Audit des accords de partage de données Santé, Vie saine et Aînés Manitoba

14 septembre 2015
Numéro de projet : 80590-88

Résumé

Les accords de partage de données (APD) sont un processus opérationnel clé de Statistique Canada. Ces dernières années, le partage de données a pris de l'ampleur et sa gestion est devenue de plus en plus complexe. De plus, il devient compliqué de protéger la confidentialité des données, car les processus opérationnels et les structures organisationnelles évoluent continuellement. La Division de la statistique de la santé (DSS) conclut des APD avec des ministères provinciaux de la Santé en application de l'article 12 de la Loi sur la statistique.

Le 14 février 2014, Statistique Canada et Santé, Vie saine et Aînés Manitoba (Santé Manitoba) ont signé deux nouveaux accords généraux remplaçant les APD existants afin d'encadrer la collecte et le partage de renseignements tirés de plusieurs enquêtes sélectionnées sur la santé et la nutrition. Le premier APD permet le partage de données statistiques sur la santé tirées de l'Enquête sur la santé dans les collectivités canadiennes (ESCC), de l'Enquête nationale sur la santé de la population et de l'Enquête sur les personnes ayant une maladie chronique au Canada. Le deuxième APD permet le partage des données du volet nutrition de l'ESCC.

Afin de protéger la confidentialité et la nature délicate des renseignements recueillis, les APD comprennent des modalités permettant de s'assurer que la confidentialité des renseignements n'est pas compromise.

L'objectif de l'audit est de fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que les modalités des APD entre Statistique Canada et Santé Manitoba sont respectées.

L'audit a été réalisé par la Division de la vérification interne conformément à la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Les pouvoirs sont définis, et le cadre de politique de Statistique Canada énonce clairement les rôles, les responsabilités et les pratiques nécessaires pour la gestion et la mise en œuvre des APD.

Les pouvoirs, responsabilités et obligations redditionnelles sont clairement définis, compris et surveillés à Santé Manitoba pour appuyer une gestion efficace des modalités des APD généraux. Bien que les gestionnaires des données de Statistique Canada soient des employés de longue date qui comprennent leurs rôles et responsabilités, l'administratrice de données n'a pas signé d'entente de confidentialité comme il est stipulé à l'annexe C des APD, et les responsabilités et procédures liées à la gestion des données de Statistique Canada aux termes des APD n'ont pas été officiellement documentées. De plus, ce n'est que récemment que la Direction des systèmes d'information, qui est chargée d'assurer la sécurité du serveur UNIX où les données de Statistique Canada sont stockées, a été informée de l'existence des APD et des exigences en matière de sécurité qui y sont stipulées.

L'équipe de direction de Santé Manitoba définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques, surveille l'exposition aux risques et prend les mesures requises pour y remédier.

Santé Manitoba protège les données de Statistique Canada. Il existe des contrôles et procédures d'accès logique et physique pour sauvegarder les données conformément aux APD. Cependant, l'accès au dossier de Statistique Canada sur le lecteur réseau sécurisé de Santé Manitoba n'était pas limité aux personnes qui ont besoin d'accéder aux données de Statistique Canada et qui ont signé des ententes de confidentialité.

Conclusion générale

Statistique Canada a conclu des APD statistiques avec Santé Manitoba afin de faciliter et d'appuyer la planification et la prise des décisions en matière de santé. Les APD généraux comprennent des modalités qui régissent l'utilisation, la confidentialité, l'accès, la surveillance et la conformité de l'information ainsi que la sécurité matérielle et des TI.

L'audit a révélé que les pouvoirs, responsabilités et obligations redditionnelles sont clairement définis, compris et surveillés à Santé Manitoba pour appuyer une gestion efficace des modalités des APD généraux. Il est toutefois nécessaire de renforcer certaines des pratiques et procédures en vigueur à Santé Manitoba afin d'assurer la saine gestion et la protection des renseignements confidentiels de Statistique Canada :

  • Les responsabilités et procédures liées à la gestion des données de Statistique Canada aux termes des APD doivent être officiellement documentées.
  • L'administratrice de données doit signer une entente de confidentialité.
  • Tout le personnel qui aide à assurer la confidentialité et la sécurité des données de Statistique Canada doit être informé de l'existence des APD et des exigences en matière de sécurité.

Il existe des politiques et processus de gestion des risques pour assurer la protection des données à diffusion restreinte à Santé Manitoba. Des contrôles d'accès logique et physique sont établis afin de protéger les données conformément aux APD. Cependant, l'accès au dossier de Statistique Canada sur le lecteur réseau sécurisé de Santé Manitoba doit être limité aux employés qui ont « besoin de savoir » et qui ont signé une entente de confidentialité en conformité avec les modalités des APD. Quoi qu'il en soit, l'audit n'a révélé aucun élément probant suggérant que des employés non autorisés auraient accédé à des données confidentielles de Statistique Canada.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes de vérification du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors.

