Principales constatations

Compte tenu des risques inhérents liés à l'avènement de SPC, un cadre de gouvernance a été établi par Statistique Canada pour superviser les rapports avec SPC, y compris les mécanismes de mesures de suivi progressives. Même si ce cadre de gouvernance est en place et fonctionne bien, il n'est pas documenté officiellement pour que les rôles et responsabilités des deux entités soient compris. À l'intérieur de Statistique Canada, des mécanismes de gouvernance interne ont été améliorés, afin d'assurer une approche efficiente et efficace pour la détermination des enjeux et les mesures de suivi progressives.

Un cadre de gestion des risques a été établi et est mis à jour pour documenter et atténuer de façon proactive, dans la mesure du possible, les risques associés aux responsabilités de SPC quant à la gestion d'éléments clés de l'infrastructure des TI et des systèmes de télécommunications de Statistique Canada.

Même si des cadres de gouvernance et de gestion des risques sont en place pour surveiller les rapports avec SPC, au fur et à mesure que ces rapports évoluent, des processus internes doivent être passés en revue et mis à jour, afin de tenir compte des répercussions des rapports avec SPC sur les processus clés.

Conclusion générale

Statistique Canada a adopté une approche proactive dans sa collaboration avec SPC. La structure de gouvernance, même si elle n'est pas documentée, fait en sorte que Statistique Canada est le mieux placé pour faire entendre sa voix et pour atténuer les risques associés à sa perte de contrôle concernant son infrastructure des TI et ses télécommunications. Des représentants de SPC ont souligné que l'engagement de Statistique Canada et son approche proactive en ce qui a trait à l'examen des enjeux sont considérés comme une pratique exemplaire et ont été utilisés pour des études de cas avec d'autres organismes partenaires.

Conformité aux normes professionnelles

L'examen a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport. Les constatations et les conclusions reposent sur une comparaison de la situation prévalant au moment de l'audit avec des critères d'audit préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'examen.

Patrice Prud'homme
Dirigeant principal de la vérification

Contexte

Services partagés Canada (SPC) a été créé en 2011, avec pour mandat de transformer fondamentalement la façon dont le gouvernement gère son infrastructure des technologies de l'information (TI). Conformément à son mandat, SPC fournit actuellement des services de courriel, de centre de données et de télécommunications à 43 ministères et organismes fédéraux, y compris Statistique Canada. La création de SPC a entraîné le regroupement de ressources humaines, de ressources technologiques et d'actifs de 43 ministères fédéraux. En date d'août 2011, 157 employés des TI ont été transférés de Statistique Canada à SPC, afin de fournir les services mentionnés précédemment.

Le Rapport sur les plans et priorités de SPC pour 2013-2014 souligne que cet organisme continuera de renouveler l'infrastructure des TI du gouvernement du Canada, en mettant l'accent sur l'acquisition d'une solution de courriel unique, l'amélioration de la sécurité des TI dans l'ensemble du gouvernement du Canada, et la finalisation des stratégies de regroupement des centres de données et des réseaux.

SPC a mis l'accent initialement sur la centralisation des services de courriel, des centres de données et des réseaux, ce qui a eu des répercussions particulières pour Statistique Canada. Par suite du transfert du contrôle de ces services à SPC, les risques touchant la capacité de Statistique Canada de répondre à ses besoins opérationnels et de fourniture de services, y compris le Recensement de 2016, sont plus grands. Étant donné que SPC fournit ces services à 43 ministères, Statistique Canada a eu de la difficulté à obtenir l'attention, la réceptivité et la priorité nécessaires de SPC. En outre, l'avènement de SPC a fait augmenter le risque inhérent pour Statistique Canada, en tant qu'organisation qui recueille et met à jour des données confidentielles de nature délicate concernant des personnes et des entreprises, en rapport avec la sécurité des données statistiques de nature délicate.

Compte tenu de ces risques et étant donné que deux années complètes se sont écoulées depuis l'avènement de SPC, la Division de l'audit interne de Statistique Canada a mené une mission d'examen, afin de déterminer et d'évaluer les structures de gouvernance actuellement en place pour gérer et superviser les rapports entre SPC et Statistique Canada. Cet examen a été mené pour évaluer le cadre de gouvernance, les mécanismes de gestion des risques et les activités de contrôle en place à Statistique Canada, avec comme objectif de recommander des possibilités d'amélioration, Statistique Canada tentant d'atteindre ses objectifs stratégiques dans le contexte d'une nouvelle réalité de soutien externe de l'infrastructure des TI.

