Audit des accords de partage de données avec le ministère de l'Énergie et des Mines et le ministère du Développement du gaz naturel de la Colombie-Britannique

Février 2017
Numéro de projet : 80590-99

Table des matières

Sommaire

Le partage de données est une composante clé du mandat de Statistique Canada. Les données sont partagées afin de réduire le fardeau du répondant et de permettre aux partenaires tels que des établissements provinciaux, territoriaux et d'enseignement d'effectuer des recherches à des fins statistiques. Les accords de partage de données (APD) énoncent les contrôles clés qui doivent être en place pour veiller à ce que les données partagées demeurent confidentielles et que l'information relative aux répondants pouvant être identifiés soit protégée contre la divulgation non autorisée.

Le premier APD entre Statistique Canada et le ministère de l'Énergie, des Mines et des Ressources pétrolières de la Colombie-Britannique (C.-B.) a été conclu en 2008, l'objectif étant de partager les données de neuf enquêtes sur l'énergie. En 2013, le ministère de la C.-B. s'est scindé en deux ministères distincts : le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B. À la suite de cette réorganisation, Statistique Canada a renégocié l'APD en 2015. Les nouveaux APD couvrent les données de 20 enquêtes sur l'énergie.

L'audit a comme objectifs d'évaluer si un cadre de contrôle de gestion efficace est en place pour régir le partage d'information entre Statistique Canada et les ministères de la C.-B. et de déterminer si les conditions des APD sont respectées.

Pourquoi est-ce important?

L'article 12 de la Loi sur la statistique précise les exigences prévues par la loi pour assurer la protection et la confidentialité des renseignements des répondants et aviser ces derniers du partage de données prévu et, en cas de partage de données volontaire, les informer de leur droit de s'opposer au partage de données. Comme la collecte des données est effectuée en vertu de la Loi sur la statistique, toutes les dispositions de la Loi s'appliquent.

Lorsque les réponses des répondants de l'enquête ayant accepté de partager leurs réponses sont transmises au partenaire du partage de données, le partenaire est soumis aux mêmes règles strictes de confidentialité et doit s'assurer que des mesures de sécurité protègent le fichier partagé. Pour Statistique Canada, surveiller le respect des exigences des APD est une priorité afin de s'assurer que les autres organismes protègent les renseignements confidentiels de la même façon que le fait l'organisme.

Toute atteinte réelle ou perçue aux renseignements confidentiels de Statistique Canada risque de compromettre la confiance des répondants et de faire en sorte qu'ils refusent de participer, ce qui entraîne un manque de données pertinentes pour l'élaboration de politiques et qui porte atteinte à la réputation de Statistique Canada.

Principales constatations

Les pouvoirs sont définis, et le cadre des politiques de Statistique Canada énonce clairement les rôles, les responsabilités et les pratiques nécessaires pour la gestion et la mise en œuvre des APD.

La plupart des rôles et des responsabilités ayant trait à la gestion des APD sont en place. Des occasions ont été relevées afin de clarifier les responsabilités liées à la surveillance du respect des conditions des APD et d'examiner l'utilisation des données avant la renégociation des accords.

Les données ont été envoyées aux ministères de la C.-B. à l'aide d'un processus sécurisé et elles étaient conformes aux exigences des APD. Les répondants ont été informés et ne se sont pas opposés au partage de leurs données.

Les données que les ministères de la C.-B. ont reçues ont été stockées et partagées de manière sécuritaire et sont demeurées confidentielles. Les données ont été partagées seulement avec les personnes devant y accéder. Les données n'ont pas été partagées avec de tierces parties, et aucun agrégat statistique n'a été publié.

Certaines des responsabilités de l'administrateur de données ne sont pas prises en charge par les ministères de la C.-B., et le rôle d'administrateur de données n'est pas séparé de celui des utilisateurs de données. Les documents sur la confidentialité et les registres de fichiers ne sont pas remplis conformément aux exigences.

