenêtres essentiellement étanches au bruit, ne permettant que d'entendre des murmures et faisant en sorte que les conversations tenues à l'intérieur de l'installation ne puissent être entendues à l'extérieur du CDR proprement dit).
Le document de procédures concernant l'ouverture des CDR et des antennes fait état des caractéristiques considérées comme les plus importantes pour la sécurité. On mentionne que
« la protection matérielle des écrans doit être assurée, c'est-à-dire qu'il ne doit pas être possible de voir directement les écrans d'un poste de travail à l'autre ».
Au CDR de McMaster, l'aménagement des postes de travail prend la forme de postes de travail installés sur de longues tables dont il est possible de voir directement les écrans.
Les responsables de la sécurité du campus assurent un contrôle 24 heures sur 24 et sept jours sur sept des installations du CDR. Ces responsables ont une carte d'accès et un code de sécurité pour le système d'alarme. Le CDR de McMaster comporte des détecteurs de mouvement et des détecteurs de bris de vitre dans les fenêtres. Le système de détection est activé lorsque le CDR est fermé. En outre, le CDR est doté d'un bouton d'alarme qui informe la sécurité du campus des incidents pendant les heures ouvrables. À l'extérieur des heures ouvrables, si l'alarme du détecteur de mouvement est déclenchée, les responsables de la sécurité du campus en sont informés à titre de premiers répondants. Le directeur universitaire et l'analyste de CDR sont aussi informés.
Contrôles de la sécurité de l'accès
L'accès au CDR de l'Université McMaster se fait par une porte d'entrée simple en acier. La poignée de porte comporte un verrou. Le CDR est aussi doté d'un système d'alarme et de détecteurs de mouvement, qui sont fonctionnels et qui protègent l'installation en dehors des heures ouvrables. L'entrée dans le CDR de McMaster est limitée aux personnes autorisées seulement. Le personnel du CDR et les responsables de la sécurité du campus ont des clés pour entrer dans l'installation. Tous les autres utilisateurs qui doivent accéder à l'installation sont dotés d'une carte d'accès générique programmée pour leur utilisation, qui doit être remise à l'analyste de CDR à temps plein une fois le contrat terminé.
Selon les lignes directrices du CDR et de Statistique Canada, les CDR doivent comporter des portes en acier munies d'un pêne dormant hautement sécuritaire comportant une saillie d'un pouce. Il s'agit d'une exigence permanente pour les CDR. L'audit a permis de déterminer que le CDR de McMaster n'est pas muni d'un pêne dormant hautement sécuritaire, et cela a été noté comme une lacune dans l'inspection matérielle de 2011 menée par la Sécurité du Bureau.
Les CDR doivent contrôler tous les accès, afin d'assurer la sécurité matérielle du centre. Au CDR de McMaster, un système d'accès avec carte à bande magnétique, c'est-à-dire une carte d'identité renfermant des données électroniques permettant d'identifier le détenteur, est en place afin de contrôler l'accès. Le système enregistre toutes les entrées et sorties, et le personnel du CDR peut obtenir ces registres d'accès au besoin. Les visiteurs non autorisés ne peuvent pas aller au-delà de la porte d'entrée simple de l'installation de CDR. L'équipe d'audit a examiné les registres d'accès pour les quatre jours pendant lesquels les auditeurs étaient sur place dans l'installation. Même si les entrées et les sorties du personnel du CDR et de l'université sont enregistrées, ainsi que celles de chercheurs, l'audit a mentionné que les entrées ou les sorties d'un chercheur en particulier observées dans le centre plusieurs fois pendant la période examinée n'étaient pas enregistrées, et que les entrées ou les sorties des membres de l'équipe d'audit utilisant la carte de visiteur qui leur avait été remise n'ont pas été enregistrées non plus.
Il existe un deuxième contrôle dans tous les CDR, à savoir un registre à signer par les visiteurs. Le protocole s'appliquant aux visiteurs d'un CDR souligne que les visites de personnes qui ne sont pas des « personnes réputées être employées » doivent être planifiées au préalable, et qu'un registre incluant la date, l'heure, le nom du visiteur, le nom de l'employé accompagnant le visiteur et la raison de la visite doit être conservé pour toutes ces visites. Le registre doit être conservé et disponible aux fins de l'audit pendant au moins un an après une entrée. Même si une feuille à signer par les visiteurs se trouvait à l'intérieur de la porte d'entrée du CDR de l'Université McMaster, les entrevues avec le personnel du CDR et l'examen des registres ont montré qu'elle n'est pas utilisée.
Autres contrôles de la sécurité matérielle
Afin d'aider à assurer la sécurité du CDR, les fils utilisés pour les TI doivent passer dans des conduits sécuritaires à l'intérieur des murs et des plafonds. L'équipe d'audit a noté que cette mesure est en place au CDR de l'Université McMaster. Il y a une salle de serveur sécurisée, qui est toujours verrouillée, ainsi que des armoires verrouillées pour l'entreposage des disques compacts et des fichiers archivés des chercheurs, afin de protéger les données confidentielles, classifiées et protégées. L'accès au réseau B est disponible uniquement dans les bureaux des analystes de CDR. Il y a une salle de conférence distincte dotée d'un poste de travail dans l'installation, à l'intention des chercheurs et du personnel du CDR. L'imprimante/le télécopieur/le scanneur est réservé à l'usage du personnel du CDR et se trouve dans le bureau de l'analyste de CDR. L'imprimante de réseau utilisée par les chercheurs est installée dans la zone de travail, et les chercheurs peuvent imprimer des documents au besoin.