Objectifs de l'examen

Les objectifs de cette mission étaient d'examiner de façon proactive le cadre de gouvernance, le programme de gestion des risques et les activités de contrôle en place relativement à la gestion des rapports entre Statistique Canada et SPC, en tant que fournisseur externe de services d'infrastructure des TI, et de soumettre des recommandations à l'examen de la direction, afin d'améliorer le cadre de contrôle de gestion actuel.

Portée

La portée de cette mission comprenait un examen :

• du cadre de gouvernance en place pour gérer les rapports avec SPC;
• du caractère suffisant et de la pertinence du programme de gestion des risques élaboré pour atténuer les risques associés à l'avènement de SPC; et
• du caractère approprié des activités de contrôle établies pour veiller à ce que les besoins de Statistique Canada soient comblés, compte tenu des changements de contrôle par rapport à l'infrastructure des TI de Statistique Canada.

La gouvernance, la gestion des risques et les activités de contrôle relatives aux rapports entre Statistique Canada et SPC ont été évaluées selon des données probantes fournies au cours de la période de janvier à avril 2014.

Approche et méthodologie

La mission d'examen comprenait la compréhension des principaux risques associés au transfert de services à SPC et les cadres de contrôle de gouvernance existants, les approches de gestion des risques et les activités de contrôle qui ont été conçues et mis en œuvre pour atténuer les risques déterminés associés à SPC. À cette fin, on a effectué un examen et une analyse exhaustifs de la documentation pertinente, y compris les lignes directrices pertinentes, la gestion des risques et les rapports de rendement, les organigrammes, etc., et on a tenu des entrevues avec les gestionnaires et les employés clés des TI, du programme du recensement, d'autres intervenants de Statistique Canada et, au besoin, des personnes-ressources clés à SPC.

Cet examen a été mené conformément aux Normes relatives de vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Pouvoirs

Cette mission a été menée en vertu des pouvoirs prévus dans le Plan de vérification et d'évaluation fondé sur les risques de 2013-2014 à 2017-2018, approuvé par le Comité ministériel de vérification.

Cadre de gouvernance pour superviser les rapports avec SPC

Dans les cas où le fournisseur de service est une entité externe, un cadre de gouvernance robuste est essentiel pour la gestion des rapports. Cette structure de gouvernance devrait être documentée et comporter des mécanismes appropriés pour communiquer les plans et priorités de l'organisation au fournisseur de service et disposer d'une méthode efficace pour les mesures de suivi progressives, afin d'assurer l'atteinte des objectifs opérationnels.

Des organismes de supervision efficaces ont été établis; toutefois, le cadre de gouvernance entre Statistique Canada et Services partagés Canada n'a pas été documenté officiellement

Les gestionnaires de Statistique Canada ont reconnu la nécessité de gérer les rapports avec Services partagés Canada (SPC), afin de travailler efficacement avec la nouvelle organisation et, par conséquent, un cadre de gouvernance officiel a été établi et prévoit que Statistique Canada tienne des réunions régulières avec ses homologues de SPC, afin de discuter des priorités et des exigences et de donner suite de façon proactive aux préoccupations ou aux enjeux.

Des organismes de gouvernance comportant des membres de Statistique Canada et de Services partagés Canada ont été créés à divers niveaux. La structure actuelle prévoit des réunions entre Statistique Canada et Services partagés Canada à plusieurs niveaux. Au niveau des cadres supérieurs, les sous-ministres adjoints des deux entités tiennent des réunions régulières, et les sous-ministres se rencontrent au besoin, pour discuter de l'environnement de risque et des éléments importants des relations entre les deux organismes, y compris les projets critiques et les questions administratives. Le directeur général (DG) du Portefeuille de l'industrie de SPC et le dirigeant principal de l'information (DPI) de Statistique Canada tiennent des réunions mensuelles pour examiner les projets en cours et les enjeux et, au niveau des directeurs, des réunions se tiennent chaque semaine entre le directeur des Technologies de l'information de Statistique Canada et le directeur, Réseau et sécurité, de SPC, ainsi que le directeur de la section des Relations avec les clients (SPC) pour examiner les questions opérationnelles courantes.