L'accès physique aux bureaux des ministères de la C.-B. est sécurisé au moyen d'un système de carte d'accès mis à jour régulièrement. L'utilisation de dossiers à accès restreint fait en sorte que l'accès aux données de Statistique Canada soit limité aux employés qui doivent utiliser les données. Les politiques sur la sécurité de l'information du gouvernement de la C.-B. sont en place et comprises par les employés traitant les données de Statistique Canada.

Conclusion générale

Dans l'ensemble, un cadre de contrôle de gestion efficace est en place pour régir le partage d'information avec le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B. À Statistique Canada, les responsabilités en matière de surveillance doivent être renforcées.

La plupart des conditions des APD sont respectées. Des occasions ont été relevées afin de veiller à ce que le rôle d'administrateur de données soit efficacement rempli.

Les observations d'audit n'ont pas révélé de preuves selon lesquelles les renseignements confidentiels de Statistique Canada ont été compromis.

Conformité aux normes professionnelles

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.

Steven McRoberts
Dirigeant principal de la vérification et de l'évaluation

Introduction

Contexte

Statistique Canada partage de l'information avec des organismes fédéraux, provinciaux, municipaux, de recherche et du domaine de l'éducation. Le partage d'information se produit lorsque Statistique Canada et un organisme ont des besoins semblables en matière de données et il entraîne des réductions du fardeau de réponse et des coûts de collecte pour les partenaires du partage de données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.

Les articles 11 et 12 de la Loi sur la statistique permettent à Statistique Canada de conclure un accord pour partager de l'information, compte tenu de certaines dispositions. On appelle communément ces accords « accords de partage de données (APD) ». Les APD régissent la façon dont les données seront partagées, utilisées, enregistrées, stockées, sécurisées et conservées. Des lignes directrices relatives à l'établissement d'APD sont précisées dans la Directive sur le partage des données de Statistique Canada, qui comprend les rôles, responsabilités et obligations redditionnelles escomptés.

Le premier accord de partage de données entre Statistique Canada et le ministère de l'Énergie, des Mines et des Ressources pétrolières de la C.-B. a été conclu en 2008. En 2013, ce ministère de la C.-B. s'est scindé en deux ministères distincts : le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B. À la suite de cette réorganisation, Statistique Canada a renégocié l'APD avec chaque ministère en 2015. Les nouveaux APD couvrent les données de 20 enquêtes sur l'énergie.

Le programme statistique responsable de la plupart des enquêtes sur l'énergie couvertes par ces APD est la Division de la statistique de l'environnement, de l'énergie et des transports (DSEET). Son mandat est de recueillir, de compiler, d'analyser, de dépouiller et de publier des renseignements statistiques sur l'activité des entreprises canadiennes dans le secteur de l'énergie. Les unités spécialisées du Programme de la statistique de l'énergie fournissent de l'information sur les industries qui produisent et distribuent de l'énergie, la consommation de certaines formes d'énergie, et de l'information technique et sur l'exploitation.

Les ministères de la C.-B. peuvent utiliser uniquement à des fins statistiques et de recherche l'information partagée en vertu des APD qui se rapporte à un répondant pouvant être identifié.

Objectifs de l'audit

Les objectifs de l'audit étaient de fournir au statisticien en chef et au Comité ministériel de vérification de Statistique Canada l'assurance du respect des points suivants :

  • Il y a un cadre de contrôle de gestion efficace en place pour régir le partage d'information entre Statistique Canada et le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B.
  • Les conditions des accords de partage de données conclus entre Statistique Canada et le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B. sont respectées.

Portée

L'audit a consisté à examiner les rôles, les responsabilités, les obligations redditionnelles et les pratiques de surveillance à Statistique Canada relativement à la gestion des conditions des APD. Il s'agissait aussi d'examiner le respect des conditions prescrites dans les APD pour Statistique Canada et les ministères afin d'assurer la protection des données et le maintien de la confidentialité.

L'audit a notamment porté sur les mesures de protection en place aux ministères (accès physique, stockage et transmission des données électroniques, entreposage physique, copie de l'information et gestion des documents) afin d'assurer la protection des données et le maintien de la confidentialité.