Inspections de la sécurité matérielle par la Sécurité du Bureau
La Sécurité du Bureau au bureau central de Statistique Canada fournit une orientation et des directives en matière de sécurité matérielle. Des inspections sont menées au moment de l'ouverture initiale, et les gestionnaires de Statistique Canada ont récemment déterminé que les inspections du CDR devraient avoir lieu tous les quatre ans. Le personnel de la Sécurité du Bureau procède aux inspections matérielles et fournit des recommandations aux gestionnaires régionaux de CDR et au personnel du bureau central. La dernière inspection de la sécurité matérielle du CDR de l'Université McMaster a été menée en décembre 2011. Par suite de cette inspection, plusieurs recommandations ont été notées, y compris les suivantes : installation d'un pêne dormant hautement sécuritaire sur la porte d'entrée en acier; givrage des fenêtres de la salle de conférence, qui fait face aux postes de travail des chercheurs; examen trimestriel des cartes d'accès; et meilleure signalisation dans le centre.
Même si l'audit a fourni des preuves de discussions entre les analystes de CDR, les gestionnaires régionaux et les gestionnaires de la Division de l'accès aux microdonnées concernant les recommandations d'inspection, il n'y avait pas de preuve de réponse officielle à la Sécurité du Bureau. Une meilleure signalisation a été mise en place; toutefois, les recommandations relatives aux examens plus fréquents de l'accès au moyen de cartes, au pêne dormant hautement sécuritaire et au givrage des fenêtres n'ont pas été mises en œuvre. Le personnel du CDR n'a pas pu expliquer clairement si la mise en œuvre des recommandations d'inspection de sécurité était obligatoire.
Recommandations :
Il est recommandé que le statisticien en chef adjoint, Statistique sociale, de la santé et du travail, s'assure que :
- le personnel du CDR de l'Université McMaster comprend et assume le rôle de contrôle actif de l'environnement d'exploitation et des activités des chercheurs dans l'installation, afin de s'assurer qu'ils respectent les exigences et les lignes directrices en matière de sécurité du CDR, de Statistique Canada et du SCT;
- des documents de procédures liées à l'ouverture et à l'exploitation des CDR et des antennes sont précisés, afin de déterminer ce qui est considéré comme une exigence obligatoire pour l'aménagement physique des postes de travail des chercheurs, en vue de fournir un environnement de contrôle matériel efficace;
- les recommandations de la Sécurité du Bureau concernant l'inspection matérielle menée par ce dernier en décembre 2011 font l'objet d'un suivi officiel et que les exigences obligatoires sont mises en œuvre rapidement;
- les registres d'entrées automatisés sont validés, afin de veiller à ce qu'ils soient efficaces et qu'ils enregistrent les accès au CDR et que des registres de visiteurs soient mis en place et utilisés au besoin.
Réponse de la direction :
La direction souscrit aux recommandations formulées.
- Le directeur de la DAM définira plus précisément ce que signifie le « contrôle actif » pour les analystes et fournira des exemples concrets.
Produits livrables et échéance : Communiqué à tous les employés concernant les ententes de « contrôle actif ». Des discussions de suivi auront lieu dans le cadre des réunions régionales. Cette activité sera terminée d'ici décembre 2013. - Le directeur de la DAM s'assurera que des niveaux de dotation appropriés sont en place, selon la charge de travail, afin de laisser suffisamment de temps pour le contrôle actif.
Produits livrables et échéance : Revoir la question du niveau de dotation avec le directeur universitaire de l'Université McMaster, par suite de l'examen annuel des niveaux de dotation de cette année. Cette activité sera terminée d'ici janvier 2014. - Le directeur de la DAM passera en revue les exigences pour l'aménagement matériel des postes de travail, et recommandera l'utilisation d'écrans de veille, plutôt que de cloisons entre les postes de travail, lorsque cela est raisonnable.
Produits livrables et échéance : Un modèle de document d'approbation est en place. Cette activité sera terminée d'ici novembre 2013. - Le directeur de la DAM négociera avec les responsables de la Sécurité matérielle et de la Sécurité des TI pour élaborer un document d'approbation pour toutes les inspections de CDR et pour obtenir les rapports d'inspection plus rapidement. Ce formulaire exigera des responsables de la Sécurité matérielle et de la Sécurité des TI qu'ils approuvent chaque mesure recommandée, puis qu'ils fournissent une approbation finale, une fois toutes les exigences respectées.
Produits livrables et échéance : Modèle de document d'approbation. Cette activité est terminée. - Le directeur de la DAM s'assurera qu'on procède à un examen de tous les registres automatisés des entrées dans tous les CDR. Grâce aux réunions régionales, nous nous assurerons que tous les employés de CDR passent en revue les exigences relatives à l'utilisation des registres de visiteurs.
Produits livrables et échéance : Déterminer les problèmes concernant les autres registres automatisés des entrées et établir un plan d'action avec les universités pour les corriger. Cette activité sera terminée d'ici mars 2014.
Sécurité des technologies de l'information
Les rôles et responsabilités au niveau du programme et de la région en ce qui a trait à la sécurité des TI sont définis et communiqués.
Des mesures d'accès aux technologies de l'information, ainsi que de protection de l'identification et de l'authentification, sont en place et sont efficaces.
La sécurité des technologies de l'information dans les CDR doit être conforme aux politiques pertinentes du SCT, comme les Normes de sécurité opérationnelle : Gestion de la sécurité des technologies de l'information et le Manuel des pratiques de sécurité de Statistique Canada. Les rôles, les responsabilités et les obligations redditionnelles doivent être clairement définis et communiqués. Dans le contexte des CDR, la sécurité des TI devrait inclure des contrôles de sécurité qui appuient la protection du système d'information, les communications avec le système d'information et à l'intérieur de celui-ci, les contrôles de l'accès, qui permettent d'accorder ou de refuser aux utilisateurs l'accès aux systèmes, et les contrôles d'identification et d'authentification, qui appuient l'identification et l'authentification uniques de ces utilisateurs.