Des procédures d'audit suffisantes et appropriées ont été suivies, et les éléments de preuve recueillis attestent l'exactitude des constatations et conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et conclusions reposent sur une comparaison de la situation prévalant au moment de l'audit avec des critères d'audit préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

Patrice Prud'homme
Dirigeant principal de la vérification

Introduction

Contexte

La Division de la statistique de la santé (DSS) de Statistique Canada a pour mandat de fournir des données exactes, à jour et pertinentes sur la santé des Canadiens. La DSS fournit de l'information statistique sur la santé de la population, les déterminants de la santé ainsi que la portée et l'utilisation des ressources en soins de santé au Canada. L'information sur la santé sert à aider et à appuyer les planificateurs et les décideurs de tous les ordres de gouvernement dans le domaine de la santé, à soutenir les recherches démographiques et épidémiologiques, et à renseigner le public canadien sur l'état de santé de la population et le système de soins de santé. La DSS travaille en partenariat avec les registres provinciaux et territoriaux de la statistique de l'état civil et du cancer, de même qu'avec des fournisseurs et des utilisateurs de données aux niveaux fédéral (Santé Canada et l'Agence de la santé publique du Canada), provincial (ministères provinciaux de la Santé) et régional (régions sociosanitaires).

Pour réaliser son mandat, Statistique Canada conclut des accords de partage de données (APD) avec d'autres organisations en vertu des articles 11 et 12 de la Loi sur la statistique. Ces accords touchent presque toutes les enquêtes-entreprises ainsi que la majorité des enquêtes-ménages et prévoient certaines exceptions concernant la diffusion des renseignements confidentiels sur les répondants, avec ou sans leur consentement, à la condition que toutes les parties respectent les exigences prévues par la loi en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsque celui-ci entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage des données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.

Au cours des dernières années, les APD sont devenus un processus opérationnel clé en raison des défis liés à la protection des données et de leur confidentialité. Statistique Canada a conclu deux accords couvrant les enquêtes sur la santé avec Santé Manitoba, en application de l'article 12 et du paragraphe 17(2) de la Loi sur la statistique. Les enquêtes sur la santé menées dans le cadre de l'Enquête sur la santé dans les collectivités canadiennes, de l'Enquête nationale sur la santé de la population (ENSP) et de l'Enquête sur les personnes ayant une maladie chronique au Canada (EPMCC) sont visées par ces accords. Le deuxième accord concerne expressément la divulgation de l'information sur le volet nutrition de l'ESCC.

L'ESCC a pour objet de recueillir des renseignements sur l'état de santé, l'utilisation des soins de santé et les déterminants de la santé pour la population canadienne. Le premier volet de l'ESCC est une enquête annuelle réalisée auprès d'un vaste échantillon de répondants et conçue pour fournir des estimations fiables à l'échelle de la région sociosanitaire. Le deuxième volet est une enquête axée sur des sujets liés à la santé tels que la nutrition, la santé mentale et le vieillissement en santé, qui est réalisée à peu près tous les trois ans. L'enquête annuelle doit son caractère unique à la nature régionale de son contenu et de sa mise en œuvre.

L'ENSP est une enquête longitudinale qui fournit des renseignements uniques sur la santé des Canadiens. Le cycle final de cette enquête couvrait la période 2010-2011. Dans le cadre de cette enquête bisannuelle, les mêmes personnes fournissent des renseignements détaillés et à jour sur leur état de santé physique et mentale, leur utilisation des services de soins de santé, leurs activités physiques, leur vie au travail et leur environnement social. L'ENSP vise à recueillir des renseignements sur la santé de la population canadienne ainsi que des renseignements sociodémographiques connexes. La dernière édition permettra aux chercheurs d'accéder à neuf cycles de données longitudinales sur la santé afin d'examiner l'évolution de l'état de santé de la population canadienne entre 1994-1995 et 2010-2011.

L'EPMCC est une enquête transversale menée pour le compte de l'Agence de la santé publique du Canada qui permet de recueillir des renseignements sur l'expérience des Canadiens qui ont des problèmes de santé chroniques. L'EPMCC est produite tous les deux ou trois ans et couvre deux maladies chroniques par cycle d'enquête. Les objectifs de l'enquête sont les suivants :

  • déterminer l'impact des problèmes de santé chroniques sur la qualité de vie;
  • fournir plus de renseignements sur la façon dont les gens gèrent leurs problèmes de santé chroniques;
  • déterminer les comportements influant sur la santé qui ont une incidence sur les effets de la maladie;
  • identifier les obstacles à l'autogestion des problèmes de santé chroniques.

La dernière enquête remonte à 2014.

Le milieu de la recherche et d'autres professionnels de la santé font une grande utilisation de ces données. Les ministères fédéraux et provinciaux de la Santé et des Ressources humaines, les organismes de services sociaux et d'autres organismes gouvernementaux utilisent l'information recueillie auprès des répondants pour planifier, mettre en œuvre et évaluer les programmes visant à améliorer la santé de la population et l'efficacité des services de santé. Des organismes sans but lucratif et des chercheurs universitaires utilisent l'information pour réaliser des travaux de recherche sur les façons d'améliorer la santé.

Objectif de l'audit

L'objectif de l'audit est de fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que les modalités des accords sur le partage de données conclus par Statistique Canada et Santé Manitoba sont respectées.

Portée

La portée englobe un examen de la conformité aux modalités stipulées dans les APD afin d'assurer la protection de la confidentialité des renseignements de nature délicate recueillis. L'audit a porté plus particulièrement sur les mesures de protection de la confidentialité et de la sécurité (accès physique, stockage et transmission des données électroniques, entreposage physique, copie et rétention de l'information et gestion des dossiers) à Santé Manitoba afin d'assurer la protection des données et le respect de la confidentialité.

L'équipe d'audit a examiné tous les accords et contrats conclus avec de tierces parties par Santé Manitoba depuis la signature des deux nouveaux APD.

Approche et méthodologie

Le travail d'audit comprenait un examen des documents, des entrevues avec des cadres supérieurs et des membres du personnel, et un examen de la conformité aux politiques et lignes directrices applicables (voir l'annexe A – Critères de vérification pour connaître les détails.)