L'audit n'a pas porté sur l'Enquête annuelle des industries manufacturières et de l'exploitation forestière ni sur l'Enquête mensuelle du ciment, étant donné qu'aucune donnée n'a été partagée pour ces enquêtes.

Approche et méthodologie

Le travail d'audit comprenait un examen des documents, des interviews avec des membres clés de la haute direction et du personnel, de même qu'un examen du respect des politiques et des lignes directrices pertinentes (voir l'annexe A : Critères d'audit pour connaître les détails) à Statistique Canada et aux ministères.

Les travaux sur le terrain suivants ont été exécutés :

  • Un examen des documents;
  • Des interviews avec des membres clés de la haute direction et du personnel;
  • Un examen et une évaluation des processus et procédures décrits dans les conditions des APD conclus avec les ministères, l'accent étant mis sur la présence et le respect des exigences relatives à la sécurité et sur le maintien de la confidentialité des données;
  • Des tests portant sur un échantillon de contrats sélectionnés avec de tierces parties (le cas échéant).

L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Authorité

L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré d'audit et d'évaluation fondé sur les risques pour la période allant de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Environnement de contrôle de la gestion des accords de partage de données

Les pouvoirs sont définis, et le cadre des politiques de Statistique Canada énonce clairement les rôles, les responsabilités et les pratiques nécessaires pour la gestion et la mise en œuvre des APD.

La plupart des rôles et des responsabilités ayant trait à la gestion des APD sont en place. Des occasions ont été relevées afin de clarifier les responsabilités liées à la surveillance du respect des conditions des APD et d'examiner l'utilisation des données avant la renégociation des accords.

Les pouvoirs, les rôles et les responsabilités doivent être clairement définis et compris à tous les niveaux pour appuyer la gestion efficace des APD.

Les pouvoirs sont définis

Dans l'exercice de son mandat, Statistique Canada conclut des APD statistiques avec d'autres organisations aux termes des articles 11 et 12 de la Loi sur la statistique. Les rôles et les responsabilités liés aux exigences en matière d'élaboration, de mise en œuvre et de surveillance des APD sont énoncés dans la Directive sur le partage des données. Cette directive précise qu'il incombe aux divisions spécialisées (DS) de communiquer avec les organisations destinataires durant les négociations et la rédaction des accords. La Division de la gestion de l'information (DGI) est responsable de rédiger les APD à la demande des directeurs des programmes statistiques et d'apporter un soutien aux gestionnaires au cours de l'élaboration des nouveaux APD ou modifiés avec les partenaires du partage de données. Les services légaux de Justice Canada sont consultés sur des changements à l'accord type, qui est examiné et mis à jour régulièrement.

La plupart des rôles et des responsabilités ayant trait à la gestion des APD sont en place; il y a des occasions de clarifier les responsabilités liées à la surveillance

Le premier APD entre Statistique Canada et le ministère de l'Énergie, des Mines et des Ressources pétrolières de la C.-B. a été conclu en 2008, l'objectif étant de partager les données de neuf enquêtes sur l'énergie. En vertu de l'accord de 2008, deux sections du ministère de la C.-B. ont reçu des données : les données de l'Enquête mensuelle sur le transport par oléoduc de pétrole brut et d'autres produits pétroliers liquides ont été envoyées à la Section du gaz naturel, et les données de l'Enquête sur le charbon, à la Section de l'énergie et des mines.

En 2013, le ministère de la C.-B. s'est scindé en deux ministères distincts : le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B. Cette réorganisation a amené Statistique Canada à renégocier l'APD avec chaque ministère en 2015. Les nouveaux APD couvrent les données de 20 enquêtes sur l'énergie.

La DSEET est la division de Statistique Canada chargée de la gestion des deux APD avec les ministères de la C.-B. Les unités spécialisées du Programme de la statistique de l'énergie fournissent de l'information sur les industries, qui produisent et distribuent de l'énergie, la consommation de certaines formes d'énergie et de l'information technique et sur l'exploitation.