Rôles et responsabilités
L'audit a révélé qu'au niveau du programme, la responsabilité fonctionnelle est officiellement déléguée au gestionnaire/directeur du Programme des CDR et que, dans les CDR proprement dits, l'analyste de CDR se charge des activités au quotidien. Au CDR de McMaster, les ressources des TI sont fournies par un membre du personnel de l'université. Cette personne répond aux demandes de soutien de l'analyste de CDR et fait en sorte que les ordinateurs des postes de travail, le serveur du CDR et les autres équipements des TI sont configurés pour respecter les directives et politiques de Statistique Canada.
La Sécurité du Bureau (SB) et les Services de technologie informatique au bureau central de Statistique Canada fournissent une orientation et des directives en matière de sécurité des TI et de sécurité matérielle. Ils réalisent les inspections de la sécurité matérielle et de la sécurité des TI dans les CDR et fournissent des recommandations au directeur/gestionnaire du Programme des CDR. La dernière inspection des TI au CDR de McMaster a été menée en décembre 2011. Des inspections périodiques de chaque CDR sont prévues tous les quatre ans.
Mesures de protection du système et des communications
Le serveur du CDR de McMaster a été récemment mis à niveau et est installé dans une salle de serveur sécuritaire située dans la salle de conférence du CDR. Le serveur est configuré en mode autonome avec Open Directory et fait appel à une liste de contrôle d'accès (norme ACL [Access Control List] de l'industrie) pour l'octroi des privilèges d'accès. Mis à part un lien au réseau étendu (RE), le serveur n'a pas de connexion externe. Il n'est donc pas possible d'accéder au serveur depuis l'extérieur du CDR. L'Université McMaster doit faire la transition au domaine/à l'interface du bureau central avant la fin de l'exercice 2013-2014. Une fois ce transfert effectué, les comptes d'utilisateur seront gérés par la Sous-section des opérations du Programme des CDR du bureau central. À l'heure actuelle, les comptes d'utilisateur sont dans des serveurs qui sont configurés par les analystes de CDR et gérés par la ressource de McMaster chargée des TI.
Il y a 11 postes de travail autonomes qui sont mis à la disposition des chercheurs. Un poste de travail supplémentaire, situé dans la salle de conférence, sert à examiner les résultats par les équipes de recherche et les étudiants chercheurs. Les postes de travail ne sont pas reliés à Internet (seuls les employés du CDR ont accès à Internet, dans le bureau de l'analyste de CDR), et les répertoires de données et des chercheurs sont conservés dans le serveur. Un logiciel est installé à chaque poste de travail par le soutien des TI, et chaque poste comporte une application qui fait en sorte qu'aucune donnée résiduelle ne demeure dans l'ordinateur après la fermeture de session.
Dans le cadre de l'audit, on a examiné les configurations des postes de travail et on a déterminé que les ports USB avaient été désactivés, et que les caractéristiques prêt-à-brancher des ports du clavier et de la souris avaient été configurées de façon que tout autre branchement dans le port entraîne une désactivation automatique. Les mots de passe ont été configurés pour respecter les exigences en matière de TI de Statistique Canada.
Mesures de protection de l'accès, de l'identification et de l'authentification
Les procédures précisent que des comptes d'utilisateur doivent être créés uniquement lorsqu'un contrat est approuvé et devient actif. L'accès doit être supprimé à la date d'expiration du CRM et la configuration des mots de passe doit être conforme aux normes établies par Statistique Canada. La création de comptes d'utilisateur et l'octroi de l'accès aux fichiers de microdonnées étaient étayés par des contrats actifs approuvés pour tous les contrats échantillonnés.
Les analystes de CDR et le personnel de soutien des TI affecté au CDR détiennent les privilèges administratifs. L'adjoint statistique n'a pas de privilèges administratifs. Les tâches relatives aux TI ont été réparties entre les employés du CDR. Un analyste de CDR assume la responsabilité première de la création des comptes de chercheur et de la configuration des comptes pour veiller à ce que seules les données approuvées dans le contrat final soient accessibles. L'essai des comptes nouvellement créés est mené par l'analyste, afin de veiller à ce que seuls les chercheurs puissent accéder aux données dont il est question dans le CRM. Le soutien des TI est responsable du dépannage des TI, des problèmes liés aux postes de travail et de toutes les exigences relatives au serveur. Même s'il n&rsrsquo;est pas employé de Statistique Canada, le responsable du soutien des TI est une « personne réputée être employée » et fait en sorte que les systèmes du CDR sont configurés selon les exigences de Statistique Canada. L'audit a révélé que les chercheurs ne peuvent déplacer de fichiers entre des projets et que la configuration des mots de passe du CDR de McMaster est conforme aux normes de Statistique Canada.
Dans le cadre de l'audit, les mesures de contrôle de l'accès ont été mises à l'essai par un examen des trois éléments suivants :
- les codes d'utilisateur;
- la liste de contrôle d'accès par enquête;
- la liste de contrôle d'accès par numéro de projet.
Dans le cadre de l'audit, on a examiné 35 codes d'utilisateur de chercheur au CDR de McMaster. Parmi eux, 15 étaient des codes d'utilisateur actifs, 3 concernaient des comptes établis, mais pas encore activés, et 17 étaient inactifs et avaient été désactivés. L'équipe d'audit a constaté que lorsqu'un même chercheur est associé à plus d'un projet de recherche, un code d'utilisateur distinct lui est attribué pour chaque projet.
