Septembre 2016
Numéro de projet : 80590-95
Table des matières
- Sommaire
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Autorité
- Constatations, recommandations et réponse de la direction
- Environnement de contrôle de la gestion des données administratives
- Gérance des données dans les programmes statistiques
- Annexes
- Annexe A : Critères d'audit
- Annexe B : Acronymes
Sommaire
À titre d'organisme statistique national pour le Canada, Statistique Canada a comme mandat de veiller à ce que les Canadiens aient accès à une source fiable de données statistiques sur le Canada afin de répondre à leurs besoins les plus prioritaires. L'un des aspects importants du mandat de Statistique Canada consiste à travailler avec d'autres ministères et organismes gouvernementaux (fédéraux et provinciaux), des administrations municipales et d'autres organisations afin de promouvoir la réduction du dédoublement des efforts pendant la collecte de renseignements statistiques. Ces données recueillies à l'externe portent le nom de « données administratives » ou « données secondaires ». Statistique Canada recueille des données administratives en vertu du pouvoir prévu à l'article 13 de la Loi sur la statistique.
La gestion des données administratives à Statistique Canada a subi des changements importants depuis 2012, en raison des pressions importantes des gouvernements et des entreprises répondantes pour accroître l'utilisation des données administratives. Par conséquent, il y a eu un changement de cap majeur dans le but de maximiser l'efficacité et l'efficience de l'utilisation de ces données dans les programmes statistiques tout en réduisant le fardeau de réponse des répondants et les coûts de la collecte. Il s'agit là d'un changement de taille pour Statistique Canada, qui a nécessité la mise en place d'une bien plus grande rigueur dans l'acquisition des données administratives auprès des sources externes et la gestion de ces données.
L'audit visait à fournir au statisticien en chef et au Comité ministériel de vérification de Statistique Canada l'assurance que :
- Statistique Canada a établi un cadre de gouvernance adéquat et appliqué de manière uniforme pour appuyer la gestion efficace des données administratives;
- des mécanismes de contrôle efficaces de la sécurité et de la confidentialité des données administratives sont en place et assurent la conformité aux lois, aux politiques et aux directives pertinentes de Statistique Canada.
La portée de l'audit a permis d'évaluer les activités liées aux données administratives pour la période du 1er janvier 2014 au 31 décembre 2015 dans neuf divisions judicieusement sélectionnées.
Pourquoi est-ce important?
Depuis quelques années, l'utilisation accrue des données administratives est devenue un domaine en pleine croissance et complexe à gérer. La gestion efficace des données administratives doit reposer sur un cadre de gouvernance adéquat, qui soit appliqué de manière uniforme.
L'article 17 de la Loi sur la statistique impose à Statistique Canada la stricte obligation de protéger tous les renseignements personnels obtenus en vertu de la Loi et d'en assurer la confidentialité. Statistique Canada a pour priorité d'assurer le respect de la vie privée des répondants et de préserver la confidentialité.
Principales constatations
Une approche générale, une orientation stratégique et un soutien pour l'acquisition, de la gestion et de l'utilisation efficientes et efficaces des données administratives sont assurés par deux instruments de l'ensemble de politiques conçues et documentées par la Division des données administratives (DDA) : la Directive sur l'obtention des données administratives en vertu de la Loi sur la statistique et la Politique sur l'utilisation de données administratives obtenues en vertu de la Loi sur la statistique de Statistique Canada.
Les données administratives sont définies dans les instruments de politique. Ces derniers ne couvrent que les sources des données obtenues en vertu de la Loi sur la Statistique. Cette définition n'inclut pas les données disponibles publiquement et d'explications du contexte dans lequel on peut les obtenir, ce qui a entraîné un manque d'uniformité dans la compréhension et les pratiques de manipulation et de gestion des données administratives au sein des programmes.
Des rôles, des responsabilités et d'imputabilité ainsi que des processus et des procédures ont été établis de manière formelle pour aider les programmes statistiques à mener à bien les activités d'acquisition de données administratives, mais la compréhension du rôle nouvellement créé de l'administrateur de données administratives porte à confusion. Une formation sur la Directive sur l'obtention des données administratives en vertu de la Loi sur la statistique était disponible mais non obligatoire.
Certaines des principales initiatives de communication de la DDA visant à promouvoir le partage des connaissances tirées des méthodes et des processus en vue d'accroître l'utilisation des données administratives à des fins statistiques n'ont pas été menées comme prévu.
Il existe bien une culture organisationnelle axée sur la protection de toutes les données à Statistique Canada et l'ensemble de politiques de l'organisme renforce collectivement l'importance de l'intégrité et des valeurs éthiques.
Des mesures de contrôle des postes de travail informatiques sont en place et fonctionnent comme prévu pour protéger la confidentialité des données, mais les pratiques liées à la création de groupes de sécurité et de structures de répertoires varient à l'échelle de l'organisme. Les privilèges d'accès sont gérés à l'aide de deux systèmes qui ne comportent aucune procédure de surveillance formelle pour veiller à ce que ces privilèges soient limités en fonction du principe du besoin de connaître.
Conclusion générale
La DDA et le Comité de gestion des données administratives ont réalisé des progrès afin de donner une orientation stratégique à l'acquisition, à la gestion et à l'utilisation efficaces et efficientes des données administratives à des fins statistiques.
L'audit a permis de constater que, dans l'ensemble, les principaux intervenants prennent part à la mise en œuvre des exigences des instruments de politique nouvellement publiés pour la gestion des données administratives. L'adaptation des instruments de politique de manière à inclure une définition des « données disponibles publiquement » aidera à assurer une compréhension et des pratiques cohérentes sur la gestion des données administratives dans tous les programmes statistiques. Une formation obligatoire sur le nouveau rôle et les nouvelles responsabilités de l'administrateur des données administratives, l'achèvement des principales initiatives de communication comme prévu et le renforcement de certains éléments des pratiques de gestion de l'information aideront à assurer la gestion saine et efficiente des fonds de données administratives.
Conformité aux normes professionnelles
L'audit s'est découlé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, appuyées par les résultats du programme d'assurance et d'amélioration de la qualité.
Des procédures d'audit suffisantes et appropriées ont été suivies et des éléments probants ont été recueillis pour appuyer l'exactitude des constatations et des conclusions énoncées dans le présent rapport et fournir une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient à l'époque, et les critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée ainsi qu'à la portée et à la période visées par l'audit.
Steven McRoberts
Dirigeant principal de la vérification et de l'évaluation
Introduction
Contexte
L'un des aspects clés du mandat de Statistique Canada est de travailler avec d'autres ministères et organismes gouvernementaux (fédéraux et provinciaux), des administrations municipales et d'autres organisations à la collecte, à la compilation et à la publication de renseignements statistiques. En collaborant avec ces organisations, Statistique Canada remplit une autre partie de son mandat : « promouvoir la réduction du dédoublement d'efforts dans la collecte de renseignements statistiques ». Ces données recueillies à l'externe portent le nom de « données administratives » ou « données secondaires ».
Des données administratives sont recueillies en vertu du pouvoir prévu à l'article 13 de la Loi sur la statistique. Le statisticien en chef ou une personne autorisée par ce dernier peut obtenir l'accès à tout document ou archives conservés par un ministère fédéral, provincial ou territorial ou un bureau municipal, une personne morale, une entreprise ou une organisation pour ses propres fins. L'utilisation de ces renseignements par Statistique Canada à des fins statistiques est secondaire à l'objectif de l'organisme les ayant recueillis à l'origine.
L'utilisation statistique des données administratives comme complément ou supplément aux programmes d'enquêtes et de recensement de Statistique Canada est devenue une priorité organisationnelle explicite dans le Rapport sur les plans et les priorités de 2013-2014 à 2014-2015. Le Plan d'entreprise de 2014-2015 à 2016-2017 de Statistique Canada a également précisé expressément cette priorité relativement à l'exploitation des sources de données administratives pour réduire les coûts et le fardeau de réponse des programmes, tout en améliorant la qualité et en fournissant des statistiques et des produits analytiques supplémentaires axés sur les besoins d'information.