Depuis 2014, la DSEET confie les responsabilités liées à la gestion et à la mise en œuvre des APD à deux équipes différentes. La mise en œuvre des accords est confiée à la Sous-section de la statistique de l'énergie, qui prépare le fichier partagé à diffuser et s'assure de l'exactitude des données qu'il contient. La Sous-section tient aussi à jour la liste des répondants qui ne veulent pas que leurs données soient partagées avec les ministères de la C.-B. La transmission sécurisée du fichier, la tenue à jour des journaux de transmission d'informations partagées ainsi que la renégociation des accords et la communication avec les ministères de la C.-B. sont confiées au Centre des projets spéciaux sur les entreprises (CPSE).

La responsabilité précise quant à la surveillance des APD n'a pas été attribuée ni exécutée. Les interviews ont indiqué que ni le Programme de la statistique de l'énergie ni le CPSE ne savaient qui était responsable d'effectuer la surveillance.

L'annexe C de la Directive, qui traite du contrôle des accords de partage de données, présente les grandes lignes des responsabilités liées au contrôle de la conformité aux APD pour veiller à ce qu'une diligence raisonnable soit exercée et à ce que les exigences légales soient respectées, en particulier à l'égard de la protection de la confidentialité et des renseignements des répondants. La section 7.1 du modèle de l'APD prévoit que « dans les 10 jours ouvrables d'une demande présentée par Statistique Canada, les ministères doivent remettre les documents sur la confidentialité, le registre de tous les fichiers de données et les registres de l'accès aux données prévus à l'Annexe “C” ».

Lors de l'audit, les tests ont révélé que la Section du gaz naturel n'a jamais utilisé les données reçues dans le cadre du premier APD signé en 2008, et qu'il n'y a pas eu de surveillance ni d'examen des données utilisées avant la renégociation des accords en 2015.

Recommandation

Il est recommandé que le statisticien en chef adjoint du Secteur de la statistique économique s'assure de ce qui suit:

  • Les responsabilités concernant la gestion et la mise en œuvre des APD au sein des DS de la Direction de la statistique de l'agriculture, de l'énergie, de l'environnement et des transports sont clarifiées, communiquées et exécutées de manière efficace.

Réponse de la direction

La direction est d'accord avec la recommandation.

  • Le directeur général de la Direction de la statistique de l'agriculture, de l'énergie, de l'environnement et des transports s'assurera que les DS s'occupant de la gestion des APD précisent leurs rôles et responsabilités, y compris les exigences en matière de surveillance. L'élaboration d'une liste de contrôle permettra de veiller à ce que les accords soient gérés d'une manière approfondie et cohérente.

Produits livrables et échéancier : Un document sur les rôles et les responsabilités et une liste de contrôle seront établis d'ici le 31 mars 2017.

Gérance des données

Les données ont été envoyées aux ministères de la C.-B. à l'aide d'un processus sécurisé et elles étaient conformes aux exigences des APD. Les répondants ont été informés et ne se sont pas opposés au partage de leurs données.

Les données que les ministères de la C.-B. ont reçues ont été stockées et partagées de manière sécuritaire et sont demeurées confidentielles. Les données ont été partagées seulement avec les personnes devant y accéder. Les données n'ont pas été partagées avec de tierces parties, et aucun agrégat statistique n'a été publié.

Certaines des responsabilités de l'administrateur de données ne sont pas prises en charge par les ministères de la C.-B., et le rôle d'administrateur de données n'est pas séparé de celui des utilisateurs de données. Les documents sur la confidentialité et les registres de fichiers ne sont pas remplis conformément aux exigences.

Les APD donnent un aperçu des contrôles qui devraient être en place pour veiller à ce que les données de Statistique Canada demeurent confidentielles et soient protégées contre l'utilisation non autorisée. Des contrôles particuliers doivent être en place pour assurer la transmission sécuritaire et exacte des fichiers de données. De plus, après réception, les données doivent être sécurisées, suivies et surveillées.

Des processus et des procédures sont en place pour assurer la transmission sécuritaire et exacte des fichiers de données

Les tests portant sur un échantillon de huit fichiers de données ont permis d'évaluer si le cadre établi pour la gestion des exigences des APD relatives à la préparation des fichiers de données et à la transmission sécuritaire des fichiers partagés était suivi à Statistique Canada.