Les listes de contrôle d'accès par nom d'enquête ont été examinées, relativement à quatre ensembles de microdonnées, afin de s'assurer que seuls des chercheurs ayant un CRM associé aux enquêtes en question soient autorisés à accéder aux données. Les listes de contrôle d'accès pour ces enquêtes indiquaient que l'accès était restreint aux codes d'utilisateur de chercheurs autorisés seulement.
Une validation des listes de contrôle d'accès par numéro de projet a été effectuée pour déterminer si les projets avaient été configurés pour autoriser l'accès uniquement aux données associées au projet en question. Dans le cadre de l'audit, on a examiné deux numéros de projet distincts et les codes d'utilisateur associés à ces projets. L'audit a confirmé que les utilisateurs ne pouvaient pas accéder à des données qui n'étaient pas associées à leur projet.
L'audit a révélé que des mesures de sécurité des TI pertinentes sont en place et respectent les normes de Statistique Canada pour la sauvegarde et la protection des données confidentielles. Des mesures de protection de l'accès, de l'identification et de l'authentification sont en place au CDR de McMaster et fonctionnent comme prévu.
Objectif 2 : Le CDR de l'Université McMaster dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
Administration des contrats de recherche pour l'utilisation de microdonnées et contrôle de la confidentialité
Les pouvoirs requis pour l'administration des CRM et l'analyse des risques pour la confidentialité sont officiellement délégués au niveau du programme et des opérations, et les rôles et responsabilités sont formellement définis et communiqués. L'audit a révélé qu'il n'y avait pas de formulaires d'attestation pour certains chercheurs ayant des CRM en vigueur.
Les résultats de certaines évaluations de propositions de CRM ne figuraient pas dans les dossiers du CDR et, dans un cas, le contrat ne rendait pas compte avec précision des données dont l'accès avait été approuvé. Par conséquent, les chercheurs avaient accès à des microdonnées confidentielles qui n'avaient pas été approuvées pour le projet.
Des processus et des procédures sont en place pour le contrôle de confidentialité et les demandes de contrôle de confidentialité sont administrées et évaluées avec soin par l'analyste du CDR, afin de veiller à ce que la confidentialité des données ne soit pas compromise. On a déterminé que les formulaires de demande de contrôle de la confidentialité des données étaient supprimés une fois ce processus terminé.
L'administration des CRM comporte un ensemble de responsabilités et de procédures pour contrôler et protéger l'information détenue dans les CDR. Les pratiques mises en œuvre comprennent la restriction de l'accès aux installations aux seuls chercheurs détenant une cote de sécurité valide et un contrat en vigueur, la garantie que les chercheurs ne peuvent accéder qu'aux données qui peuvent être utilisées dans le cadre du contrat particulier, ainsi que l'établissement et la tenue à jour des répertoires de données administratives sur chaque projet de recherche.
Autorisation
Le CDR de l'Université McMaster est exploité en vertu des dispositions de la Loi sur la statistique et est administré en conformité avec les règles de confidentialité qui régissent Statistique Canada. Seuls les chercheurs dont le projet a été approuvé et qui ont prêté serment à titre de « personnes réputées être employées » en vertu de la Loi sur la statistique peuvent avoir accès au CDR.
Rôles et responsabilités
Les rôles et responsabilités relativement à la gestion des CRM, à l'accès aux microdonnées confidentielles et au contrôle de confidentialité sont définis et communiqués à tous les intervenants dans des politiques, lignes directrices, normes et guides détaillés. Au niveau du programme, les pouvoirs sont officiellement délégués au gestionnaire des CDR dans le Manuel des pratiques de sécurité de Statistique Canada, qui stipule que le gestionnaire des CDR
« est chargé d'établir et de tenir à jour un relevé des renseignements administratifs sur les projets de recherche auxquels prennent part les personnes réputées être employées pour le bureau central, les bureaux régionaux et les Centres de données de recherche. Ces renseignements comprennent les propositions de recherche et les autres renseignements acquis tout au long du cycle de vie du projet, ainsi que l'attestation signifiant que les formalités prescrites ont été observées ».
Tous les renseignements sur les contrats des CDR ont été transférés dans le Système de gestion des relations avec les clients (SGRC). Cette base de données sert à gérer l'information concernant les CRM, les ensembles de données, les propositions et les chercheurs principaux autorisés à accéder aux microdonnées dans les CDR. Ces renseignements comprennent l'état du contrat, les dates d'approbation, les noms des chercheurs, les noms des examinateurs et les résultats des examens, les dates de fin des contrats et les données que les chercheurs sont autorisés à consulter.
En outre, aux termes de la Politique sur la sécurité des renseignements statistiques de nature délicate, les directeurs
« doivent contrôler et protéger tous les renseignements statistiques de nature délicate que leur secteur a obtenus ou qu'il garde pour réaliser les objectifs de leur programme. Lorsque l'accès à de tels renseignements est accordé au niveau d'un centre de données de recherche ou d'une entité équivalente, cette responsabilité incombe au gestionnaire du Programme des centres de données de recherche ».