En réaction à la nouvelle orientation stratégique visant à accroître l'utilisation des données administratives, Statistique Canada a créé le Secrétariat des données administratives (SDA). Conformément à son mandat, soit élaborer et mettre en œuvre un cadre de gouvernance pour soutenir l'acquisition, la gestion et l'utilisation efficaces des données administratives, le SDA a proposé une approche intégrée pour assurer l'utilisation plus efficace des données administratives grâce à la création du document de proposition sur le Programme d'utilisation des données de sources administratives et d'autres sources. Ce document est une feuille de route qui permet l'utilisation optimale des données administratives dans les programmes statistiques. Le résultat attendu consiste à réduire le fardeau de réponse, à diminuer les coûts, à améliorer la qualité et à instaurer une nouvelle série de données pour les utilisateurs, tout en conservant la confiance du public en protégeant toutes les données administratives.
Le 1er avril 2014, Statistique Canada a créé le Comité de gestion des données administratives (CGDA) dont le mandat consiste à favoriser l'acquisition, la gestion et l'utilisation efficientes et efficaces des données administratives à des fins statistiques et à conseiller au Comité exécutif de gestion des façons d'accroître et d'améliorer l'utilisation des données administratives dans l'organisme. Pour appuyer la gestion efficace et efficiente des données administratives, le SDA a été fusionné avec la Division des données fiscales et est devenu la Division des données administratives (DDA). Cette dernière a pour mandat d'acquérir des données administratives qui sont largement utilisées, d'appuyer les programmes statistiques lorsqu'ils acquièrent des données administratives en leur offrant des outils et du soutien et de tenir un inventaire des fichiers de données administratives.
Une nouvelle Directive sur l'obtention des données administratives en vertu de la Loi sur la statistique (la Directive) est entrée en vigueur le 1er avril 2015 et remplace l'ancienne Directive sur l'obtention de l'accès aux dossiers conservés par d'autres organisations. La nouvelle Directive renferme une définition claire des données administratives dans le contexte de la Loi sur la statistique. En outre, elle permet de créer une fonction d'administrateur des données administratives et propose trois types d'ententes d'acquisition des données administratives auprès de sources externes : une entente d'acquisition de données, une communication écrite et un contrat avec une organisation du secteur privé comprenant le paiement des frais. La Politique sur l'utilisation de données administratives obtenues en vertu de la Loi sur la statistique (la Politique) de Statistique Canada a été mise en œuvre le 2 décembre 2015.
Objectifs de l'audit
Les objectifs de l'audit consistaient à fournir au statisticien en chef et au Comité ministériel de vérification de Statistique Canada l'assurance que :
- Statistique Canada a établi un cadre de gouvernance adéquat et appliqué de manière uniforme pour appuyer la gestion efficace des données administratives;
- des mécanismes de contrôle efficaces de la sécurité et de la confidentialité des données administratives sont en place et assurent la conformité aux lois, aux politiques et aux directives pertinentes de Statistique Canada.
Portée
La portée de l'audit comprenait un examen du caractère adéquat et de l'efficacité des mesures de contrôle de la gestion et du traitement des données administratives. Les domaines particuliers comprenaient les suivants :
- les processus opérationnels et les mesures de contrôle permettant l'application uniforme des pratiques et des processus opérationnels communs;
- les outils, la formation et les pratiques de gestion de l'information qui soutiennent la reddition de comptes claire et la conformité aux politiques et aux procédures applicables de même que la confidentialité;
- les mesures de sécurité (stockage et transmission de la TI, entreposage physique, reproduction et conservation des renseignements, gestion des dossiers) permettant de vérifier que les données sont protégées et que la confidentialité est assurée.
Approche et méthodologie
Les travaux d'audit consistaient à examiner des documents, à effectuer des entrevues avec les membres du personnel et des cadres supérieurs clés, et à examiner la conformité aux lois, politiques et lignes directrices applicables.
Le travail sur le terrain comprenait un examen et l'évaluation des processus, procédures et contrôles en place pour veiller à ce qu'ils soient appliqués de manière uniforme; et s'assurer que les outils, la formation et les pratiques de gestion de l'information soutiennent une responsabilité claire et la conformité aux politiques et procédures applicables.
Un échantillon discrétionnaire des dossiers déclarés dans la deuxième version du répertoire des données administratives a été sélectionné pour les neuf divisions de notre échantillon et ont été testés afin :
- de repérer les ensembles de données faisant partie d'une entente garantissant que l'ensemble de données avait été acquis en vertu du pouvoir prévu à l'article 13 de la Loi sur la statistique et que l'utilisation prévue était documentée;
- de s'assurer que les mesures de sécurité de la TI appropriées étaient en place pour assurer le stockage et la protection des enregistrements de données administratives;
- de valider les autorisations d'accès des utilisateurs pour garantir que l'accès se limitait aux employés autorisés;
- de passer en revue la liste des utilisateurs du Système de demande d'accès de l'organisme (SDAO) et du Portail de gestion des demandes de service (GDS) pour vérifier que les autorisations appropriées étaient dans le dossier des utilisateurs de l'échantillon.
L'audit a été mené en conformité avec les Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut vérificateurs internes.
Autorité
L'audit a été mené en vertu des autorités du Plan intégré d'audit et d'évaluation fondé sur les risques approuvé par Statistique Canada de 2015-2016 à 2019-2020.
Constatations, recommandations et réponse de la direction
Environnement de contrôle de la gestion des données administratives
Une approche générale, une orientation stratégique et un soutien pour l'acquisition, la gestion et l'utilisation efficientes et efficaces des données administratives sont assurés par deux instruments de l'ensemble de politiques conçues et documentées par la Division des données administratives : la Directive sur l'obtention des données administratives en vertu de la Loi sur la statistique et la Politique sur l'utilisation de données administratives obtenues en vertu de la Loi sur la statistique de Statistique Canada.
Les données administratives sont définies dans les instruments de politique. Ces derniers ne couvrent qu'uniquement les sources des données obtenues en vertu de la Loi sur la statistique. Cette définition n'inclut pas les données disponibles publiquement et d'explications du contexte dans lequel on peut les obtenir, ce qui a entraîné un manque d'uniformité dans la compréhension et les pratiques de manipulation et de gestion des données administratives au sein des programmes.
Des rôles, des responsabilités et d'imputabilité ainsi que des processus et des procédures ont été établis de manière formelle pour aider les programmes statistiques à mener à bien les activités d'acquisition de données administratives, mais la compréhension du rôle nouvellement créé de l'administrateur de données administratives porte à confusion. Une formation sur la Directive sur l'obtention des données administratives en vertu de la Loi sur la statistique était disponible mais non obligatoire.
Certaines des principales initiatives de communication de la DDA visant à promouvoir le partage des connaissances tirées des méthodes et des processus en vue d'accroître l'utilisation des données administratives à des fins statistiques ont été menées comme prévu.
Les rôles, les responsabilités et l'imputabilité à l'égard de la gestion des données administratives devraient être clairement définies et communiquées, la coordination efficace étant assurée entre tous les intervenants pour assurer l'efficience et l'efficacité des opérations. Les programmes devraient reposer sur un cadre solide pour les protocoles internes, les pratiques, les procédures et les outils organisationnels afin de préconiser l'utilisation accrue, efficace et efficiente des données administratives.
Autorité
Statistique Canada exerce son mandat qui consiste à obtenir les documents ou les enregistrements recueillis par d'autres ministères et organismes gouvernementaux (fédéraux, provinciaux et territoriaux), des bureaux municipaux, des personnes morales, des entreprises ou des organisations pour leurs propres fins en vertu du pouvoir prévu à l'article 13 de la Loi sur la statistique. L'utilisation de ces renseignements par Statistique Canada à des fins statistiques est secondaire à l'objectif de l'organisme les ayant recueillis à l'origine.