Au niveau de travail, Statistique Canada a créé un poste de liaison, pour coordonner et gérer les interactions avec SPC. Un directeur adjoint de la Division des opérations des technologies de l'information a été désigné comme agent de liaison pour Statistique Canada, en avril 2013. Dans ce contexte, il participe aux réunions au niveau opérationnel entre Statistique Canada et SPC et collabore directement avec le gestionnaire des relations avec SPC pour établir la priorité des besoins et résoudre les problèmes, au fur et à mesure qu'ils se posent, ainsi que pour agir comme point de contact unique pour la communication des besoins et des problèmes à SPC.

En outre, pour les projets à grande échelle comme le recensement, des structures de gouvernance au niveau du projet ont été établies. Des équipes de projet intégrées, qui sont constituées d'employés de Statistique Canada et de SPC, rendent compte à un comité de gestion/directeur mixte des progrès et des enjeux liés aux projets. Les préoccupations permanentes sont aussi communiquées à l'agent de liaison de Statistique Canada, en vue d'être résolues dans le cadre de gouvernance plus large de Statistique Canada/Services partagés Canada.

En ce qui a trait aux télécommunications, un processus de gouvernance distinct a été établi. Le directeur de la Division des services de soutien intégrés (DSSI) de Statistique Canada et le chef des Télécommunications de Statistique Canada discutent des questions opérationnelles courantes avec le directeur de la Téléphonie de SPC. De façon plus particulière, le directeur des Services de soutien intégrés de Statistique Canada assure la liaison régulière (bihebdomadaire) avec l'équipe de la téléphonie de SPC, en vue de résoudre les problèmes opérationnels qui se posent. Si des problèmes nécessitent des mesures de suivi progressives, le directeur de la DSSI les abordera dans le cadre des réunions opérationnelles de SPC et de Statistique Canada. Au besoin, la même structure de gouvernance que celle établie pour l'infrastructure des TI sera appliquée aux mesures de suivi progressives additionnelles.

L'examen a permis de noter que certains problèmes se sont posés avec le mécanisme de gouvernance des télécommunications; toutefois, par suite des changements apportés à la représentation de SPC, ce mécanisme semble mieux fonctionner, et les représentants de Statistique Canada croient que les réponses qu'ils ont reçues tiennent compte de l'environnement d'exploitation de Statistique Canada. Pour accroître la visibilité des besoins et des problèmes de télécommunications, la structure de gouvernance en place pour l'infrastructure des TI a été élargie, afin d'inclure les problèmes de téléphonie, et le directeur des Services de soutien intégrés est invité aux réunions opérationnelles hebdomadaires, depuis janvier 2014, en vue de souligner les problèmes de téléphonie ou d'y appliquer des mesures de suivi progressives.

Même si des cadres de gouvernance sont en place pour les TI et la Téléphonie entre Statistique Canada et Services partagés Canada, ils ne sont pas documentés officiellement, et les rôles et responsabilités, protocoles s'appliquant aux mesures de suivi progressives et pouvoirs de prise de décisions n'ont pas été établis formellement entre les deux entités. Par conséquent, il s'est produit des cas où les modifications à l'environnement des TI n'avaient pas reçu une autorisation appropriée et ont nécessité une intervention et un règlement subséquents. En l'absence de documentation officielle, il existe un risque accru que des décisions soient prises relativement aux activités de SPC, sans être autorisées de façon appropriée et sans correspondre aux priorités de l'organisation.

Recours à la structure de gouvernance interne de Statistique Canada pour communiquer les problèmes à SPC et y donner suite

Afin de gérer les relations avec SPC et de répondre à ses besoins et ses attentes, Statistique Canada a amélioré sa structure de comités internes et son processus de mesures de suivi progressives, relativement aux problèmes avec SPC. L'examen a souligné qu'au niveau des cadres supérieurs, le statisticien en chef adjoint (SCA) des Services intégrés peut soumettre les problèmes relatifs à SPC au Conseil exécutif de gestion à Statistique Canada, afin qu'ils soient résolus rapidement.