Procédures de traitement des contrats
Les CDR sont régis par les dispositions de la Loi sur la statistique, en conformité avec toutes les règles de confidentialité. Ce mode d'accès est approprié lorsque le chercheur ne peut trouver de réponse à une question de recherche qu'en procédant à une analyse statistique inférentielle des microdonnées confidentielles. En outre, le chercheur doit être disposé à devenir une « personne réputée être employée » de Statistique Canada, ainsi qu'à effectuer l'analyse des données dans le laboratoire informatique protégé du CDR.Footnote 1
Conformément à la Politique sur l'utilisation de personnes réputées être employées révisée en août 2007, les chercheurs qui souhaitent accéder à un CDR doivent devenir des « personnes réputées être employées » et faire l'objet d'une enquête de sécurité en vertu des paragraphes 5(2) et 5(3) de la Loi sur la statistique, et prêter serment ou affirmation d'office et de discrétion en vertu du paragraphe 6(1) de la Loi sur la statistique. Ils doivent aussi signer une attestation qu'ils ont lu et compris le Code de valeurs et d'éthique de la fonction publique de Statistique Canada. Ces étapes doivent être franchies avant que Statistique Canada ne signe le CRM. Une fois que le chercheur satisfait à ces exigences et qu'il a assisté à une séance d'orientation, il est officiellement une « personne réputée être employée » de Statistique Canada. Les chercheurs des CDR et les autres personnes réputées être employées doivent réaffirmer leur serment de discrétion dans le deux cas suivants : 1) lorsqu'un chercheur souhaite avoir de nouveau accès aux données, alors qu'il ne détient aucun contrat actif depuis un an ou plus, ou 2) lorsque la cote de sécurité arrive à expiration.
Dans le cadre de l'audit, on a vérifié si toute la documentation requise était en place et valide pour 40 chercheurs associés à 24 contrats échantillonnés. L'essai a révélé que des autorisations de sécurité valides et des affirmations d'office et de discrétion avaient été signées par tous les chercheurs. Dans le cadre de la vérification permettant de déterminer si les chercheurs avaient pris connaissance du Code de valeurs et d'éthique de la fonction publique, on a déterminé que parmi les 40 chercheurs associés aux contrats échantillonnés, 33 avaient signé un document d'attestation dont une copie était archivée. Dans le cas de 7 autres chercheurs, il n'y avait pas de copie signée d'attestation archivée, en dépit du fait que ces 7 chercheurs avaient des contrats dont la date était postérieure à août 2007, date à laquelle cette exigence a été établie. Ces chercheurs avaient toutefois apposé leurs initiales dans la section sur les conflits d'intérêt du CRM, en indiquant qu'ils auraient une conduite conforme aux principes et à l'esprit du Code de valeurs et d'éthique s'appliquant aux personnes réputées être employées.
Le contrat de recherche pour l'utilisation de microdonnées est également signé par Statistique Canada, soit par le gestionnaire du Programme des CDR (ou son représentant délégué), ou par le directeur de la division chargée de l'enquête. Sur réception de cette signature, le chercheur peut ensuite avoir accès à des microdonnées confidentielles approuvées pour son projet et commencer l'analyse des données au CDR. L'audit a révélé que des contrats avaient été signés par le responsable compétent à Statistique Canada.
Dans le cadre de l'audit, on a vérifié la conformité aux procédures de traitement des contrats, grâce à l'examen d'un échantillon de 21 contrats en vigueur et terminés associés au CDR de McMaster. L'audit a révélé que pour un des contrats actifs sélectionnés, il y avait eu une erreur de classification et que le contrat était conservé au CDR de Guelph. Un autre contrat était associé à un employé spécialisé de Statistique Canada travaillant au CDR de McMaster. Tous les contrôles de confidentialité et approbations se sont faits au bureau central et n'étaient pas conservés dans le CDR. Pour les 19 contrats qui restent, des propositions, descriptions de projet ou descriptions de cours étaient en place. Les évaluations de proposition se trouvaient dans les dossiers du CDR de McMaster, sauf dans le cas de trois contrats. Pour ces contrats, les évaluations associées à l'Enquête sur la dynamique du travail et du revenu (EDTR) ne figuraient pas dans les fichiers électroniques du CDR. Ces données ont été retrouvées dans un fichier du bureau central, et une des évaluations comportait un rejet de la demande d'accès aux données. Cela n'apparaissait pas dans le CRM final, et l'équipe d'audit a déterminé, pendant la vérification des codes d'utilisateur, que cinq chercheurs associés à ce CRM avaient eu accès à cet ensemble de données, même si la demande avait été rejetée. La Division de l'audit interne a informé le gestionnaire du CDR au bureau central du problème et a été informée par la suite que les privilèges d'accès à l'ensemble de microdonnées en question avaient été révoqués et que le personnel du CDR s'étaient assurés que les chercheurs n'avaient pas eu accès à ces données.
Des procédures de traitement des contrats sont en place dans le Programme des CDR, mais elles devraient être améliorées pour veiller à ce que les chercheurs ayant des contrats en vigueur remplissent toutes les attestations et affirmations requises. Par ailleurs, les résultats des évaluations proposées associées aux CRM devraient être classés et validés en fonction des CRM, afin de veiller à ce que les chercheurs n'aient accès qu'aux ensembles de données approuvés.
Contrôle de confidentialité
Les CDR sont les dépositaires des fichiers de microdonnées de Statistique Canada, qui sont accessibles pour les chercheurs dont les projets sont approuvés. Des processus et des procédures efficaces et appropriées pour le contrôle de confidentialité devraient être en place et appliqués, afin de réduire de façon significative les risques de divulgation non désirée. Le contrôle de confidentialité doit être administré soigneusement par l'analyste du CDR, conformément aux protocoles établis, afin de veiller à ce que la confidentialité des données ne soit pas compromise.