L'orientation stratégique de la gestion des données administratives a été définie et communiquée
Jusqu'à tout récemment, le cadre de gouvernance interne des données administratives à Statistique Canada était élaboré dans un environnement où chacun des programmes statistiques était tenu d'identifier, d'acquérir, d'évaluer, d'utiliser et de gérer les fichiers de données administratives utilisés dans ses programmes. Ce cadre se caractérisait par une gestion répartie en plusieurs ententes de responsabilités entre les unités de Statistique Canada et le partenaire externe. En raison des importantes pressions exercées par les gouvernements et les entreprises répondantes afin d'accroître l'utilisation des données administratives, le Bureau s'est vu dans l'obligation d'adopter une approche organisationnelle et de centraliser les efforts liés à l'acquisition des données administratives, afin d'optimiser l'efficience et l'efficacité de l'utilisation de ces données dans les programmes statistiques, tout en réduisant les coûts et le fardeau de réponse pour les répondants. Cette réorientation majeure des opérations est à l'origine des exigences d'exercer une bien plus grande rigueur pendant l'acquisition des données administratives auprès des sources externes et la gestion de ces données.
Par conséquent, la DDA a élaboré la Directive pour offrir une approche organisationnelle, une orientation stratégique et du soutien dans le but d'assurer l'acquisition, la gestion et l'utilisation efficaces et efficientes des données administratives. La nouvelle Directive est entrée en vigueur le 1er avril 2015 et a remplacé l'ancienne Directive sur l'obtention de l'accès aux dossiers conservés par d'autres organisations. La Directive renferme une définition claire des données administratives pour l'organisme; les responsabilités, les obligations redditionnelles et les rôles fonctionnels détaillés des principaux intervenants; ainsi que les processus et les procédures qui aident les programmes statistiques à mener à bien leurs activités d'acquisition de données administratives.
Après la mise en œuvre de la Directive, la Politique est entrée en vigueur le 2 décembre 2015 pour appuyer la Directive. On y trouve dans la Politique, les responsabilités des principaux intervenants, qui sont le reflet de celles déjà formulées dans la Directive, en plus des responsabilités nouvellement définies de l'administrateur des données administratives.
Une définition claire de la signification des données administratives est incluse dans les instruments de politique, cependant, cette définition n'inclut pas les données disponibles publiquement
Pour appuyer les programmes statistiques pendant l'utilisation et la gestion efficaces et efficientes des données administratives, une définition claire des données administratives dans le contexte de la Loi sur la statistique est présentée dans les instruments de politique :
« Renseignements qui sont recueillis par d'autres organisations et ministères pour leurs propres fins, et qui sont demandés par Statistique Canada, au niveau micro ou agrégé, pour les objets de la Loi sur la statistique … L'utilisation de ces renseignements par Statistique Canada à des fins statistiques est secondaire à l'objectif de l'organisation les ayant recueillis à l'origine… divers ensembles de données reçus de l'Agence du revenu du Canada et aussi d'autres sources de données... les données d'enquêtes menées par d'autres sans la participation de Statistique Canada et les données générées par des dispositifs électroniques (p. ex. satellites, capteurs, scanneurs, téléphones mobiles) qui sont recueillies par d'autres organisations ».
Exclusions : « Les données administratives ne devraient pas être confondues avec les produits qui peuvent être obtenus d'autres organisations comme les publications, les rapports, les guides, les métadonnées et les programmes informatiques. Elles excluent aussi les données ou les renseignements qui sont accessibles au public, y compris sur Internet, ou les données qui peuvent être obtenues, sous licence ou non, par n'importe qui, avec ou sans frais. »
L'audit a constaté qu'immédiatement après la mise en œuvre de la Directive, le CGDA avait proposé de modifier le mandat organisationnel afin d'y inclure l'acquisition et la gestion efficace et efficiente des éléments suivants :
« les renseignements qui sont accessibles au public, y compris sur Internet, ou les données qui peuvent être obtenues, sous licence ou non, par n'importe qui, avec ou sans frais. »
En outre, l'audit a permis de constater que la Division de la gestion de l'information (DGI) prévoyait élaborer un document d'orientation distinct sur les aspects juridiques de l'acquisition de ces renseignements.
Toutefois, la DGI a mis fin à ses projets d'élaborer un tel document, parce qu'il a été déterminé qu'il était inutile d'obtenir une orientation sur la manière d'évaluer et d'assurer la conformité de Statistique Canada aux diverses expressions et conditions utilisées sur le site Web. Cela était dû au fait qu'on avait déterminé que le risque que l'organisme acquière des renseignements sans obtenir d'orientation de la DGI était très faible.
Les entrevues ont permis de réaliser qu'il y avait de la confusion à l'intérieur des programmes statistiques. Ceux qui gèrent les deux ensembles de données n'étaient pas certains de savoir s'ils devaient les inclure dans leur inventaire et ont dit qu'il fallait apporter des éclaircissements et présenter une orientation organisationnelle sur les renseignements qui sont disponibles publiquement.
Les rôles et responsabilités des principaux intervenants sont définis et communiqués dans la Directive, mais le rôle nouvellement créé d'administrateur des données administratives n'est pas compris de manière uniforme
Pour assurer la coordination et l'intégration des activités liées aux données administratives avec les fonctions et opérations organisationnelles, la Directive énonce clairement les rôles et responsabilités des principaux intervenants − cadres supérieurs, DDA, DGI, Division des services de soutien intégrés et CGDA.
Programmes statistiques
Les rôles et responsabilités liés à la mise en œuvre opérationnelle et à la gestion de la Directive incombent aux cadres supérieurs (statisticiens en chef adjoints, directeurs généraux et directeurs) qui sont responsables des programmes statistiques ou des programmes qui appuient les programmes statistiques. La section 6.4 et les annexes B à G de la Directive décrivent, en détail, les exigences que les programmes statistiques doivent remplir et les processus qui doivent être suivis. Puisque l'administrateur des données administratives doit « obtenir les données… », qu'il est « …responsable de la négociation... et le principal point de contact pour l'entente », chaque directeur doit veiller à ce que sa division se conforme aux exigences de la Directive.
Lors des entrevues, on a observé que chaque division s'était dotée d'une structure correspondant à sa taille et au volume de ses activités liées aux données administratives, et que les directeurs avaient délégué les responsabilités de l'administrateur des données administratives aux gestionnaires de programme. À titre d'administrateur des données administratives, les gestionnaires de programme sont tenus d'être le seul point de contact entre Statistique Canada et le ou les fournisseurs de données. En outre, ils doivent aviser la DDA des restrictions que le ou les fournisseurs de données imposent, documenter les ententes convenues avec le ou les fournisseurs de données dans une entente et gérer les exigences de cette entente. Par ailleurs, les gestionnaires de programme doivent consigner toutes les données administratives dans le répertoire organisationnel des données administratives que tient la DDA, autoriser l'accès aux données administratives conformément au principe du besoin de connaître de même que gérer les fichiers de données administratives dont ils sont responsables et en assurer la protection, conformément à toutes les lois, politiques et procédures pertinentes.
Dans les programmes statistiques où il y a peu d'activités liées aux données administratives, seulement deux ou trois employés effectuent l'ensemble des tâches associées à la gestion de ces données, tandis que les divisions où l'on observe un volume élevé d'activités liées aux données administratives font appel à plusieurs employés. Les divisions où le volume de l'activité liée aux données administratives est élevé ont élaboré leurs propres logiciels, méthodes de travail et procédures opérationnelles normalisées pour manipuler et gérer les données administratives, certaines ayant conclu des ententes de réception et de prétraitement avec d'autres divisions, comme la Division des opérations et de l'intégration (DOI). Indépendamment de la taille ou de la structure de la division, ou encore du volume de l'activité liée aux données administratives, le rôle des employés qui s'occupent des données administratives a évolué au fil du temps, bien plus que s'il avait été défini de façon formelle, et le rôle de la majorité d'entre eux est bien exécuté.