Parmi les autres comités internes de Statistique Canada qui servent à résoudre les problèmes et à gérer les rapports avec SPC figurent les suivants :

• Gestionnaires des technologies de l'information de secteur (GTIS) – Les problèmes relatifs aux technologies de l'information et à SPC sont déterminés et abordés dans le cadre des réunions des GTIS. L'agent de liaison de Statistique Canada participe à ces réunions, qui comprennent des points inscrits au registre des problèmes qui doivent être abordés avec SPC dans le cadre des réunions régulières. Ces réunions aident à faire en sorte que les problèmes déterminés soient résolus et que les solutions soient documentées.
• Comité de l'informatique – Ce comité examine les répercussions des changements effectués par SPC sur les activités de Statistique Canada. Si un problème d'infrastructure survient, un rapport d'incident est produit avec des recommandations; ce rapport est soumis au Comité de l'informatique ou au Comité de coordination de la sécurité pour un contrôle.
• Comité de l'Architecture opérationnelle du Bureau (AOB) – Ce comité est représenté par la plupart des DG de Statistique Canada et examine les projets de transformation clés. S'il y a des problèmes avec SPC, ils sont soumis au niveau du SCA, afin de s'assurer qu'ils sont portés à l'attention de SPC.

Par ailleurs, un Comité de contrôle de l'infrastructure a été établi, afin d'établir la priorité des demandes à court terme liées à l'infrastructure et devant être traitées par SPC et de les approuver. Même s'il est supervisé par l'agent de liaison de Statistique Canada, ce comité n'a pas de mandat, ni de pouvoirs délégués officiels pour prendre des décisions.

Des comités de gouvernance internes de Statistique Canada ont adopté des processus, afin de faire en sorte que les problèmes relatifs aux TI et aux télécommunications avec SPC soient consignés, résolus et contrôlés.

Considérations pour la direction:

Il est du ressort de la direction de déterminer le caractère approprié des activités de contrôle et de mettre en œuvre des mesures correctives si cela est jugé nécessaire. Les considérations possibles figurant ci‑après ne devraient pas être perçues comme des recommandations officielles, mais elles devraient faciliter les discussions en ce qui a trait à l'adoption d'activités de contrôle interne qui rendent compte des nouvelles réalités des TI et des télécommunications.

• Le cadre de gouvernance entre Statistique Canada et SPC devrait être documenté officiellement. À long terme, cela devrait être officialisé dans un protocole d'entente (PE) global ou dans une entente sur les niveaux de service (ENS). En l'absence de ces mécanismes améliorés de collaboration, Statistique Canada devrait documenter le cadre de gouvernance et les niveaux connexes de pouvoirs pour la prise de décisions, afin que la gouvernance, les mesures de suivi progressives et les pouvoirs de prise de décisions relatifs à l'infrastructure des TI et aux télécommunications soient communiqués et compris par les intervenants de Statistique Canada.

Gestion des risques

Un cadre de gestion des risques efficace comprend des pratiques officielles et institutionnalisées de gestion des risques, qui permettent à la direction d'évaluer, d'atténuer et de contrôler les environnements de risque internes et externes.

Le cadre de gestion des risques en place sert à atténuer de façon proactive les risques associés à SPC comme fournisseur externe de services

Statistique Canada a reconnu qu'il existe un risque accru pour l'exécution réussie des programmes, compte tenu de la responsabilité et du contrôle de Services partagés Canada relativement à l'infrastructure des TI et au système de télécommunications de Statistique Canada, ainsi que de la dépendance de l'organisation à l'égard de ces éléments. Au niveau le plus élevé de Statistique Canada, les risques associés aux relations avec SPC figurent dans le Profil de risques organisationnels existant (2012-2014). Ces risques sont plus précisément pris en compte dans le risque no 2 – Perte de réputation et de la confiance du public. Ce risque intégré fait ressortir la menace potentielle accrue de violation de l'infrastructure informatique de Statistique Canada, par suite de la création de SPC. Des plans d'action d'atténuation de niveau élevé ont été déterminés, y compris : l'établissement d'entente sur les niveaux de service (ENS) avec SPC, la coordination avec le carnet de route de l'infrastructure des TI de SPC, afin de veiller à ce que les besoins et les priorités de Statistique Canada soient pris en compte, et le contrôle de l'infrastructure informatique, grâce à des examens de qualité, des évaluations et des plans de continuité des activités.