Depuis avril 2012, le Service de transfert électronique de fichiers (STEF) est le système utilisé à Statistique Canada pour la transmission sécuritaire des renseignements protégés aux partenaires destinataires. Ces fichiers sont protégés par mot de passe et chiffrés durant le transfert. Lorsqu'un fichier de données est reçu de Statistique Canada, l'administrateur de données est avisé de la présence du fichier dans le coffre-fort électronique. L'administrateur de données doit ensuite demander un mot de passe à Statistique Canada afin de pouvoir déchiffrer le fichier et y accéder. Avant la mise en œuvre du processus de transmission de données par voie électronique, les fichiers de données de Statistique Canada étaient envoyés au ministère sous forme de disque compact (CD) chiffré.

Aux fins du partage des microdonnées de Statistique Canada en vertu de l'article 12 de la Loi sur la statistique, il est nécessaire de donner aux répondants un préavis du partage proposé et de leur donner le droit de refuser d'autoriser le partage des renseignements les concernant. L'examen de la documentation a révélé que cette exigence figure dans les APD et les formulaires de prescription d'enquête pour les répondants que les ministères de la C.-B. ont désignés comme d'éventuels utilisateurs des données.

L'examen des fichiers de données préparés et envoyés aux ministères a confirmé qu'ils se rapportaient aux périodes de référence des APD et contenaient des réponses aux enquêtes provenant uniquement des répondants de la C.-B. Pour les enquêtes, un registre de la « liste des refus » des répondants aux enquêtes a révélé qu'aucun répondant n'a refusé de partager ses renseignements.

Il existe aux ministères de la C.-B. des contrôles efficaces de la réception, du stockage et du partage des données de Statistique Canada

Une revue générale des processus et procédures de réception, de stockage et de transmission des fichiers de données de Statistique Canada a été effectuée. Les données sont stockées sur des CD chiffrés et elles sont enregistrées dans un répertoire électronique. Il a été observé que les CD chiffrés étaient rangés dans un classeur verrouillé dans le bureau du directeur. Un examen du répertoire dans lequel les fichiers de données de Statistique Canada sont stockés a révélé que l'administrateur de données a reçu et déchiffré les données dans un dossier sur le lecteur réseau du ministère et que l'accès est sécurisé davantage au moyen de groupes de sécurité Microsoft. Les tests ont confirmé que le groupe de sécurité était limité aux personnes qui se sont vu accorder l'accès par l'administrateur de données.

Les ministères de la C.-B. peuvent partager les renseignements confidentiels de Statistique Canada avec de tierces parties et peuvent publier des agrégats statistiques pourvu que l'information ne permette pas d'identifier directement ou indirectement une personne, une entreprise, une organisation ou un produit et qu'ils consultent Statistique Canada au préalable. Les interviews ont révélé que les ministères n'ont partagé aucune des données reçues de Statistique Canada avec des chercheurs ou des instituts ou organismes de recherche universitaire ou provinciaux ou territoriaux, et qu'ils diffusent des agrégats statistiques à l'interne, mais seulement à un niveau très élevé, sans jamais utiliser les données de Statistique Canada. Par conséquent, les ministères n'ont pas eu à consulter Statistique Canada avant de diffuser des agrégats statistiques.

L'administrateur de données ne s'acquitte pas de toutes les responsabilités prescrites dans les APD, et le rôle d'administrateur de données n'est pas séparé de celui des utilisateurs de données

L'annexe C des APD précise que l'administrateur de données doit satisfaire à trois exigences clés :

  • Préparer un document sur la confidentialité et veiller à ce que toutes les personnes qui auront accès aux données de Statistique Canada le signent;
  • Tenir un registre des fichiers de données reçus de Statistique Canada;
  • Tenir un registre des accès aux fichiers de données pour toutes les personnes autorisées à accéder aux fichiers de données de Statistique Canada.