Toutefois, l'audit a constaté que tous les directeurs n'ont pas de discussions avec leurs gestionnaires de programme et leurs équipes sur les rôles et responsabilités nouvellement créés de l'administrateur des données administratives, ce qui a entraîné de la confusion et une compréhension différente du rôle de l'administrateur des données administratives dans l'ensemble de l'organisme. Les gestionnaires de programme cherchent à mieux comprendre les rôles et responsabilités et à obtenir des éclaircissements à ce sujet. Le défaut de mettre en œuvre et d'exécuter les exigences stipulées dans la Directive augmente le risque que les objectifs et les résultats attendus de la Directive ne soient atteints.
Une formation sur la Directive a été donnée à plus de 300 employés au niveau des gestionnaires de programme et aux échelons supérieurs. Lors des entrevues, il a été relevé que tous les chefs de section ou tous les gestionnaires qui manipulent des données administratives n'avaient pas suivi la formation sur la Directive : certains ont admis se pencher plus attentivement sur cette question pour la première fois, en préparation à leur entrevue avec l'équipe d'audit. Une formation continue sur la Directive est offerte sous forme de cours par l'entremise du Système de gestion de l'apprentissage de Statistique Canada et la Directive est disponible sur le site Web de l'organisme et sur le site intranet de la DDA. Le manque de formation des gestionnaires de programme explique qu'ils sont au courant de la Directive, mais qu'ils ne la connaissent pas bien. Cette situation a mené à des niveaux d'engagement variables de la part des gestionnaires de programme, comme en témoigne le fait que certains programmes ne sont pas au courant des nouvelles responsabilités de la DDA.
Division des données administratives
Chargé de la mise en œuvre de la Directive et de la Politique, le directeur de la DDA a les principales responsabilités suivantes :
Répertoire organisationnel : Créer et tenir, à partir des commentaires des programmes statistiques, un répertoire organisationnel complet et à jour des données administratives qu'obtient Statistique Canada à des fins statistiques et permettre aux programmes statistiques d'avoir accès à ce répertoire.
Acquisition et utilisation des données administratives : Déterminer les besoins en données administratives à l'échelle de l'organisation et faire des recommandations au CGDA sur l'acquisition de données administratives qui sont largement utilisées dans l'organisme ou qui nécessitent un processus d'acquisition complexe et sur les personnes qui devraient acquérir ces données et en avoir la garde.
Cadre d'évaluation : Gérer l'élaboration, la mise en œuvre et la tenue à jour d'un cadre d'évaluation de la qualité des données.
Traitement de base des données administratives : Assurer le traitement de base des données administratives utilisées à grande échelle dans l'organisation de manière coordonnée et centralisée en vue d'un traitement et d'une utilisation plus poussés à l'échelle locale dans les programmes statistiques.
Gabarits et outils intégrés : Aider les programmes statistiques à acquérir des données administratives, en les guidant vers un ensemble de gabarits intégrés pour les ententes d'acquisition de données.
Répertoire organisationnel
Le premier répertoire des données administratives de l'organisme a été créé en 2013. Le but était de produire un répertoire amélioré et à jour chaque année. La deuxième version a été produite en octobre 2014 et établissait plus de 650 ensembles de données administratives, plus de 800 utilisateurs principaux et 2 500 utilisateurs secondaires. La portée du second répertoire a été élargie, mais un certain nombre d'écarts dans les enregistrements, comme des dédoublements, des omissions et des fichiers qui ne correspondaient pas à la définition, ont été identifiés. Une troisième mise à jour à partir d'une conception améliorée a été produite à l'automne 2015. Afin d'aider les programmes statistiques à saisir l'information requise pour cette dernière mise à jour du répertoire, la DDA a élaboré un modèle de répertoire et le document intitulé Répertoire des données administratives – Guide de déclaration. Une formation sur son utilisation a été donnée à un représentant de chaque division.
Lors des entrevues, on a constaté que la période choisie pour mettre à jour les chiffres de l'organisme avait été reportée parce que les programmes statistiques avaient encore de la difficulté à savoir quels enregistrements de données devraient être inclus ou exclus. Le calendrier de mise à jour du répertoire allait d'octobre 2015 à février 2016. Au mois de mars 2016, une seule division avait répondu; la DDA a examiné et approuvé sa réponse. La DDA continue d'étudier les mises à jour du répertoire et de rencontrer en personne chacun des répondants. Elle a demandé aux directeurs de chaque division d'examiner et d'approuver leur liste du répertoire avant sa présentation finale à la DDA.
Acquisition et utilisation de données administratives
Pour aider les programmes statistiques à déterminer les besoins en données administratives à l'échelle de l'organisme, la DDA a élaboré une base de données pour les éventuelles nouvelles acquisitions grâce à une application de suivi des problèmes et des projets portant le nom de JIRA. Cet outil permet aux programmes statistiques de suivre les problèmes et d'offrir des mises à jour en temps réel sur leurs tentatives d'élaboration. Pendant l'examen de la base de données, il a été observé que de nouvelles possibilités d'acquisition de données administratives étaient précisées et sont en voie d'être transmises aux programmes à l'aide d'un gabarit de diffusion. Par ailleurs, l'audit a constaté que la DDA avait créé quinze nouveaux partenariats et que huit autres étaient en cours. Ces mesures sont conformes aux exigences formulées dans la Directive, afin que la DDA acquière des données administratives et qu'elle agisse à titre d'administrateur des données administratives qui sont largement utilisées dans l'organisme ou qui nécessitent un processus d'acquisition complexe.
Cadre d'évaluation
La DDA a coordonné l'élaboration d'un cadre d'évaluation des données administratives pour aider les programmes statistiques à évaluer l'adéquation des données administratives à leur utilisation. Ce cadre a été élaboré par la Division des méthodes d'enquêtes auprès des ménages et comprend un guide et un questionnaire.
Traitement de base des données administratives
La DDA a procédé à un examen organisationnel du prétraitement des données administratives acquises par les programmes statistiques auprès d'organismes externes. Les résultats de cet examen ont débouché sur un certain nombre de recommandations qui ont été présentées au CGDA en février 2015. Ainsi, le CGDA a recommandé que la DOI élabore une proposition de gabarit commun sur la réception et le prétraitement des données administratives.
Gabarits et outils intégrés
Afin d'adopter une approche organisationnelle sur l'acquisition des données administratives, le directeur de la DDA doit aider les programmes statistiques lorsqu'ils acquièrent des données administratives, en les orientant vers un ensemble d'instruments organisationnels (gabarits pour les ententes d'acquisition de données). L'audit a constaté qu'en consultation avec la DGI, la DDA avait élaboré des gabarits pour les ententes d'acquisition de données afin d'aider les programmes à formaliser leurs dispositions.
Un Guide de données administratives, en format électronique, décrivant le processus, la politique générale, donnant des conseils sur l'acquisition, la gestion et l'utilisation des données administratives et servant de document de référence sur les données administratives, devait sortir au printemps 2016. Selon le suivi fait auprès de la DDA, sa sortie a été retardée; il devrait être prêt en mars 2017. L'accès à des renseignements fiables, pertinents et en temps opportun favorisera le partage des connaissances sur les méthodes ou les processus qui permettent d'accroître l'utilisation des données administratives à des fins statistiques.
En outre, la DDA prévoyait concevoir un site intranet facile d'accès que les employés pourraient consulter afin de trouver des renseignements sur la gouvernance, des questions et réponses sur la façon de régler les problèmes ainsi que des liens vers un outil et des documents clés. Selon l'analyse réalisée sur le site intranet de la DDA, ces éléments n'ont pas encore été élaborés. Après un suivi auprès de la DDA, on a constaté que cette dernière collabore avec la Division des communications afin d'afficher un ensemble de questions et réponses communes. Parallèlement, des bulletins font des mises à jour sur les événements nouveaux et en cours, ainsi que sur les changements apportés aux pratiques exemplaires, à la gouvernance et au processus d'élaboration. De plus, la DDA fait constamment des présentations aux membres de la haute direction.