Le contrôle de confidentialité est le processus de filtrage des produits de recherche, de fichiers de syntaxe ou de documents se rapportant aux données confidentielles pour évaluer le risque de divulgation non autorisée. Pour ce faire, on tente de déterminer s'il est possible d'inférer ou de déduire des données d'identification évidentes de cas individuels ou des renseignements concernant des cas individuels, à partir des produits statistiques.
Rôles et responsabilités
La documentation souligne que la première responsabilité de l'analyste du CDR lorsqu'il procède à un contrôle de confidentialité consiste à s'assurer que des renseignements confidentiels ne sont pas divulgués dans les résultats de recherche qui sortiront du CDR. L'analyste examine tous les documents que le chercheur souhaite sortir du CDR; la responsabilité finale et la décision de sortir du CDR les résultats des analyses lui reviennent. Au CDR de McMaster, la majorité du contrôle de confidentialité est assurée par un des analystes à temps partiel du CDR. Cet analyste travaille deux jours au CDR de McMaster (et trois autres jours dans un CDR différent en Ontario). Ce même analyste travaille au Programme des CDR depuis plusieurs années et, outre qu'il a des CRM actifs, comprend les exigences relatives aux données et à la confidentialité de Statistique Canada.
Le contrôle de confidentialité se fait au moyen des lignes directrices propres aux enquêtes pour toutes les enquêtes auxquelles les CDR donnent accès. Les questions ou préoccupations concernant le processus de contrôle de confidentialité ou les techniques statistiques sont réglées par le gestionnaire régional des CDR ou par le Comité de contrôle de confidentialité du CDR.
Au cours de la séance d'orientation, les chercheurs reçoivent de la formation relative au processus de contrôle de confidentialité, ainsi que la documentation requise pour les demandes de contrôle. Cette documentation comprend des descriptions des variables, des nombres pondérés et non pondérés, une syntaxe et un formulaire de demande de divulgation pour chaque demande de produit.
Processus et procédures
Une ébauche de document détaillé intitulé Règles de contrôle de divulgation pour les produits de données d'enquête dans les CDR comprend des instructions sur la façon de procéder au contrôle de confidentialité. Des lignes directrices sur l'analyse des risques de divulgation pour les divers types de données et produits descriptifs ou tabulaires, ainsi que des matrices de variance-covariance et de corrélation, des graphiques, des modèles et un exemple de « formulaire de demande de divulgation », sont aussi inclus.
Les lignes directrices et les processus en matière de contrôle de confidentialité sont énoncés dans le Guide à l'intention des chercheurs. Une partie importante du processus consiste pour les chercheurs à remplir le « Formulaire de demande de contrôle » de confidentialité (anciennement le « Formulaire de demande d'analyse de divulgation »), dans lequel ils doivent fournir les renseignements nécessaires à l'analyste pour effectuer un contrôle de confidentialité et consigner la démarche effectuée. Les données requises du chercheur comprennent les suivantes :
- le nom du fichier de sortie, l'enquête et les cycles utilisés;
- les caractéristiques de la population analysée;
- la méthode statistique et les poids utilisés;
- une description des variables;
- des produits pondérés et non pondérés.
Une fois le contrôle de confidentialité complet, les produits considérés comme non confidentiels sont communiqués au chercheur.
Dans le cadre de l'audit, on a vérifié 19 contrats en vigueur et terminés, afin de s'assurer que le contrôle de confidentialité était assuré et approprié. Parmi les 19 contrats en vigueur et terminés, aucune donnée n'avait été soumise pour le contrôle de confidentialité de 7 contrats. Parmi les 12 contrats en vigueur et terminés qui restent, pour lesquels il fallait procéder à un contrôle de confidentialité, l'audit a trouvé des preuves qu'un tel contrôle avait eu lieu. Toutefois, on n'a pas trouvé de formulaires de contrôle de confidentialité remplis dans les dossiers. L'analyste de CDR a noté que, même si les chercheurs soumettent ces formulaires avec les demandes de contrôle, une fois que l'analyste a terminé le contrôle, les formulaires sont supprimés ou déchiquetés et ne sont pas conservés dans les dossiers. Étant donné que chaque demande de contrôle subséquente dépend des données contrôlées précédemment, l'absence de formulaires de contrôle remplis fait en sorte qu'il est inefficace et difficile pour l'analyste de déterminer facilement ce qui a été contrôlé précédemment. Par ailleurs, si un autre analyste de CDR prend en charge la tâche de contrôle de confidentialité, il lui faudra du temps pour retracer ce qui a été contrôlé. Même si les formulaires de contrôle n'avaient pas été remplis, l'équipe d'audit a pu déterminer, à partir des produits soumis et d'autres documents (comme la syntaxe et les listes de variables), que parmi les 12 contrats nécessitant un contrôle de confidentialité des produits, un tel contrôle a été effectué et était approprié. Des dossiers « à contrôler » comprenaient des fichiers de syntaxe, ainsi que des produits pondérés et non pondérés et des données contrôlées précédemment (au besoin). L'audit a révélé que les dossiers contrôlés connexes comprenaient des preuves à l'appui de l'exécution d'un contrôle de confidentialité pour les 12 contrats, y compris une vérification des fréquences par cellule, l'élimination des produits non pondérés et la suppression des produits pondérés lorsque la confidentialité risquait d'être compromise.
L'audit a révélé qu'un contrôle de confidentialité était assuré. Les formulaires de demande de contrôle de confidentialité remplis sont supprimés une fois la demande terminée, ce qui rend les contrôles subséquents associés à ce projet inefficaces et plus difficiles à retracer.