Les travaux sur le terrain suivants ont été exécutés :

  • un examen et une évaluation des processus et procédures décrits dans les modalités des APD conclus avec Santé Manitoba, l'accent étant mis sur la présence et le respect des exigences de sécurité et sur le maintien de la confidentialité des données;
  • la mise à l'essai des contrôles de l'application des systèmes et des procédures d'authentification et d'accès;
  • un examen de l'accord conclu avec la seule tierce partie destinataire des données de Statistique Canada au moment de l'audit.

L'audit s'est déroulé conformément aux Normes de vérification du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors.

Pouvoirs

L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré de vérification et d'évaluation fondé sur les risques pour 2014-2015 à 2018-2019, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Objectif : Les modalités des accords sur le partage de données conclus entre Statistique Canada et Santé Manitoba ont été respectées.

Environnement de contrôle pour la gestion des accords sur le partage de données

Bien que les gestionnaires des données de Statistique Canada à Santé Manitoba soient des employés de longue date qui comprennent leurs rôles et responsabilités, ces rôles et responsabilités ainsi que les processus et procédures liés à la gestion des données de Statistique Canada aux termes des accords sur le partage des données (APD) n'ont pas été documentés.

L'administratrice de données n'a pas signé d'entente de confidentialité comme il est stipulé à l'annexe C des APD.

Ce n'est que récemment que le personnel qui aide à assurer la confidentialité et la sécurité des données de Statistique Canada a été informé des exigences des APD en matière de conformité.

Les pouvoirs, responsabilités et obligations redditionnelles doivent être clairement définis et compris à tous les niveaux pour appuyer une gestion efficace des modalités des APD généraux. Il faut mettre en place un mécanisme de surveillance des pratiques, comme le mentionnent les modalités des APD généraux, afin de détecter les divulgations non désirées qui feraient augmenter les risques sur le plan opérationnel.

Les pouvoirs sont définis

Dans l'exercice de son mandat, Statistique Canada conclut des APD statistiques avec d'autres organisations aux termes des articles 11 et 12 de la Loi sur la statistique.Les rôles et responsabilités liés aux exigences en matière d'élaboration, de mise en œuvre et de surveillance des APD sont énoncés dans la Directive sur le partage des données en vertu des articles 11 et 12. Cette directive précise que la Division de la gestion de l'information (DGI), de concert avec les Services juridiques, rédige les accords de partage de données à la demande des directeurs des programmes statistiques. La DGI doit également fournir le soutien nécessaire aux gestionnaires au moment de l'élaboration de nouveaux accords sur le partage de données ou d'accords modifiés avec les destinataires, en application de l'article 12 de la Loi sur la statistique. Les divisions spécialisées sont chargées de communiquer avec les organisations destinataires durant les négociations et la rédaction des accords.

Les rôles et procédures liés à la gestion des données de Statistique Canada sont clairement établis à Santé Manitoba, mais ils doivent être documentés.

Les données confidentielles de Statistique Canada sont gérées par deux directions de Santé Manitoba —la Direction de la gestion de l'information sur la santé (DGIS) et la Direction des systèmes d'information (DSI) — comme suit :

  • Le directeur général de la DGIS à Santé Manitoba assume la responsabilité globale du cycle de vie des données de Statistique Canada. La gestionnaire, Systèmes d'information de gestion, gestion de données et développement, qui relève du directeur général de la DGIS, est l'administratrice de données chargé de gérer les APD et les données de Statistique Canada.
  • L'administrateur des bases de données, qui relève de l'administratrice de données, s'occupe du traitement et du stockage des données, contrôle l'accès au serveur UNIX où les données de Statistique Canada sont stockées, et prépare la transmission des données de Statistique Canada à envoyer à de tierces parties.
  • Deux analystes statistiques principaux relevant du directeur, Analytique et recherche, à la DGIS sont chargés d'analyser les données de Statistique Canada et parfois de fournir des données agrégées à d'autres divisions internes au besoin.
  • La DSI de Santé Manitoba est chargée d'assurer la maintenance et la sécurité du serveur UNIX.

La DGIS de Santé Manitoba est un groupe stable depuis quelques années. Il n'y a pas eu beaucoup de roulement du personnel exerçant des fonctions liées à la gestion des données de Statistique Canada, et les employés comprennent leurs rôles. Cependant, ces rôles, responsabilités et procédures n'ont pas été officiellement documentés. Bien que ce manque de documentation n'ait pas causé de problème jusqu'ici, l'équipe d'audit a appris que l'administratrice de données avait annoncé qu'elle prendrait sa retraite dans l'année à venir. Il est donc essentiel de transférer les connaissances et de documenter les rôles et responsabilités avant sa retraite.

Les responsabilités de l'administratrice de données prescrites dans les APD ont été mises en œuvre, mais celle-ci n'a pas encore signé d'entente de confidentialité.

Comme il est stipulé dans l'annexe C des APD, l'administratrice de données doit satisfaire à trois exigences clés :

  1. préparer un document sur la confidentialité et veiller à ce que toutes les personnes qui auront accès aux données de Statistique Canada le signent;
  2. tenir un registre des fichiers de données reçus de Statistique Canada;
  3. tenir un registre de toutes les personnes autorisées à accéder aux fichiers de données.