Division de la gestion de l'information
La section 6.2 de la Directive décrit les exigences applicables au directeur de la DGI. Ce dernier est tenu d'appuyer les programmes statistiques en :
- élaborant des gabarits standards pour l'acquisition de données et en leur offrant du soutien et des conseils juridiques à propos de la rédaction des ententes sur les données administratives;
- tenant un registre des ententes sur les données administratives et la délégation du pouvoir prévu à l'article 13;
- tenant à jour et enregistrant sur Internet les fichiers de renseignements personnels (FRP) les données administratives que Statistique Canada reçoit d'autres organisations et qui renferment des renseignements personnels.
Selon les entrevues réalisées avec la DDA, la DGI et les programmes statistiques, la DGI apporte du soutien aux programmes statistiques en ce qui concerne : les gabarits standards pour les ententes d'acquisition de données et les conseils juridiques; et elle tient un registre des ententes sur les données administratives. Une lettre d'appel annuelle de la DGI rappelle aux programmes statistiques de consigner dans le FRP les données administratives qu'ils reçoivent d'autres organisations et qui renferment des renseignements personnels. La transparence lors de l'utilisation des données personnelles est un élément important pour maintenir la confiance du public. L'audit a fait un suivi et une vérification de la consignation des dossiers du FRP. L'audit a ainsi déterminé que neuf fichiers de l'échantillon auraient dû être consignés. Selon l'examen du site du FRP, seulement sept fichiers l'ont été. Le suivi réalisé auprès du responsable du programme chargé de deux fichiers a permis d'observer que le programme préparait les renseignements à présenter à la DGI afin qu'ils soient consignés.
Division des services de soutien intégrés
La section 6.4 décrit les exigences applicables au directeur de la Division des services de soutien intégrés. Ce dernier doit veiller à ce que les programmes statistiques remplissent la Demande de biens ou services, suivent les pratiques établies en matière d'approvisionnement et fassent la promotion des contrats à long terme pour l'acquisition des données administratives auprès d'une source privée moyennant des frais.
Lors de l'audit, 12 fichiers de données ont été sélectionnés pour les neuf divisions de l'échantillon et ils ont été retracés jusqu'à leur entente respective. Cela a permis de confirmer que les ententes avaient été formalisées; que les données avaient été acquises en vertu du pouvoir prévu à l'article 13 de la Loi sur la statistique; que l'utilisation prévue des données avait été documentée; et qu'un administrateur des données administratives était le seul point de contact de Statistique Canada.
L'audit a remarqué que trois ententes étaient des contrats à long terme pour l'acquisition de données administratives auprès d'une source privée moyennant des frais et que le programme statistique avait rempli la Demande de biens ou services et suivi les pratiques établies en matière d'approvisionnement. Le reste était constitué de protocoles d'entente. L'audit a constaté qu'un formulaire de délégation des pouvoirs valide et dûment signé était dans le dossier de toutes les ententes et que l'utilisation prévue avait été documentée. Ils ont également observé que l'une des ententes se composait d'une combinaison d'ententes formelles et informelles à l'échelle de l'organisme, chaque programme traitant directement avec le partenaire externe, au lieu qu'il y ait un seul point de contact de Statistique Canada.
Comité de gestion des données administratives
L'audit a constaté que, conformément au mandat du CGDA, soit assurer l'orientation stratégique en vue de l'acquisition, de la gestion et de l'utilisation efficaces et efficientes des données administratives et conseiller le Comité exécutif de gestion sur l'approche ou les mesures nécessaires pour améliorer ou accroître l'utilisation des données administratives dans l'organisme. Le Comité cherche activement à organiser et orienter les initiatives sur les données administratives avec la participation de tous les programmes statistiques. Le CGDA tient des réunions mensuelles ordinaires selon un ordre du jour complet et le secrétaire donne suite à toutes les mesures à prendre.
L'audit a conclu que la DDA et le CGDA participaient activement à l'orientation des initiatives visant la gestion administrative en établissant l'orientation stratégique de l'acquisition, de l'utilisation, de la manipulation et de la gestion des données administratives grâce aux instruments de politique. Toutefois, la modification du mandat de l'organisation, qui a ajouté des renseignements, qui sont accessibles au public et qui ne sont pour le moment pas inclus dans la définition des « données administratives », crée de la confusion dans les programmes. Le rôle nouvellement créé de l'administrateur des données administratives porte à confusion et n'est pas compris de la même manière dans l'ensemble de l'organisme. Les gestionnaires de projet sont au courant de la Directive, mais ne la connaissent pas bien. Certaines initiatives majeures en matière de communication pour promouvoir le partage des connaissances sur les méthodes et processus visant à accroître l'utilisation des données administratives à des fins statistiques n'ont pas été réalisées comme prévu par la DDA.
Recommandations :
Il est recommandé que le statisticien en chef adjoint, Secteur des études analytiques, de la méthodologie et de l'infrastructure statistique, fasse en sorte que :
- les instruments de politique soient adaptés de manière à inclure une définition des « données disponibles publiquement » pour assurer une orientation et apporter des éclaircissements en vue d'obtenir des pratiques uniformes dans l'ensemble de l'organisme;
- la formation sur les instruments de politique liés aux données administratives conçus par la DDA soit obligatoire pour les administrateurs des données administratives afin que le rôle et les responsabilités de ces derniers soient compris de manière uniforme à l'échelle de l'organisme;
- les initiatives majeures en matière de communication de la DDA pour promouvoir le partage des connaissances sur les méthodes et processus visant à accroître l'utilisation des données administratives à des fins statistiques soient réalisées comme prévu.
Réponse de la direction :
La direction accepte les recommandations.
Les instruments de politique actuels seront modifiés de manière à inclure une définition des « données disponibles publiquement » et à documenter le contexte dans lequel on peut les obtenir.
Une stratégie sera élaborée afin de promouvoir une meilleure connaissance et une plus grande compréhension des instruments de politique suivants :
- la Politique sur l'utilisation de données administratives obtenues en vertu de la Loi sur la statistique;
- la Directive sur l'obtention des données administratives en vertu de la Loi sur la statistique.
Bien qu'il existe déjà du matériel didactique sur la Politique et la Directive, un examen sera mené et permettra de saisir le cadre actuel des cours afin de déterminer quels éléments seront les plus bénéfiques pour les utilisateurs finals. Les résultats de cet examen comprendront des recommandations sur la portée, la clientèle cible et les mécanismes de prestation.
Les travaux ont déjà débuté dans le but d'élaborer une stratégie de communication planifiée qui comprendra :
- l'élaboration et la diffusion d'un guide;
- l'élaboration et la mise en œuvre d'un plan de communication et de documents de communication pour informer les employés au sujet des outils disponibles pour favoriser l'acquisition, y compris le guide.
Résultats attendus et échéancier :
Le directeur de la DDA et le directeur de la Direction des communications et de la diffusion :
- fourniront des instruments de politique mis à jour d'ici mars 2017;
- fourniront un rapport accompagné des résultats de l'examen d'ici juin 2017 et mettront à exécution les recommandations approuvées d'ici octobre 2017;
- publieront le guide sur le Réseau de communications internes et élaboreront un plan de communication et du matériel de communication d'ici juin 2017; le plan sera mis en œuvre d'ici octobre 2017.
Gérance des données dans les programmes statistiques
Il existe bien une culture organisationnelle axée sur la protection de toutes les données à Statistique Canada et l'ensemble de politiques de l'organisme renforce collectivement l'importance de l'intégrité et des valeurs déontologiques.
Des mesures de contrôle des postes de travail informatiques sont en place et fonctionnent comme prévu pour protéger la confidentialité des données.
Les pratiques liées à la création de groupes de sécurité et de structures de répertoires varient à l'échelle de l'organisme. Les privilèges d'accès sont gérés à l'aide de deux systèmes qui ne comportent aucune procédure de surveillance formelle pour veiller à ce que ces privilèges soient limités en fonction du principe du besoin de connaître.