Recommandations
Il est recommandé que le statisticien en chef adjoint, Statistique sociale, de la santé et du travail, s'assure que :
- lorsque des CRM sont créés, mis à jour, révisés ou prolongés, le personnel du CDR confirme que les chercheurs respectent toutes les exigences relatives à la sécurité, à la confidentialité, aux conflits d'intérêts et au code de valeurs et d'éthique qui sont en place au moment du nouveau contrat ou du contrat mis à jour;
- les résultats des évaluations de propositions sont conservés et validés par rapport aux CRM finaux, afin de veiller à ce que l'accès aux microdonnées confidentielles soit limité aux chercheurs dont les demandes d'accès aux données ont été approuvées;
- les formulaires de demande de contrôle de confidentialité remplis soumis avec les produits à contrôler sont conservés pour référence future.
Réponse de la direction :
La direction souscrit aux recommandations formulées.
- Le directeur de la DAM a collaboré avec la DGI pour réviser nos contrats de recherche pour l'utilisation de microdonnées (CRM), afin de réduire le nombre de formulaires multiples comportant des signatures de plusieurs chercheurs. Le nouveau CRM est presque prêt et servira de norme pour le CDRE, le CFDR et les CDR. Cela permettra de préciser quelles sont les signatures requises.
Produits livrables et échéance : Nouveau contrat de recherche pour l'utilisation de microdonnées. Cette activité sera terminée d'ici janvier 2014. - Le directeur de la DAM mettra en œuvre une nouvelle procédure pour s'assurer que les ensembles de données dont l'accès n'a pas été approuvé à l'intérieur d'un projet approuvé plus large soient mieux identifiés à l'intention des analystes.
Produits livrables et échéance :Nouvelle procédure documentée et mise en œuvre. Cette activité sera terminée en novembre 2013. - Le directeur de la DAM souligne que des formulaires remplis sont déjà conservés avec chaque projet, mais l'endroit où ils le sont n'est pas uniforme. Nous établirons un lieu uniforme où tous les analystes pourront conserver les formulaires de demande de contrôle.
Produits livrables et échéance : Nouvelle procédure documentée et mise en œuvre. Cette activité sera terminée en mars 2014.
Annexes
Objectif du contrôle / contrôles de base / critères | Sous-critères | Instrument de politique |
---|---|---|
1) Le CDR de l'Université McMaster respecte les politiques et normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services. | ||
Gérance | ||
1.1 Contrôles appropriés de la sécurité matérielle et des TI en place. (GE-11) | 1.1.1 Des contrôles d'accès logique sont en place pour veiller à ce que seuls les utilisateurs autorisés aient accès aux systèmes, aux données et aux programmes. 1.1.2 L'accès physique aux installations du CDR est restreint pour la protection des biens de nature délicate. 1.1.3 Il existe des procédures pour assurer l'efficacité des mesures d'authentification et d'accès et elles sont appliquées. |
SCT – Politique sur la sécurité du gouvernementSCT – Norme sur la sécurité matérielle SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Documents internes des CDR sur la sécurité matérielle et la sécurité des TI Politique sur la sécurité des renseignements statistiques de nature délicate Loi sur la statistique Directive sur la révélation discrétionnaire Politique sur l'utilisation de personnes réputées être employées |
1.2 Les dossiers, les renseignements et les autres biens de nature délicate sont protégés par des systèmes d'information maintenus conformément aux lois et aux règlements en vigueur. (GE-12) | 1.2.1 Des procédures visant à sauvegarder et à protéger l'utilisation des biens (c.-à-d. l'utilisation autorisée seulement) sont en place et sont respectées. 1.2.2 Les mesures de sécurité matérielle et de sécurité des TI sont conformes aux politiques du SCT et aux politiques et procédures de Statistique Canada pertinentes. 1.2.3 Les dérogations aux politiques et procédures du SCT et de Statistique Canada sont repérées et les mesures qui s'imposent sont prises. |
Politique sur la sécurité des renseignements statistiques de nature délicate Directive sur la révélation discrétionnaire Documents internes des CDR sur la sécurité matérielle et la sécurité des TI Documents internes des CDR en matière de confidentialité SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada SCT – Politique sur la sécurité du gouvernement SCT – Norme sur la sécurité matérielle Directive sur la révélation discrétionnaire |
1.3 Les gestionnaires ont établi des processus pour élaborer et gérer les ententes, les protocoles d'entente et/ou les contrats pertinents aux fins du Programme des CDR dans la région. (GE-22) | 1.3.1 Les processus régissant l'accès aux données respectent les politiques pertinentes du SCT et de Statistique Canada en matière de sécurité des TI. 1.3.2 Les gestionnaires ont mis en œuvre un programme de surveillance des activités des fournisseurs externes assurant la prestation de services de TI. |
Cadre de responsabilisation de gestion SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Loi sur la statistique Politique sur la sécurité des renseignements statistiques de nature délicate Directive sur la révélation discrétionnaire Politique sur l'utilisation de personnes réputées être employées SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Documents internes des CDR |
1.4 Les gestionnaires ont conçu et mis en œuvre des contrôles généraux efficaces des systèmes informatiques des CDR. (GE-23) | 1.4.1 Les responsables hiérarchiques compétents ont conçu et mis en œuvre des processus, des procédures et des contrôles pour la protection des fichiers de microdonnées de Statistique Canada, y compris :
|
Cadre de responsabilisation de gestion Rapports d'inspection de la sécurité des CDR Manuel des pratiques de sécurité de Statistique Canada |
2) Le CDR de l'Université McMaster dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services. | ||