Au cours de l'examen, d'autres activités de gestion des risques ont été déterminées relativement à la gestion des rapports entre SPC et Statistique Canada. Ces activités comprennent les suivantes :

• Chaque programme élabore et maintient un registre des risques qui fait partie de l'exercice de planification de risques organisationnels. Le registre des risques de la Direction de l'informatique pour 2013 a fait ressortir que SPC représentait un risque, et plus particulièrement S10 – Interdépendance externe. Des stratégies d'atténuation et des plans d'action particuliers comprennent l'établissement d'un plan de projet SPC-Statistique Canada, afin de gérer le programme de changements à l'échelle du gouvernement (relativement à l'infrastructure des TI) et de faire en sorte que SPC comprenne les priorités de Statistique Canada et les intègre dans les initiatives à l'échelle du gouvernement.
• Les Services de soutien intégrés produisent un registre des risques, dans le cadre de l'exercice de planification des risques. Étant donné que la propriété des services téléphoniques est passée à SPC, les risques externes ont des répercussions sur le programme des Services de soutien intégrés. Le registre des risques pour 2013 désigne les dépendances externes comme un risque moyen. Toutefois, la seule stratégie d'atténuation précisée pour résoudre les risques associés à SPC est « de mettre en place une ENS de contrat d'entretien de logiciel avec les TI et les personnes-ressources de SPC ».
• Les risques relatifs au projet qui font intervenir SPC sont documentés et font l'objet de mesures de suivi progressives, dans le cadre de la gouvernance globale du projet. Par exemple, en raison de sa taille et de sa complexité, le projet du recensement comporte son propre registre de risques, dans lequel les risques associés à la dépendance à SPC ont été déterminés. Parmi les autres exemples de risques particuliers propres à un projet figure le Projet d'optimisation des locaux – Milieu de travail 2.0. Les comptes rendus de réunion de l'équipe de projet ont confirmé que les risques et les enjeux (y compris ceux relatifs au rôle de SPC) sont examinés et documentés et font l'objet de mesures de suivi progressives au besoin.
• Les comptes rendus des réunions du comité des GTIS montrent que les risques associés à l'infrastructure des TI de SPC/Statistique Canada sont mentionnés à l'agent de liaison de Statistique Canada, en vue de leur inclusion dans le registre des problèmes, pour leur examen avec SPC et pour des mesures de suivi progressives au besoin à Statistique Canada.

Tous les problèmes et risques opérationnels courants doivent être communiqués à l'agent de liaison de Statistique Canada. Il s'agit notamment des problèmes liés au projet, à moins que le projet n'ait son propre gestionnaire de projet de SPC (p. ex., le recensement). Toutefois, si un projet a été attribué à un gestionnaire de projet particulier de SPC, il existe un mécanisme à l'intérieur de SPC pour que le gestionnaire des rapports demeure au courant de la situation du projet et des points de discussion avec Statistique Canada, dans le cadre des réunions régulières, au besoin. Pour ce qui est des télécommunications, même s'il existe un point de contact distinct pour les discussions et la résolution des problèmes sur une base quotidienne, la question doit être soumise à l'attention de l'agent de liaison de Statistique Canada, pour le cas où des mesures de suivi progressives seraient nécessaires.

Un point de contact unique pour la documentation, la communication et les mesures de suivi progressives des problèmes relatifs aux rapports avec SPC (c.‑à‑d. l'agent de liaison de Statistique Canada) représente une bonne pratique, qui fait en sorte que la structure de gouvernance existante et que l'approche de gestion des risques fonctionnent comme prévu. L'agent de liaison, de concert avec les programmes, détermine quand et si des mesures de suivi progressives sont nécessaires pour un problème. Cela permet d'avoir une approche uniforme en ce qui a trait aux mesures de suivi progressives.

Activités de contrôle

Dans un environnement de contrôle interne approprié, les activités de contrôle devraient être intégrées dans les pratiques opérationnelles, afin de gérer les risques associés aux services fournis par les parties externes, pour s'assurer que l'organisation puisse atteindre ses objectifs stratégiques et opérationnels.

Certains processus internes clés n'ont pas été adaptés pour tenir compte de l'avènement d'un fournisseur externe de service.

Par suite de l'avènement de SPC et de sa responsabilité à l'égard de l'infrastructure des TI et des systèmes de télécommunications en place à Statistique Canada, des processus opérationnels internes ont été touchés et doivent être mis à jour, afin d'inclure la nécessité de tenir compte des processus et des priorités de SPC. L'examen a permis de déterminer les processus suivants dont la révision devrait être envisagée, afin de veiller à ce que l'organisation tienne compte des responsabilités et des pouvoirs transférés à SPC.