Des mesures de contrôle de l'accès aux systèmes, des procédures d'authentification et d'accès devraient être en place et conformes aux politiques, aux normes et aux directives pertinentes de Statistique Canada concernant la confidentialité des renseignements statistiques de nature délicate. La conformité à ces politiques aide à assurer que l'accès aux systèmes, aux données et aux programmes est restreint aux seuls utilisateurs autorisés. Un suivi du rendement opérationnel devrait être fait pour déceler les erreurs – réelles ou éventuelles – qui augmenteraient autrement le risque opérationnel.
Milieu organisationnel
Une culture organisationnelle axée sur la protection de toutes les données a été créée à Statistique Canada
Lors des entrevues, on a observé que les employés qui manipulaient des données administratives n'établissaient aucune distinction avec les données d'enquête. Toutes les données qui sont recueillies sont protégées conformément au Code de conduite de Statistique Canada, qui précise ceci : " Les employés doivent protéger la confidentialité des données recueillies en tout temps et soutenir la confiance du public envers l'organisme. Les renseignements confidentiels doivent être partagés avec le personnel approprié uniquement en fonction du « besoin de connaître »".
À leur embauche, tous les employés doivent signer un serment afin d'avoir accès aux renseignements statistiques confidentiels. Ils doivent lire la Politique d'utilisation des réseaux et reconnaître qu'ils la respecteront tous les 90 jours ainsi que faire un test 90 jours avant de renouveler leur laissez-passer de sécurité. Des messages sont diffusés par courriel pour rappeler aux employés l'importance de la bonne gestion de l'information et des pratiques de sécurité lorsqu'ils traitent des renseignements statistiques de nature délicate. Par ailleurs, une semaine complète (Semaine de la sensibilisation à la sécurité) est consacrée à la sécurité et sert à renforcer l'importance des bonnes pratiques de gestion de l'information. Dans la mesure du possible, la sécurité de l'information est intégrée dans l'examen du rendement des employés. Les données recueillies lors des entrevues ont confirmé que les employés sont au courant des exigences en matière de sécurité et qu'ils les comprennent bien.
L'ensemble de politiques de Statistique Canada renforce collectivement l'importance de l'intégrité et des valeurs éthiques
Selon la documentation examinée, plusieurs politiques sont en place et font partie d'un cadre général qui assure la protection des renseignements statistiques de nature délicate à Statistique Canada. L'un des résultats attendus est formulé dans la Directive : « maintient la confiance du public envers l'organisme en documentant l'utilisation des données administratives et en la communiquant au public par l'entremise du site Web de Statistique Canada ». Des mesures de contrôle, comme la nécessité de conclure des ententes écrites pour toutes les acquisitions, la définition claire des rôles et responsabilités et la délégation du pouvoir prévu à l'article 13, sont prescrites dans la Directive pour assurer le respect des dispositions sur la confidentialité énoncées dans la Loi sur la statistique.
La Politique sur la gestion de l'information de Statistique Canada vise tous les fonds de renseignements et exige que tous les employés appliquent les principes, les normes et les pratiques de gestion de l'information dans l'exécution de leurs activités. Les entrevues ont révélé que les programmes participaient à la mise en œuvre du plan d'action de Statistique Canada en matière de gestion de l'information afin de remplir les exigences de la Directive sur la tenue de documents du Conseil du Trésor ainsi que les exigences de la Directive sur la gestion des statistiques agrégées et de la Directive sur la gestion des fichiers de microdonnées statistiques concernant la conservation et la destruction de tous les fonds de données. Les gestionnaires ont mentionné que la mise en œuvre de ces initiatives était liée à leurs évaluations annuelles du rendement.
L'ensemble de politiques de Statistique Canada renforce collectivement la sécurité et la protection des fonds de renseignements grâce à des rappels réguliers aux employés, qui doivent respecter les exigences en matière de conformité.
Contrôles de la TI
Des mesures de contrôle des postes de travail sont en place pour protéger la confidentialité des données
La sécurité entourant les droits afférents aux postes de travail des utilisateurs a été renforcée pour éviter que les employés enregistrent des fichiers sur le disque dur de leur poste de travail ou obtiennent l'accès à un fichier à partir de leur profil. Les employés peuvent enregistrer des fichiers uniquement dans leur « dossier de profil d'utilisateur », qui se trouve sur le lecteur du réseau de Statistique Canada. Grâce à des tests et des revues générales, l'audit a déterminé que les utilisateurs ne pouvaient pas avoir accès à des renseignements à leur poste de travail s'ils étaient stockés dans le profil d'un autre utilisateur.
Les disques durs des postes de travail sur des ordinateurs portatifs sont chiffrés et tous les ports USB (bus série universel) sur des postes de travail nécessitent l'obtention, auprès de la Division des opérations des technologies de l'information (DOTI), d'une clé USB chiffrée approuvée par Statistique Canada. Une justification valable et l'approbation d'un directeur sont exigées pour obtenir l'accès à une clé USB chiffrée.
Il existe une solide connaissance de la nécessité d'assurer la conservation des données administratives confidentielles sur le réseau A
La Politique sur la sécurité informatique de Statistique Canada précise que tous les renseignements fournis à titre confidentiel doivent être traités, stockés, consultés ou transmis uniquement sur le réseau A. Pour valider que les fonds de données administratives sont uniquement stockés sur le lecteur du réseau sécurisé de la Division qui se trouve sur le réseau A, on a procédé à une revue générale des principaux contrôles et processus effectués par les administrateurs des données afin d'examiner leur fonds de données administratives. Cette revue a démontré que les fonds de données administratives dont s'occupe chaque programme sont stockés sur le lecteur du réseau sécurisé de chacun d'eux, sous des dossiers distincts du réseau A, et personne ne peut y avoir accès par l'entremise du réseau B.
Pratiques de gestion de l'information
De bonnes pratiques de gestion de l'information assurent que :
- l'information est gérée pendant tout son cycle de vie;
- l'information n'est pas dupliquée (c.-à-d. l'existence de plusieurs versions du même document dans plusieurs divisions est réduite);
- l'information que contient l'infrastructure est fiable;
- l'information est facilement accessible;
- il existe des procédures de dépouillement et d'archivage;
- des pratiques uniformes de sécurité sont employées pour protéger les fonds de données conformément au principe du besoin de connaitre.
Il existe des pratiques variables pour créer des groupes de sécurité et des structures de répertoires pour les fonds de données administratives à l'échelle de l'organisme
Dans la structure de gestion de l'information actuelle, toutes les divisions sont chargées de créer leur structure de dossiers afin de stocker, d'organiser et de sécuriser leur information, notamment les données administratives confidentielles. Tous les dossiers sont couplés à un groupe de sécurité qui définit les autorisations applicables (c.-à-d. lecture, modification, suppression ou une combinaison de celles-ci), détermine le responsable du groupe de sécurité et fournit le chemin d'accès au répertoire.
Les entrevues et les revues générales ont permis de démontrer qu'il n'existait pas de norme à l'échelle de l'organisme qui fournisse des directives sur la manière de créer et de nommer les groupes de sécurité et les structures de répertoires, ce qui a entraîné des pratiques incongrues dans l'ensemble de l'organisme quant à l'organisation et à la gestion des fonds de données. En raison des pratiques variables, il est difficile pour les équipes chargées des comptes informatiques de la DOTI de documenter et de mettre en œuvre une approche intégrée pour le traitement des demandes d'accès des utilisateurs. Cette situation accroît le risque que les autorisations d'accès des utilisateurs aux données administratives ne se limitent pas au principe du besoin de connaître puisque des privilèges d'accès pourraient être accordés par erreur ou de façon intentionnelle à un dossier et parce que plusieurs versions d'un fichier de données administratives pourraient être dupliquées et détenues par des utilisateurs.