L'annexe C stipule que l'administratrice de données doit « préparer un document à l'intention des employés et des sous-traitants de la partie destinataire dans lequel on décrit les modalités régissant l'usage des renseignements, ainsi que les procédures à respecter pour envoyer, recevoir, manipuler et stocker les renseignements (ci-après appelés le "document sur la confidentialité") ». Avant d'accorder un accès à des renseignements de Statistique Canada, l'administratrice de données doit s'assurer que tous les employés et sous-traitants qui doivent accéder à ces renseignements ont convenu par écrit de respecter les modalités des APD, en reconnaissant par leur signature qu'ils ont lu et compris les modalités des APD telles qu'elles sont stipulées dans le document sur la confidentialité et qu'ils s'engagent à les respecter.

L'équipe d'audit a constaté qu'il existe un document sur la confidentialité, qui définit les modalités régissant l'utilisation des renseignements, et que ce document a été signé par tous les employés autorisés à accéder aux données de Statistique Canada, à une exception près : l'administratrice de données avait supposé, à tort, que certains documents signés avec Statistique Canada au moment de la nomination à son poste lui évitaient d'avoir à signer le document sur la confidentialité.

Le registre des fichiers de données reçus de Statistique Canada et le registre des personnes autorisées à accéder aux fichiers de données de Statistique Canada ont été mis en œuvre et sont utilisés à Santé Manitoba.

Ce n'est que récemment que le personnel concerné a été informé des exigences des APD en matière de conformité.

La DSI de Santé Manitoba est responsable de la maintenance et de la sécurité du serveur UNIX où les données de Statistique Canada sont stockées. La DSI doit se conformer aux exigences globales de Santé Manitoba en ce qui concerne la sécurité des renseignements à diffusion restreinte afin de réduire le risque de non-conformité aux exigences en matière de sécurité des APD. Ce n'est que récemment que les employés de la DSI ont été informés de l'existence des APD et de leurs exigences en matière de sécurité, ce qui pouvait entraîner un risque que les infractions potentielles aux modalités des APD passent inaperçues.

Il existe des processus pour l'activation de l'accès au serveur UNIX et pour le partage des données agrégées avec des divisions internes de la DGIS.

Des entrevues ont révélé que le directeur général de la DGIS avait approuvé la création d'un nouveau compte UNIX pour les nouveaux employés et que l'administrateur des bases de données avait présenté une demande en ce sens par écrit à la DSI. Ce processus n'a pas été éprouvé, car cela fait plusieurs années qu'il n'y a pas eu d'employés ayant besoin d'accéder au serveur UNIX. Une fois qu'un nouveau compte UNIX a été créé par la DSI, l'administrateur des bases de données peut activer ou désactiver l'accès de l'employé au serveur UNIX. Tous les accès au serveur UNIX sont consignés par l'administrateur des bases de données.

Les principaux utilisateurs des données de Statistique Canada à la DGIS sont deux analystes statistiques principaux. Un examen du registre d'accès pour les deux dernières années a indiqué que l'accès avait été accordé aux analystes seulement trois fois durant cette période. L'audit a révélé que, lorsque les analystes demandent que leur accès au serveur UNIX soit activé, la demande est présentée de vive voix directement à l'administrateur des bases de données, sans que l'autorisation écrite d'un superviseur soit nécessaire. Comme leurs bureaux respectifs sont très proches les uns des autres, les analystes n'ont qu'à traverser le corridor pour se rendre au bureau de l'administrateur des bases de données et demander l'accès. Bien qu'il ne s'agisse pas nécessairement d'une exigence des APD, il serait prudent de mettre en place des contrôles plus conventionnels de l'accès aux données de Statistique Canada.

Les analystes doivent avoir accès aux données de Statistique Canada stockées sur le serveur UNIX afin d'analyser et de fournir des données agrégées à l'interne à Santé Manitoba, par exemple dans le cadre de son mandat de participer aux évaluations quinquennales de la santé des collectivités. Des entrevues ont révélé que les analystes demandent parfois à un collègue ou à leur superviseur d'examiner les données avant de les envoyer à l'interne par courriel et que le superviseur est mis en copie sur le courriel. Les analystes ne sont toutefois pas tenus d'obtenir l'approbation de leur superviseur avant d'envoyer des données agrégées. Bien qu'il ne s'agisse pas d'une exigence des APD, il serait prudent d'exiger que les employés obtiennent l'autorisation écrite d'un superviseur avant de distribuer des données agrégées. L'équipe d'audit a examiné un rapport de données agrégées fourni à l'interne et constaté que celui-ci ne contenait aucun identificateur personnel.

Les accords de Santé Manitoba avec de tierces parties contiennent une clause prévoyant des inspections ou des audits.

Les clauses touchant la surveillance sont prescrites dans les APD par Statistique Canada. Les APD stipulent de plus que les accords que Santé Manitoba conclut avec de tierces parties « doivent comporter une clause stipulant le droit de Statistique Canada ou de l'organisation réceptrice de vérifier la conformité aux modalités du présent accord ».

Le paragraphe 6.2.4 des APD permet à Santé Manitoba de partager l'information avec le Centre d'élaboration de la politique des soins de santé du Manitoba (CEPSSM) à l'Université du Manitoba. Le CEPSSM n'est pas une entité légale à part entière, mais une section de recherche de l'Université du Manitoba et la seule tierce partie destinataire des données de Statistique Canada.

En novembre 2006, Santé Manitoba a signé une entente de partage de l'information et de protection des renseignements personnels avec l'Université du Manitoba, qui permet à Santé Manitoba de partager l'information avec le CEPSSM. Le CEPSSM est censé aider Santé Manitoba à coordonner l'exécution, la planification, l'évaluation et la surveillance des recherches sur la santé en faisant office de point de contact pour un programme d'analyse des données pour la recherche, la planification, la surveillance et l'évaluation de la prestation des soins de santé, les questions de santé émergentes et les déterminants généraux de la santé, principalement au Manitoba.