En février 2016, Statistique Canada a donné une séance d'information aux deux ministères sur les APD récemment signés et sur les responsabilités de l'administrateur de données.

L'audit a révélé que des employés bénéficiant de privilèges d'accès aux fichiers de Statistique Canada aux ministères de la C.-B. n'avaient pas signé le document sur la confidentialité. De plus, les ministères n'avaient pas tenu de registre des fichiers de données reçus de Statistique Canada et de registre des accès aux fichiers de données. Enfin, le rôle d'administrateur de données est confié aux membres d'une équipe fonctionnelle qui ont accès aux données et qui les utilisent.

Les modèles types des documents sur la confidentialité ou des registres de fichiers de données ne sont pas remis aux partenaires du partage de données, et l'APD ne contient pas de lignes directrices sur la façon d'assurer la séparation du rôle d'administrateur de données.

Recommandations:

Il est recommandé que le statisticien en chef adjoint du Secteur de la statistique économique s'assure de ce qui suit:

  • Communiquer avec les ministères de la C.-B. et s'assurer que les administrateurs de données des ministères de la C.-B. s'acquittent efficacement des responsabilités qui leur sont confiées.

Il est recommandé que le statisticien en chef adjoint du Secteur des études analytiques, de la méthodologie et de l'infrastructure statistique s'assure de ce qui suit :

  • Une approche normalisée visant à informer les partenaires du partage de données et à les aider à s'acquitter des responsabilités de l'administrateur de données est mise en œuvre;
  • Des lignes directrices sur la séparation du rôle d'administrateur de données de celui des utilisateurs de données sont mises à la disposition des partenaires du partage de données.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

Le directeur général de la Direction de la statistique de l'agriculture, de l'énergie, de l'environnement et des transports préparera une lettre adressée aux ministères de la C.-B. pour demander que les responsabilités de l'administrateur de données en matière de gérance des données soient exécutées de manière efficace, et demandera une confirmation écrite de l'exécution.

Produits livrables et échéancier : Une conversation téléphonique suivie d'une lettre de la part du directeur général de la Direction de la statistique de l'agriculture, de l'énergie, de l'environnement et des transports d'ici le 31 mars 2017.

La DGI mettra en œuvre une approche normalisée visant à informer et à appuyer les administrateurs de données et fournira des lignes directrices cohérentes sur leurs rôles et leurs responsabilités par l'entremise d'un portail pour les organisations destinataires. Ce portail :

  • permettra aux organisations destinataires d'obtenir des renseignements à jour sur les obligations qui leur incombent lorsqu'elles reçoivent des renseignements confidentiels;
  • servira d'outil de communication entre Statistique Canada et les organisations destinataires;
  • servira de dépôt de documents tels que le registre des fichiers de données reçus de Statistique Canada, le registre des accès aux fichiers de données de tous les utilisateurs, et les documents sur la confidentialité.

Produits livrables et échéancier : La mise en œuvre sera terminée d'ici le 30 septembre 2018.

Contrôles de la sécurité matérielle et de la sécurité des technologies de l'information

L'accès physique aux bureaux des ministères de la C.-B. est sécurisé au moyen d'un système de carte d'accès mis à jour régulièrement.

L'utilisation de dossiers à accès restreint fait en sorte que l'accès aux données de Statistique Canada soit limité aux employés qui doivent utiliser les données. Les politiques sur la sécurité de l'information du gouvernement de la C.-B. sont en place et comprises par les employés traitant les données de Statistique Canada.

Les renseignements, que ce soit sur papier ou sous forme électronique, doivent être contrôlés et protégés contre la perte, le vol, la compromission et la divulgation inappropriée. L'accès aux données doit être accordé uniquement à des employés ou à des sous-traitants, selon les besoins, en vue de la production d'un produit ou d'un service lié à une enquête au seul profit des ministères et dans l'exercice de leur mandat.