Afin de réduire ces risques, la DGI cherche à obtenir l'approbation de l'organisation à son Conseil de planification du secteur afin que le SDAO devienne le système intégré de gestion du processus d'approbation des autorisations d'accès à tous les renseignements Protégé A et B (ce qui comprend les données administratives). De même, la DGI a créé des pratiques exemplaires sur le stockage de tous les fonds de données de Statistique Canada précisant que les programmes devront organiser leurs fonds de données à l'aide d'étiquettes et de dossiers restreints et les identifier; que les règles d'affectation des noms aux dossiers et aux groupes de sécurité seront normalisées; et que les dossiers à usage restreint seront marqués d'un indicateur d'autorisation afin d'être générés uniquement grâce au SDAO. Des projets ont été mis en place afin de mettre à l'essai les pratiques exemplaires et leur application dans le SDAO grâce à la validation du principe.
Les privilèges d'accès sont actuellement gérés à l'aide de deux systèmes différents, de façon informelle grâce au GDS ou de manière formelle grâce au SDAO
Les employés doivent demander des privilèges d'accès à tous les fonds de données à l'aide du système de GDS ou du SDAO. Au cours des deux dernières années, des efforts ont été faits pour que des employés migrent du Système de demande d'accès aux données (SDAD) vers le SDAO puisque le SDAD devait être mis hors service par Services partagés Canada le 31 mars 2016. L'audit a constaté que, pour le moment, seuls quelques programmes ont migré au SDAO et que, sur les neuf divisions de l'échantillon, trois étaient en voie de migrer au SDAO et aucun calendrier d'achèvement n'était prévu.
Processus de demande d'approbation de GDS :
Le processus d'approbation des fonds de données gérés à l'aide du système de GDS est informel. Les utilisateurs demandent des privilèges d'accès en envoyant un courriel ou en passant un appel téléphonique. Une fois l'approbation accordée, l'utilisateur ou l'administrateur des données présente une demande de GDS. L'équipe chargée des comptes de la DOTI active manuellement cette demande. Puisque le processus d'approbation est informel et qu'aucun dossier n'est conservé, l'audit n'a pas pu examiner d'échantillons d'utilisateurs dans le système de GDS pour vérifier s'ils avaient été approuvés par le bon niveau d'autorisation. L'audit a observé qu'une division avait créé un formulaire de diffusion des données destiné aux employés des autres programmes qui doivent demander des données et justifier l'approbation par leur superviseur et leur directeur.
Processus de demande d'approbation du SDAO :
Le processus d'approbation des fonds de données gérés par l'entremise du SDAO permet aux programmes statistiques d'automatiser le processus d'approbation et d'exercer un contrôle sur les privilèges d'accès aux données. Les utilisateurs doivent ouvrir une session (comme lorsqu'ils ouvrent une session sur leur poste de travail); donner leur identité; indiquer l'ensemble de données demandées et fournir une justification; entrer une date d'expiration (le maximum autorisé est d'un an); lire et accepter les conditions d'utilisation, puis présenter la demande remplie en vue de son approbation. Le système enclenche alors le processus d'approbation. La demande est transmise en vue de son approbation, d'abord au superviseur du programme, ensuite au directeur du programme et à l'administrateur des données, et enfin au directeur qui détient le pouvoir prévu à l'article 13 pour l'ensemble des données administratives. Le SDAO génère finalement une demande de GDS pour l'équipe chargée des comptes informatiques qui configure manuellement les privilèges d'accès de l'utilisateur approuvé. Le SDAO conserve une piste de vérification du processus d'autorisation et fournit des rapports sur le nombre d'utilisateurs et les données auxquelles ils ont accès.
Des demandes et justifications de données, ainsi que les niveaux d'approbation appropriés ont été examinés pour dix utilisateurs sélectionnés selon un échantillon discrétionnaire dans le SDAO. Une piste de vérification de la demande et de la justification des données ainsi que des niveaux d'approbation était disponible dans le SDAO pour neuf utilisateurs. L'approbation avait été accordée à un utilisateur, mais les renseignements sur les ensembles de données auxquels il devait avoir accès n'étaient pas indiqués.
Les privilèges d'accès accordés grâce au processus d'approbation de GDS ne comportent pas de date d'expiration
Pour tous les secteurs de programmes qui n'utilisent pas le SDAO, les privilèges d'accès accordés à un groupe de sécurité ne comportent pas de date d'expiration et l'administrateur des données est tenu de supprimer les privilèges d'accès des utilisateurs aux données administratives.
Selon les entrevues, aucune procédure de suivi formelle n'est en place. Les activités de suivi sont menées au cas par cas et le suivi des employés qui changent de programme n'est pas effectué de manière rigoureuse, ce qui permet à des employés de continuer d'avoir accès à des fonds de données dont ils n'ont plus besoin dans l'exercice de leurs nouvelles fonctions et de ne pas respecter le principe du besoin de connaitre. Une application de TI portant le nom d'Active Directory Search a été élaborée à l'interne et permet aux administrateurs de la TI de déterminer et de gérer l'accès des utilisateurs dans les groupes de sécurité. Cet outil a été mis à la disposition de certains programmes pour qu'ils puissent surveiller et mettre à jour leurs groupes de sécurité et l'accès des utilisateurs.
Les utilisateurs qui demandent l'accès à des données administratives grâce au SDAO doivent entrer une date d'expiration qui ne peut pas être supérieure à an. Avant qu'une demande n'arrive à expiration, un avis est envoyé aux utilisateurs pour leur faire savoir que, s'ils ont toujours besoin de cet accès, ils doivent entrer une nouvelle demande dans le SDAO. S'ils ne font rien, les avis du SDAO sont envoyés à l'équipe chargée des comptes informatiques de la DOTI pour que l'accès de ces utilisateurs soit supprimé. Le processus est automatisé par le SDAO pour assurer l'application du « principe du besoin de connaître».
L'audit a conclu qu'une culture organisationnelle axée sur la protection de toutes les données avait été créée à Statistique Canada et que l'ensemble de politiques de l'organisme renforçait collectivement l'importance de l'intégrité et des valeurs éthiques. Il existe une bonne connaissance des exigences de conserver les données administratives confidentielles sur le réseau A et des mesures de contrôle des postes de travail informatiques sont en place pour protéger la confidentialité des données, mais les pratiques de création des groupes de sécurité et de la structure des répertoires varient à l'échelle de l'organisme. Les privilèges d'accès sont gérés selon deux systèmes différents, sans procédures de suivi formelles pour garantir que les privilèges d'accès sont restreints selon le principe du besoin de connaître.
Recommandations :
Il est recommandé que le statisticien en chef adjoint, Secteur des études analytiques, de la méthodologie et de l'infrastructure statistique, s'assure :
- qu'une norme et des règles d'affectation des noms à l'échelle de l'organisme pour créer des groupes de sécurité et des structures de répertoires soient élaborées et documentées afin que les pratiques de gestion des fonds de données deviennent uniformes à l'échelle de l'organisme;
- qu'il existe une approche intégrée de traitement des autorisations d'accès à toutes les données administratives pour conserver une piste de vérification du processus d'autorisation, du nombre d'utilisateurs et des données auxquelles ils ont accès;
- que des pratiques exemplaires soient élaborées et documentées par la DGI sur la gestion de tous les fonds de données à accès restreint de Statistique Canada afin que les pratiques d'organisation et de gestion des fonds de données confidentielles soient uniformes à l'échelle de l'organisme;
- que les privilèges d'accès des utilisateurs et les groupes de sécurité soient surveillés régulièrement par les gestionnaires de programme pour que les privilèges d'accès soient restreints au principe du besoin de connaître.
Réponse de la direction :
La direction accepte les recommandations.
Une norme sur la création de groupes de sécurité et d'une structure de répertoires à l'échelle de l'organisme est en voie d'élaboration. Des normes et des règles d'affectation des noms seront créées et seront testés grâce à la validation du principe.
- Les résultats de la validation du principe détermineront les mesures à prendre, notamment l'élaboration d'une stratégie de mise en œuvre et le calendrier.
- Un plan de communication sera établi pour informer les utilisateurs à propos des nouvelles normes.