Outre le contrat susmentionné, en octobre 2014, Santé Manitoba et l'Université du Manitoba ont signé une lettre d'entente expressément pour le transfert des données de l'Enquête sur la santé dans les collectivités canadiennes et leur utilisation par le CEPSSM. Cette lettre stipule que le CEPSSM doit se conformer aux exigences en matière de confidentialité et de sécurité des APD signés entre Santé Manitoba et Statistique Canada en février 2014. Ces exigences sont annexées à la lettre d'entente.

L'entente de partage de l'information et de protection des renseignements personnels conclue entre Santé Manitoba et l'Université du Manitoba contient une clause d'audit qui autorise Santé Manitoba à accéder aux locaux du CEPSSM et lui donne le pouvoir d'inspecter, d'examiner ou d'auditer les enregistrements ou renseignements, les pratiques en matière de protection des renseignements personnels, les politiques, les procédures et les dispositions de sécurité du CEPSSM. Cependant, Santé Manitoba n'a pas établi de plan pour exercer son droit d'inspecter ou d'auditer la conformité du CEPSSM.

Recommandations

Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec Santé Manitoba pour s'assurer de ce qui suit :

  • les rôles et responsabilités des employés ainsi que les processus et procédures liés à la gestion des données de Statistique Canada aux termes des APD sont documentés;
  • l'administratrice de données signe une entente de confidentialité comme il est stipulé à l'annexe C des APD;
  • les exigences en matière de conformité des APD sont communiquées à tous les membres du personnel chargés d'assurer la confidentialité et la sécurité des données de Statistique Canada.

Réponse de la direction

La direction souscrit aux recommandations formulées.

  • Le directeur de la Division de la statistique de la santé (DSS) émettra une lettre et recommandera que Santé Manitoba documente les rôles et responsabilités des employés ainsi que les processus liés à la gestion des données tirées des enquêtes sur la santé de Statistique Canada.
  • Le directeur de la DSS demandera à Santé Manitoba de confirmer par écrit que l'administratrice de données a signé l'entente de confidentialité.
  • Le directeur de la DSS demandera à Santé Manitoba de communiquer les exigences en matière de conformité des APD à tous les membres du personnel chargés d'assurer la confidentialité et la sécurité des données de Statistique Canada.

    Produits livrables et échéancier :La DSS rédigera une lettre et l'enverra avant septembre 2015. Santé Manitoba avisera la DSS lorsque ces mesures auront été prises.

Gérance des données

À Santé Manitoba, des processus sont en place et surveillés afin de satisfaire aux exigences stipulées dans les accords sur le partage de données. Les employés comprennent ces processus et s'y conforment.

L'équipe de direction de Santé Manitoba identifie les contrôles existants et en évalue la pertinence afin de déterminer si ceux-ci permettent de gérer les risques de façon efficace, surveille son exposition aux risques et prend les mesures nécessaires pour réduire les risques.

Des protocoles et contrôles internes pour une saine gestion des données doivent être en place afin d'assurer la protection des données tirées des enquêtes sur la santé de Statistique Canada sur toute la durée du cycle de vie.

Des processus sont en place et surveillés afin de satisfaire aux exigences stipulées dans les accords sur le partage de données.

L'audit a révélé que des processus sont en place à Santé Manitoba pour satisfaire aux exigences stipulées dans les accords sur le partage de données (APD), mais qu'ils ne sont pas officiellement documentés, et que les employés de la Direction de la gestion de l'information sur la santé (DGIS) comprennent et suivent les processus de réception, de stockage, de traitement et de transmission des données de Statistique Canada. Ces membres du personnel sont des employés de longue date qui connaissent très bien leurs fonctions.

Statistique Canada transmet les fichiers de données par voie électronique à l'administratrice de données à Santé Manitoba. Les fichiers en question sont protégés par mot de passe et chiffrés durant le transfert. Lorsqu'un fichier de données est reçu de Statistique Canada, l'administratrice de données est avisée de la présence du fichier dans le coffre-fort électronique et demande un mot de passe à Statistique Canada afin de pouvoir accéder au fichier. Elle envoie ensuite un accusé de réception à Statistique Canada et met à jour le registre des fichiers reçus de Statistique Canada.

Le fichier de données est téléversé par l'administratrice de données sur un lecteur réseau sécurisé dans un dossier distinct de Statistique Canada réservé à la DGIS. L'administrateur des bases de données accède à ces fichiers à partir du dossier réseau et les enregistre dans la base de données UNIX où toutes les données de Statistique Canada sont stockées. L'administrateur des bases de données, qui est la seule personne à pouvoir activer l'accès au serveur UNIX, tient un registre de tous les employés auxquels l'accès a été accordé.

Partage des données de Statistique Canada avec de tierces parties

Toutes les données partagées avec des parties de l'extérieur doivent être approuvées par l'administratrice de données de Santé Manitoba, qui prend les dispositions matérielles nécessaires pour que les données de Statistique Canada soient transmises sur un CD chiffré au Centre d'élaboration de la politique des soins de santé du Manitoba (CEPSSM) de l'Université du Manitoba. L'administrateur des bases de données stocke les données compressées et protégées par mot de passe sur un CD chiffré. L'administratrice de données fait ensuite livrer le CD au CEPSSM par messager cautionné. La personne-ressource du CEPSSM qui reçoit le CD doit contacter l'administratrice de données de Santé Manitoba pour obtenir un mot de passe afin de pouvoir ouvrir le fichier.