Reddition de comptes | ||
2.1 Les pouvoirs, les responsabilités et les obligations redditionnelles sont officiellement et clairement définis et communiqués. (RC-1) | 2.1.1 Les responsabilités et les obligations redditionnelles sont officiellement et clairement définies et communiquées aux employés de Statistique Canada, aux chercheurs et aux partenaires des CDR. 2.1.2 Tous les documents et ententes pertinents définissent clairement les rôles, les responsabilités et les obligations redditionnelles de toutes les parties en ce qui concerne les CDR et la protection de la confidentialité des données de Statistique Canada. 2.1.3 Les pouvoirs sont officiellement délégués, en fonction des responsabilités de chacun. Le cas échéant, les fonctions incompatibles ne sont pas combinées. |
Cadre de responsabilisation de gestion Manuel des pratiques de sécurité Documents internes des CDR sur les rôles et les responsabilités Politique sur l'utilisation de personnes réputées être employées Loi sur la statistique Politique sur la sécurité des renseignements statistiques de nature délicate Modèles de CRM< Serment ou affirmation de discrétion Documents sur les valeurs et l'éthique Manuel des CDR à l'intention des chercheurs Politique sur la sécurité des renseignements statistiques de nature délicate Documents internes sur le contrôle de confidentialité |
2.2 Le Programme des CDR est doté d'une structure organisationnelle claire, efficace et documentée. (RC-2, 3) | 2.2.1 Les pouvoirs fonctionnels liés à la sécurité des TI et à la sécurité matérielle dans le contexte du programme des CDR font l'objet d'une approbation appropriée et sont exercés par les chefs fonctionnels, tant à l'échelle du programme qu'à l'échelle régionale. 2.2.2 La structure organisationnelle du Programme des CDR, tant à l'échelle du programme qu'à l'échelle régionale, permet le maintien de voies de communication claires et efficaces avec les partenaires externes et une reddition de comptes en matière de confidentialité, de sécurité des TI et de sécurité matérielle. |
Manuel des pratiques de sécurité Politique sur l'utilisation de personnes réputées être employées Procédures d'ouverture d'un CDR Procédures d'exploitation d'un CDR Documents organisationnels et organigrammes des CDR Documents des CDR à l'intention du personnel Documents des CDR à l'intention des directeurs universitaires Documents des CDR à l'intention des chercheurs |
Gestion des risques | ||
2.3 Les gestionnaires cernent et évaluent les risques qui pourraient nuire à l'atteinte des objectifs et prennent les mesures qui s'imposent. (GR-2) | 2.3.1 Les risques sont cernés à l'échelle du programme et à l'échelle régionale et tiennent compte des contextes interne et externe du Programme des CDR. 2.3.2 Des évaluations des contrôles de la sécurité matérielle et de la sécurité des TI sont menées par les gestionnaires, avec la contribution des fonctions des services intégrés pertinentes. |
Cadre de responsabilisation de gestion Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Inspections de la sécurité des CDR |
2.4 Les gestionnaires déterminent et évaluent le caractère approprié des contrôles en place pour gérer efficacement les risques. (GR-3) | 2.4.1 Il existe des processus et des lignes directrices officiels afin d'évaluer les contrôles en place pour gérer les risques déterminés. | Guide des CDR à l'intention des chercheurs Politique sur la sécurité des renseignements statistiques de nature délicate Documents internes sur le contrôle de confidentialité Inspections de la sécurité des CDR |
Valeurs de la fonction publique | ||
2.5 Les employés attestent formellement et périodiquement qu'ils se conforment aux politiques de Statistique Canada en matière de protection de la confidentialité des renseignements statistiques de nature délicate. (VFP-5) | 2.5.1 À leur entrée en fonction, tous les employés et personnes réputées être employées de Statistiques Canada signent une déclaration (Loi sur la statistique / serment de Statistique Canada) en vertu de laquelle ils reconnaissent comprendre et se conformer aux politiques pertinentes du Programme des RDC. 2.5.2 Les employés, les personnes réputées être employées et les partenaires externes de Statistique Canada renouvellent périodiquement leur attestation de conformité. |
Loi sur la statistique Serment de discrétion Documents sur les valeurs et l'éthique Guide des CDR à l'intention des chercheurs Politique sur la sécurité des renseignements statistiques de nature délicate Guide des CDR à l'intention des chercheurs Politique sur l'utilisation de personnes réputées être employées Manuel des pratiques de sécurité de Statistique Canada Documents internes des CDR sur la sécurité |
Acronyme | Description |
---|---|
CDR | Centre de données de recherche |
CFDR | Centre fédéral de données de recherche |
CMV | Comité ministériel de vérification |
CRM | Contrat de recherche pour l'utilisation de microdonnées |
CRSH | Conseil de recherches en sciences humaines |
DAM | Division de l'accès aux microdonnées |
EDTR | Enquête sur la dynamique du travail et du revenu |
FMGD | Fichier de microdonnées à grande diffusion |
IIA | Institut des auditeurs internes |
IRSC | Instituts de recherche en santé du Canada |
LCA | Liste de contrôle d'accès |
Réseau redondant de disques indépendants | Redundant Array of Independent Disks, regroupement redondant de disques indépendants |
RCCDR | Réseau canadien des centres de données de recherche |
RCI | Réseau de communications internes |
RE | Réseau étendu |
SB | Sécurité du Bureau |
SC | Statisticien en chef |
SCT | Secrétariat du Conseil du Trésor |
SGRC | Système de gestion des relations avec les clients |
TI | Technologies de l'information |
Bus série universelle | Universal Serial Bus, bus universel en série |
Notes
- Footnote 1
-
Pour une description détaillée des procédures de traitement des contrats, voir l'annexe A.