Le SDAO offrira une méthode intégrée pour traiter les autorisations d'accès et tenir un registre des pistes de vérification, du nombre d'utilisateurs et des données auxquelles ils ont accès. Toutefois, dans la majorité des divisions, le SDAO n'est pas utilisé pour gérer tous les ensembles de données. Pour le moment, ce système n'est employé que par un sous-ensemble de divisions dans l'organisation et, dans ces divisions, il n'est utilisé que pour gérer un sous-ensemble de tous les ensembles de données. Le SDAO n'assure pas la mise en œuvre d'une approche intégrée (il suit les exigences des divisions). On prévoit instaurer une approche uniforme à l'aide du SDAO et mettre en œuvre ce système dans toutes les divisions.
Lorsque toutes les divisions auront adopté le SDAO, les programmes surveilleront les privilèges d'accès des utilisateurs et les groupes de sécurité grâce à ce système.
La DGI veillera à appuyer la mise en place des groupes de sécurité et des privilèges d'accès si de nouvelles infrastructures sont instaurées à Statistique Canada.
Résultats attendus et échéancier :
Le directeur de la DGI et le directeur de la Direction des communications et de la diffusion :
- élaboreront et procéderons à des tests de validation du principe applicable à la norme et à la structure d'ici mars 2017, l'élaboration et la mise en œuvre d'une stratégie et d'un calendrier seront en place d'ici mai 2017 et un plan de communication sera instauré d'ici septembre 2017;
- élaboreront une feuille de route pour intégrer les divisions dans le SDAO d'ici mai 2017 et un échéancier pour la mise en œuvre du SDAO sera fixé en mai 2017;
- rendront compte de l'utilisation du SDAO dès sa mise en œuvre dans l'organisme et un échéancier sera fixé en mai 2017.
Annexes
Annexe A : Critères d'audit
Objectif du contrôle / Contrôles de base / critères | Sous-critères | Instrument de politique |
---|---|---|
Objectif 1 : Statistique Canada a établi un cadre de gouvernance adéquat et appliqué de manière uniforme pour appuyer la gestion efficace des données administratives. | ||
1.1 L'orientation stratégique et les objectifs relatifs à la gestion des données administratives sont établis, clairement définis et communiqués. |
1.1.1 L'orientation stratégique et les objectifs sont documentés. 1.1.2 Les processus et procédures existent, sont documentés et sont communiqués. 1.1.3 Les organismes de surveillance appropriés et adéquats ont été établis pour surveiller la gestion des données administratives. |
|
1.2 Les rôles, les responsabilités et l'imputabilité pour la gestion des données administratives sont clairs et bien communiqués. |
1.2.1 Les rôles, les responsabilités et l'imputabilité pour l'acquisition des données administratives par la DDA sont clairement documentés et bien compris à Statistique Canada. 1.2.2 Les rôles, les responsabilités et l'imputabilité des administrateurs des données et de divers groupes de travail chargés de gérer les données administratives sont clairement documentés et bien compris. |
|
1.3 Il existe des pratiques adéquates de gestion des risques pour assurer la sécurité des données administratives confidentielles. |
1.3.1 Des stratégies d'atténuation des risques ont été élaborées pour contrer les principaux risques et elles sont surveillées régulièrement pour assurer la sécurité et la confidentialité des données administratives. 1.3.2 Les employés sont au courant des directives sur les valeurs et l'éthique et ils comprennent à qui et à quel endroit ils doivent signaler les éventuels écarts de conduite. |
|
1.4 La DDA et le CGDA fournissent aux employés les outils, les ressources, les renseignements et la formation nécessaires pour soutenir l'exercice de leurs responsabilités et atteindre les résultats attendus. |
1.4.1 Il existe un plan de formation et de perfectionnement convenable pour les intervenants qui s'occupent du processus de gestion des données administratives. 1.4.2 Les employés ont accès à suffisamment d'outils, comme des logiciels, du matériel, des méthodes de travail et des procédures opérationnelles normalisées. 1.4.3 Il existe un processus de partage des renseignements pour soutenir la diffusion efficiente et ciblée de renseignements fiables et utiles aux bons intervenants. |
|
1.5 Lorsque la situation le permet, l'organisation mise sur les possibilités de collaboration afin d'obtenir des données administratives et de réduire le fardeau des citoyens. |
1.5.1 Statistique Canada utilise le processus de planification stratégique pour identifier les possibilités de collaboration avec des partenaires externes. 1.5.2 Il existe des processus et des mécanismes formels de communication qui soutiennent le partage de renseignements pertinents, fiables et en temps utile. |
|
Objectif 2 : Des mécanismes de contrôle efficaces de la sécurité et de la confidentialité des données administratives sont en place et assurent la conformité aux lois, aux politiques et aux directives pertinentes de Statistique Canada. | ||
2.1 La confidentialité des données administratives est protégée. |
2.1.1 L'accès aux données administratives est limité aux personnes autorisées. 2.1.2 Les directeurs font un suivi de l'emplacement, des utilisateurs et de l'utilisation des données administratives conservées dans leur division. 2.1.3 Les dossiers de données administratives sont gardés en lieu sûr, conformément aux politiques, aux directives et aux lois sur la protection des renseignements personnels de Statistique Canada. 2.1.4 Il existe des procédures pour surveiller et supprimer l'accès aux données administratives lorsqu'un employé change de fonctions. |
|
2.2 La direction a établi des processus sur l'élaboration et la gestion des ententes administratives conclues avec des tiers. |
2.2.1 Le processus en place respecte les exigences stratégiques et législatives pertinentes et est conforme aux valeurs éthiques ainsi qu'aux codes de conduite de Statistique Canada. 2.2.2 Les processus sont compris et suivis. 2.2.3 L'acquisition de données administratives est :
2.2.4 La DDA et la DGI donnent des avis et des conseils sur l'acquisition des données administratives. |
|
2.3 La direction reçoit des renseignements pertinents et en temps opportun pour prendre des décisions |
2.3.1 La direction et l'organisme ou les organismes de surveillance demandent et obtiennent des renseignements exacts, complets et en temps opportun. 2.3.2 Le répertoire des dossiers de données administratives est exact, bien organisé et conservé dans un répertoire central. 2.3.3 Les données administratives confidentielles sont conservées sur le réseau A. 2.3.4 Les ensembles de données administratives contenant des renseignements personnels sont repérés et marqués en vue d'être signalés au Fichier de renseignements personnels. Les identificateurs personnels sont supprimés. |
|
2.4 La direction évalue le caractère adéquat de la combinaison de mesures de contrôle en place pour assurer la confidentialité des données administratives et surveille l'efficacité de ces mesures à intervalles réguliers. |
2.4.1 Les mesures de contrôle de la comprennent une combinaison de mesures manuelles et automatiques. 2.4.2 L'efficacité opérationnelle des mesures de contrôle est régulièrement testée. 2.4.3 Les exceptions aux politiques et aux procédures exigées sont repérées et les mesures indiquées sont prises. |
|
2.5 Par ses actions, la direction démontre que l'intégrité et les valeurs éthiques de l'organisation ne peuvent pas être compromises (c.-à-d. qu'elle favorise l'acquisition sécuritaire des données administratives et insiste sur un processus qui est conforme aux politiques et aux procédures établies). |
2.5.1 Par la communication, la direction renforce régulièrement l'importance de l'intégritéet des valeurs éthiques pendant l'acquisition, la gestion et l'élimination sécuritaire des dossiers de données administratives. 2.5.2 La direction intervient rapidement et prend des mesures appropriées en cas d'écart par rapport aux politiques et aux procédures approuvées. |
Annexe B : Acronymes
Acronyme | Description |
---|---|
CGDA | Comité de gestion des données administratives |
DDA | Division des données administratives |
DGI | Division de la gestion de l'information |
DOI | Division des opérations et de l'intégration |
DOTI | Division des opérations des technologies de l'information |
FRP | Fichier de renseignements personnels |
GDS | Gestion des demandes de service |
SDA | Secrétariat des données administratives |
SDAD | Système de demande d'accès aux données |
SDAO | Système de demande d'accès de l'organisme |
TI | Technologie de l'information |
USB | Universal Serial Bus (bus série universel) |