Bien que le paragraphe 6.2.4 des APD autorise Santé Manitoba à partager des identificateurs personnels avec le CEPSSM, l'examen du fichier de l'Enquête sur la santé dans les collectivités canadiennes 2012 envoyé au CEPSSM en 2013 (seul fichier partagé au cours des deux dernières années) a révélé que celui-ci ne contenait aucun identificateur personnel.

Un processus de gestion des risques est en place à Santé Manitoba pour identifier et surveiller les risques.

L'audit a révélé qu'un processus de gestion des risques avait été mis en œuvre à Santé Manitoba au cours des deux dernières années. La Direction des services de gestion est chargée de fournir le cadre global de gestion des risques à l'organisation et d'aider les autres directions à préparer la section « gestion des risques » de leurs plans de travail annuels. Le processus prévoit que chaque direction cerne les risques auxquels elle est exposée et prépare des plans d'action afin d'atténuer ceux-ci.

Le directeur général de chaque direction et le sous-ministre adjoint devant rendre des comptes doivent signer une déclaration au sous-ministre des responsabilités liées au plan de gestion des risques qui atteste que toutes les catégories de risques, les plans d'action appropriés et les stratégies d'atténuation ont été pris en compte dans l'évaluation des risques et que le sous-ministre adjoint a été mis au courant et veillera à ce que la direction procède à une mise à jour périodique de son évaluation des risques.

À l'heure actuelle, le processus d'évaluation des risques de Santé Manitoba en est à l'étape où chaque direction cerne ses risques mais où les risques n'ont pas encore été regroupés au niveau du ministère dans son ensemble. Il n'y a ni comité de gestion des risques ni politique intégrée officielle de gestion des risques; ce processus en est encore à un stade précoce de développement. La direction a indiqué qu'elle était en train d'examiner ces outils et d'évaluer les risques à l'échelle du ministère.

L'équipe de direction de la DGIS cerne et évalue les risques de non-conformité aux APD de manière proactive.

La DGIS a atténué les risques de non-conformité aux exigences en matière de sécurité des APD en faisant une analyse approfondie des exigences mises à jour des nouveaux APD généraux et, au besoin, en mettant à jour les procédures opérationnelles internes afin d'assurer la conformité aux modalités des APD. La DGIS a également demandé au CEPSSM d'effectuer une analyse semblable afin de vérifier s'il se conformait lui aussi aux APD. L'équipe d'audit a examiné ces deux analyses et constaté que chaque organisation répondait aux exigences en matière de sécurité des APD.

Santé Manitoba a élaboré des politiques et offre une formation continue afin d'atténuer l'exposition aux risques.

Un document clé utilisé à Santé Manitoba — qui énonce les politiques et procédures que les employés doivent suivre en vertu de la Loi sur les renseignements médicaux personnels (LRMP) — est le manuel de la LRMP. Ce document de politique en usage à Santé Manitoba vise à protéger les renseignements personnels de nature délicate au sein de l'organisation. Par exemple, la politique VIII, qui porte sur la sécurité des renseignements médicaux personnels, répertorie les procédures et mesures de protection en place pour protéger les renseignements personnels. La politique IX précise les procédures à suivre en cas d'infraction à la sécurité des renseignements médicaux personnels. Cette politique permet à Santé Manitoba, en tant que dépositaire en vertu de la LRMP, de répondre aux plaintes et de mener des enquêtes sur les infractions à la sécurité des renseignements médicaux personnels, en conformité avec les exigences de la LRMP et du Règlement sur les renseignements médicaux personnels. La politique expose les mesures à prendre pour les différents types d'infractions, explique comment procéder à une enquête sur les infractions à la sécurité et indique les formulaires à remplir. En cas d'infraction, la direction concernée doit remplir un formulaire de rapport d'infraction à la sécurité et le remettre au sous-ministre adjoint et au secrétariat législatif, avec les constatations de l'enquête. Les entrevues menées n'ont révélé aucun infraction liée aux données de Statistique Canada.

Le secrétariat législatif de Santé Manitoba fournit des directives au ministère afin d'assurer sa conformité aux nombreuses lois dont il est responsable, y compris la LRMP. Il offre une formation obligatoire sur la LRMP à tous les nouveaux employés et une formation d'appoint triennale à tout le personnel.

Sécurité matérielle et sécurité des technologies de l'information (TI)

Il existe des contrôles et procédures d'accès logique et physique visant à protéger les données en conformité avec les accords sur le partage de données. Cependant, l'accès au dossier de Statistique Canada sur le lecteur réseau sécurisé de Santé Manitoba n'est pas limité aux personnes qui ont besoin d'accéder aux données de Statistique Canada et qui ont signé une entente de confidentialité.

Les renseignements, sur papier ou sous forme électronique, doivent être contrôlés et protégés contre les pertes, les vols, les incidents compromettants et les divulgations inappropriées. L'accès aux données doit être accordé uniquement aux employés ou sous-traitants qui ont « besoin de savoir » afin de pouvoir exercer leurs fonctions.

Des contrôles d'accès logique sont en place à Santé Manitoba.