L'accès physique aux bureaux des ministères de la C.-B. est limité

Les bureaux des ministères sont situés au centre-ville de Victoria, dans un complexe immobilier qui est également occupé par d'autres ministères du gouvernement de la C.-B. Une inspection matérielle des lieux a révélé que les bureaux sont sécurisés et utilisent un système de cartes d'accès. Les employés doivent balayer leur carte d'accès pour entrer aux étages sécurisés. Les cartes d'accès des employés qui partent sont désactivées. Les visiteurs doivent se présenter à la sécurité, signer un registre d'entrée et de sortie et être escortés en tout temps par une personne autorisée. Aucun laissez-passer ou carte d'accès n'est remis aux visiteurs.

L'accès aux données de Statistique Canada est limité, et des politiques sur la sécurité de l'information sont en place

Les interviews, l'examen des documents et les tests ont confirmé que des contrôles d'accès logiques sont en place aux ministères, conformément aux exigences des APD relatives à la sécurité. L'accès aux ordinateurs du réseau nécessite l'utilisation d'un mot de passe, et les permissions d'accès figurent dans le profil d'utilisateur de chaque employé. Seuls l'administrateur de données et un autre utilisateur ont accès aux données en lecture et en écriture.

Seuls les employés qui se sont vu accorder l'accès aux données de Statistique Canada peuvent accéder au dossier à accès restreint dans lequel les données de Statistique Canada sont stockées. L'accès aux données de Statistique Canada est mis à jour chaque fois qu'un employé est embauché, muté à une autre section, quitte l'organisation ou prend sa retraite. Cependant, comme il a été mentionné précédemment, bien que l'accès aux données soit sécurisé, aucun registre des personnes à qui l'accès a été accordé n'est tenu.

Il existe aux ministères plusieurs instruments de politique sur la sécurité auxquels les employés doivent adhérer et qu'ils peuvent consulter, dont la Politique sur la sécurité de l'information du gouvernement de la C.-B., la Politique sur le télétravail, la Politique relative aux normes de sécurité en matière de GI-TI et le Guide de sécurité 101 sur les principes de base de la sécurité de l'information au gouvernement de la Colombie-Britannique.

L'examen des documents a révélé que leurs politiques sur la sécurité interdisent la transmission de données par télécopieur ou par courriel, ainsi que le stockage de données sur des dispositifs transportables (CD, clé USB, disque dur, ordinateur portable). Les données ne doivent pas quitter les locaux ni être copiées. Les employés doivent s'assurer que les renseignements confidentiels sont placés dans des bacs verrouillés de documents à déchiqueter, dont le contenu est géré par une entreprise privée de déchiquetage. Les éléments probants des interviews ont confirmé que les employés traitant les données de Statistique Canada comprenaient ces exigences en matière de sécurité de l'information.

Annexes

Annexe A : Critères de l'audit

Critères de l'audit
Sommaire du tableau
Le tableau montre les résultats de Critères de l'audit. Les données sont présentées selon Objectif du contrôle / contrôles de base / critères (titres de rangée) et Sous-critères et Instruments de politique (figurant comme en-tête de colonne).
Objectif du contrôle / contrôles de base / critères Sous-critères Instruments de politique
Objectif 1 : Il y a un cadre de contrôle de gestion efficace en place pour régir le partage d'information entre Statistique Canada et le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B.

1.1 Les pouvoirs, responsabilités et obligations redditionnelles sont définis et communiqués, et la séparation des tâches est établie de manière appropriée.

(AC-1 et 4)

1.1.1 Les responsabilités sont officiellement définies et clairement communiquées.

1.1.2 Les pouvoirs sont délégués de façon officielle, et les pouvoirs délégués cadrent avec les responsabilités des intéressés. Le cas échéant, les fonctions incompatibles ne sont pas combinées.
Des exigences législatives et réglementaires du Conseil du Trésor (CT) et des politiques et procédures de Statistique Canada s'appliquent, notamment les suivantes :
  • Loi sur la statistique
  • Politique sur la diffusion officielle
  • Manuel des pratiques de sécurité
  • Politique sur la sécurité des renseignements statistiques de nature délicate
  • Politique d'évaluation des facteurs relatifs à la vie privée (EFVP)
  • Politique d'information des répondants aux enquêtes
  • Politique sur la diffusion des microdonnées
  • Politique sur la révélation discrétionnaire et lignes directrices connexes
  • CT Politique sur la sécurité du gouvernement
  • CT Norme opérationnelle sur la sécurité matérielle
  • CT Directive sur la gestion de la sécurité ministérielle
  • Tous les niveaux de direction/personnel du Programme de la statistique de l'énergie de la DSEET, de la Section de la diffusion du CPSE, et de la DGI
  • Documents internes liés à la gestion des APD
  • Accords de partage de données
1.2 Statistique Canada et le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la C.-B. ont établi un cadre approprié de gestion des exigences énoncées dans les APD.