La mise à l'essai des contrôles d'accès logique avec l'administrateur des bases de données a révélé qu'il fallait entrer un mot de passe pour accéder au réseau du gouvernement du Manitoba et un mot de passe distinct pour accéder au serveur UNIX où les données de Statistique Canada sont stockées. L'accès au serveur UNIX est réservé à un nombre limité d'employés, et l'administrateur des bases de données désactive l'accès des membres du personnel qui n'utilisent pas les données. L'administrateur des bases de données met à jour le registre chaque fois qu'une personne est autorisée à accéder aux données du serveur UNIX, comme l'exigent les accords sur le partage de données (APD).

L'accès au dossier partagé de Statistique Canada sur le lecteur réseau de Santé Manitoba doit être limité aux personnes qui ont besoin d'accéder aux données de Statistique Canada.

Lorsque l'administratrice de données reçoit un fichier de données de Statistique Canada, elle téléverse ce fichier sur un lecteur réseau sécurisé temporaire dans un dossier désigné de Statistique Canada à l'intérieur du répertoire de la Direction de la gestion de l'information sur la santé (DGIS). L'administrateur des bases de données accède au fichier à partir du dossier et l'enregistre dans la base de données UNIX où toutes les données de Statistique Canada sont stockées. Une fois le fichier enregistré sur le serveur UNIX, l'administrateur des bases de données le supprime du dossier sur le lecteur réseau. En général, il ne se passe pas plus d'un ou deux jours entre le moment où les fichiers sont stockés temporairement dans le dossier du lecteur par l'administratrice de données et celui où ils sont supprimés par l'administrateur des bases de données. Cependant, durant cette période, les données sont accessibles à une vingtaine d'employés de la DGIS.

Les essais effectués durant l'audit ont révélé que deux fichiers de données n'avaient pas été supprimés du dossier réseau partagé et que les données étaient accessibles à tous les employés de la DGIS. Les deux fichiers ont été supprimés du dossier partagé lorsque cette omission a été découverte durant l'audit. L'accès doit être limité aux personnes qui doivent travailler avec les données de Statistique Canada et qui ont signé une entente de confidentialité.

L'accès matériel est sécurisé.

Les données de Statistique Canada sont stockées à deux endroits à Santé Manitoba : la salle des serveurs de la Direction des services d'information (DSI), qui abrite le serveur UNIX où les données de Statistique Canada sont stockées, et la DGIS, où le personnel accède aux données.

L'accès physique aux locaux de Santé Manitoba est contrôlé par des systèmes d'accès par carte. Chaque zone sécurisée (DSI et DGIS) est protégée par des portes fermées à clé munies d'un lecteur de cartes. Les employés doivent balayer leurs cartes pour entrer dans la zone d'accès restreint. Les visiteurs doivent signer le registre au poste de sécurité du hall principal, obtenir un badge de visiteur et être accompagnés en tout temps par un membre autorisé du personnel.

Les interviews ont révélé que des gardiens de sécurité sont de service chaque jour de 6 h à minuit (pour un total de 18 heures) dans le hall principal de l'immeuble de Santé Manitoba. Les gardiens de sécurité de l'immeuble doivent surveiller l'accès à l'immeuble et tenir un registre de tous les visiteurs. Lorsqu'ils ne sont pas de service, l'immeuble est fermé à clé et accessible uniquement aux détenteurs de cartes d'accès. Les registres d'accès sont vérifiés par les gardiens de sécurité de l'immeuble, et des caméras de sécurité sont installées dans les corridors. En cas de licenciement d'un employé, les gestionnaires doivent prendre les mesures indiquées sur la liste de contrôle pour le personnel partant et veiller à ce que l'employé licencié n'ait plus accès aux systèmes ni aux locaux physiques.

Le serveur UNIX où les données de Statistique Canada sont stockées se trouve dans la salle des serveurs, et il faut passer par le centre de contrôle pour y accéder. L'accès à ces pièces est limité à une trentaine d'employés de la DSI et parfois à quelques entrepreneurs et fournisseurs inscrits. Tous les visiteurs qui entrent doivent signer le registre des visiteurs qui se trouve au centre de contrôle.

Des caméras sont placées à l'extérieur de chacune de ces zones sécurisées pour surveiller les personnes qui y entrent. Toute personne qui entrerait par effraction dans une de ces pièces serait détectée par une alarme, qui alerterait le personnel de sécurité de l'immeuble. Un registre de l'accès par carte au centre de contrôle est généré et examiné chaque mois par l'agent de sécurité des TI de la DSI.

Des mesures de sécurité sont en place pour la copie et la rétention des renseignements et la gestion des enregistrements.

La politique VIII du manuel sur la Loi sur les renseignements médicaux personnels exige que les données de nature délicate retirées d'un environnement sécurisé soient chiffrées. En outre, la politique de Santé Manitoba sur les processus d'utilisation secondaire et de divulgation pour les demandes spéciales stipule que seules les données agrégées peuvent être transmises. Les données qui contiennent des quasi identificateurs doivent être transmises sur un CD chiffré.

Il est impossible d'accéder directement aux données de Statistique Canada ou de les supprimer directement des serveurs, car ceux-ci n'ont pas de ports USB. La sécurité des serveurs est assurée par de multiples pare-feu, des routeurs, des commutateurs, des détecteurs d'intrusion, des détecteurs de virus et la surveillance du réseau. Le contenu du serveur UNIX est sauvegardé chaque jour sur des bandes chiffrées entreposées sur place et envoyées chaque semaine à une entreprise d'entreposage privée.

Il y a trois niveaux de sécurité des données à Santé Manitoba : public, interne et à diffusion restreinte. Les données de Statistique Canada sont classées comme étant à diffusion restreinte (plus haut niveau de sécurité). Tous les documents sont déchiquetés et détruits conformément aux exigences applicables aux données à diffusion restreinte qui sont énoncées dans les normes et procédures de destruction des médias électroniques du gouvernement du Manitoba. On utilise les services d'une entreprise privée de déchiquetage pour la destruction sécurisée des renseignements confidentiels.

Des clauses régissant l'élimination et le retour ou la destruction des données partagées qui ne sont plus utilisées sont incluses dans les APD ainsi que dans l'accord avec le Centre d'élaboration de la politique des soins de santé du Manitoba de l'Université du Manitoba.

Recommandations

Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec Santé Manitoba pour s'assurer de ce qui suit :

  • l'accès au dossier de Statistique Canada sur le lecteur réseau sécurisé de Santé Manitoba est réservé aux employés qui ont « besoin de savoir » et qui ont signé une entente de confidentialité en conformité avec les modalités des APD.

Réponse de la direction

La direction souscrit à la recommandation formulée.

  • Le directeur de la Division de la statistique de la santé (DSS) rappellera cette exigence à Santé Manitoba et lui demandera de prendre des mesures immédiates pour s'assurer que l'accès aux données de Statistique Canada est limité.

    Produits livrables et échéancier :La DSS préparera une lettre et l'enverra avant septembre 2015. Santé Manitoba avisera la DSS une fois que cela sera fait.

Annexes

Annexe A : Critères d'audit

Annexe A : Critères d'audit
Objectif du contrôle, contrôles de base et critères Sous-critères Instrument de politique
Les modalités des accords sur le partage de données (APD) conclus entre Statistique Canada et Santé Manitoba sont respectées.
1.1  Les pouvoirs, responsabilités et obligations redditionnelles sont définis et communiqués, et la séparation des tâches est établie de manière appropriée. 1.1.1 Les responsabilités sont officiellement définies et clairement communiquées.

1.2.3 Les pouvoirs sont officiellement délégués et alignés sur les responsabilités individuelles. Le cas échéant, les fonctions incompatibles ne sont pas combinées.
Loi sur la statistique

Guide de la Loi sur la statistique

Statistique Canada – Directive sur le partage des données en vertu des articles 11 et 12

Statistique Canada – Politique sur la diffusion officielle

Statistique Canada – Manuel des pratiques de sécurité

Statistique Canada – Politique sur la sécurité des renseignements statistiques de nature délicate

Statistique Canada – Politique d'évaluation des facteurs relatifs à la vie privée

Statistique Canada – Politique d'information des répondants aux enquêtes

Statistique Canada – Politique sur la diffusion des microdonnées

Statistique Canada – Politique sur la révélation discrétionnaire et lignes directrices connexes

Secrétariat du Conseil du Trésor (SCT) – Politique sur la sécurité du gouvernement

SCT – Norme sur la sécurité matérielle

SCT – Directive sur la gestion de la sécurité ministérielle

SCT – Contrôles de gestion de base

APD généraux conclus entre Statistique Canada et Santé Manitoba
1.2  Santé Manitoba a établi un cadre approprié de gestion des exigences énoncées dans les APD. 1.2.1 Des processus ont été mis en place afin de satisfaire aux exigences établies dans les APD.

1.2.3 Les processus sont compris et suivis.

1.2.3 Le respect des processus est surveillé.
2.1 L'équipe de direction de Santé Manitoba définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques, et elle s'attaque aux risques pouvant nuire à la réalisation de ses objectifs. 2.1.1 Les risques sont cernés.

2.1.2 Il existe des processus et des lignes directrices officiels afin d'évaluer l'efficacité des contrôles en place pour gérer les risques repérés.

2.1.3 L'équipe de direction surveille l'exposition aux risques et prend des mesures pour atténuer les risques.
3.1  Les biens sont protégés à Santé Manitoba. 3.1.1 L'accès aux données est limité aux personnes autorisées et fait l'objet de contrôles de sécurité appropriés en conformité avec les APD.

3.1.2 L'accès est assujetti à des restrictions matérielles.

3.1.3 Il existe des procédures pour sauvegarder les données partagées en cas de résiliation d'un accord.

3.1.4 Il existe des procédures pour prévenir l'utilisation abusive ou frauduleuse des données.
3.2  Il existe des contrôles appropriés des applications système à Santé Manitoba. 3.2.1 Il existe des contrôles d'accès logiques pour que seuls les utilisateurs autorisés aient accès aux systèmes et aux données, p. ex. les utilisateurs doivent entrer un nom d'utilisateur unique et un mot de passe pour ouvrir une session.

3.2.2 Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées.
4.1  L'équipe de direction surveille le rendement réel par rapport aux résultats escomptés et modifie son plan d'action au besoin pour mieux répondre aux exigences et besoins du programme. 4.1.1 La responsabilité de surveillance est claire et communiquée, et les résultats sont transmis aux niveaux d'autorisation requis.

4.1.2 Une surveillance active est manifeste.

Annexe B : Acronymes

Annexe B : Acronymes
Acronyme Description
APD Accord de partage de données
CEPSSM Centre d'élaboration de la politique des soins de santé du Manitoba
DGI Division de la gestion de l'information
DGIS Direction de la gestion de l'information sur la santé
DSI Direction des services d'information
DSS Division de la statistique de la santé
ENSP Enquête nationale sur la santé de la population
EPMCC Enquête sur les personnes ayant une maladie chronique au Canada
ESCC Enquête sur la santé dans les collectivités canadiennes
LRMP Loi sur les renseignements médicaux personnels
SCT Secrétariat du Conseil du Trésor
TI Technologies de l'information