(G-1 et 2)
1.2.1 Des processus sont en place aux fins du respect des exigences énoncées dans les APD.

1.2.2 Les processus sont compris et suivis.

1.2.3 Le respect des processus est surveillé.
1.3 L'équipe de direction du ministère de l'Énergie et des Mines de la C.-B. et du ministère du Développement du gaz naturel de la C.-B définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques et sa capacité à satisfaire aux exigences des APD.

(RM-2, 3 et 4)
1.3.1 Les risques sont cernés.

1.3.2 Il existe des processus et des lignes directrices officiels afin d'évaluer l'efficacité des contrôles en place pour gérer les risques repérés.

1.3.3 L'équipe de direction surveille l'exposition aux risques et prend des mesures pour atténuer les risques.
1.4 L'équipe de direction du ministère de l'Énergie et des Mines de la C.-B. et du ministère du Développement du gaz naturel de la C.-B surveille le rendement réel par rapport aux résultats escomptés et modifie son plan d'action, selon les besoins, pour mieux répondre aux exigences énoncées dans les APD.

(RP-3)
1.4.2 La responsabilité en matière de surveillance est claire et communiquée, et les résultats sont transmis aux niveaux d'autorisation requis.

1.4.3 Une surveillance active est manifeste.
Objectif 2 : Les conditions des accords de partage de données entre Statistique Canada et le ministère de l'Énergie et des Mines de la C.-B. et le ministère du Développement du gaz naturel de la Colombie-Britannique sont respectées.
2.1 Des processus sont en place afin de veiller à ce que les données partagées en vertu des APD soient protégées au ministère de l'Énergie et des Mines de la C.-B. et au ministère du Développement du gaz naturel de la C.-B.

(ST-9)
2.1.1 L'accès aux données est limité aux personnes autorisées et est dûment sécurisé conformément aux APD.

2.1.2 L'accès est assujetti à des restrictions matérielles.

2.1.3 Il existe des procédures pour protéger les données partagées en cas de résiliation d'un accord.

2.1.4 Il existe des procédures pour prévenir l'utilisation abusive ou frauduleuse des données.
  • CT Politique sur la sécurité du gouvernement
  • CT Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI)
  • Manuel des pratiques de sécurité de Statistique Canada
  • Politique sur la sécurité des renseignements statistiques de nature délicate de Statistique Canada
2.2 Il existe des contrôles appropriés des applications système au ministère de l'Énergie et des Mines de la C.-B. et au ministère du Développement du gaz naturel de la C.-B.

(ST-11)
2.2.1 Il existe des contrôles d'accès logiques pour veiller à ce que seuls des utilisateurs autorisés aient accès aux systèmes et aux données (p. ex., le système exige un nom d'utilisateur et un mot de passe uniques pour ouvrir une session).

2.2.2 Il existe des mécanismes d'authentification et d'accès, et des procédures visant à en assurer l'efficacité sont appliquées.

Annexe B : Acronymes

Acronymes
Acronyme Description
APD Accords de partage de données
C.-B. Colombie-Britannique
CD Disque compact
CPSE Centre des projets spéciaux sur les entreprises
CT Conseil du Trésor
DGI Division de la gestion de l'information
DS Divisions spécialisées
DSEET Division de la statistique de l'environnement, de l'énergie et des transports
IIA Institute of Internal Auditors
STEF Service de transfert électronique de fichiers
TI Technologie de l'information