Planification à long terme :

Le Processus intégré de planification stratégique (PIPS) est un processus annuel en six étapes, qui commence par un examen des priorités de planification stratégique et se conclut par l'affectation de ressources aux projets approuvés. Généralement, les projets qui découlent de ce processus sont des projets de transformation et comprennent une composante des TI. À l'intérieur de cette composante des TI, des répercussions sur l'infrastructure des TI ou les télécommunications sont probables (p. ex., capacité du serveur) et, par conséquent, ces projets nécessitent la participation de SPC.

Le PIPS n'intègre actuellement pas de mécanisme pour mettre en commun le plan à long terme et les décisions d'investissement avec SPC, en vue de tenir compte des répercussions, de s'aligner sur les priorités du gouvernement du Canada et de prendre en compte des horizons réalistes, compte tenu des initiatives du gouvernement du Canada et des autres ministères gouvernementaux, ainsi que des ressources limitées de SPC. Même si les gestionnaires de Statistique Canada ont noté qu'ils ont fourni aux cadres supérieurs de SPC le plan intégré de Statistique Canada, les représentants du système de gestion des relations avec les clients (GRC) de SPC ont indiqué qu'ils n'ont pas une bonne idée du plan à long terme de Statistique Canada, ce qui limite leur capacité de tenir compte des exigences de Statistique Canada dans leur processus de planification à long terme. Cela augmente le risque que les plans d'investissement, les décisions d'affectation de ressources et les calendriers établis de Statistique Canada pour les projets nécessitant une infrastructure des TI ne soient pas alignées sur les plans et priorités de SPC, ce qui pourrait avoir des répercussions sur la capacité de SPC d'appuyer l'initiative ou de respecter les échéances de projet.

Gestion de projet :

Le Cadre de gestion des projets de l'organisme (CGPO) sert de guide pour la gestion des projets à Statistique Canada et prend la forme d'un ensemble de processus de gestion de projet, de modèles et d'outils normalisés devant être utilisés tout au long du cycle de vie d'un projet, en vue de lancer, de planifier, d'exécuter, de contrôler et de clore un projet. Tous les projets d'une valeur supérieure à 150 000 $ doivent s'aligner sur le CGPO. Tout comme pour le PIPS, la majorité des projets qui suivent ce processus ont une composante des TI et font intervenir un élément de l'infrastructure des TI ou des télécommunications.

À l'heure actuelle, par suite des discussions avec les représentants de la GRC de SPC, ce cadre n'intègre pas le processus de points de contrôle en place avec SPC et n'en tient pas compte. De façon plus particulière, afin que SPC appuie un projet (sous réserve qu'il comporte une infrastructure des TI ou une composante des télécommunications), les données devraient être communiquées le plus tôt possible à SPC, afin de pouvoir être soumises au Comité d'exécution de projet de SPC pour approbation.

SPC a élaboré des modèles devant être utilisés par ses ministères clients pour communiquer leurs besoins, qui continuent d'évoluer et qui font l'objet de changements. Lorsque Statistique Canada avait le contrôle de sa propre infrastructure des TI, il pouvait définir la solution d'infrastructure des TI. Toutefois, SPC s'attend à ce que les clients se limitent à soumettre leurs exigences opérationnelles et à déterminer la solution optimale. Ce changement de processus a eu des répercussions sur le programme du recensement, dont les représentants ont fourni à SPC de la documentation des TI fondée sur ce qu'ils ont utilisé pour le recensement précédent. SPC n'a pas accepté cela et a demandé qu'ils élaborent leurs exigences opérationnelles (conformément aux autres demandes) et que SPC détermine la solution, ce qui entraîne des retards dans le processus.

Si on n'aligne pas le processus existant de gestion de projet/points de contrôle (y compris les outils et les modèles) à Statistique Canada sur le processus de points de contrôle de SPC, on peut s'attendre à ce que des retards se produisent et à ce que des projets mis en veilleuse pendant que SPC soumet la composante des TI des projets à son propre processus d'approbation.

Évaluation des besoins d'infrastructure à court terme :

Conformément à la communication des besoins de planification à long terme de Statistique Canada à Services partagés Canada, SPC a demandé que soient communiqués au moment opportun les besoins d'infrastructure opérationnelle à court terme. Par conséquent, dans le contexte de la gestion opérationnelle des rapports avec SPC, des changements de processus ont été apportés, afin de veiller à ce que des exigences opérationnelles à court terme (un an) uniformes et opportunes soient communiquées à SPC. Pour l'exercice 2014-2015, l'agent de liaison de Statistique Canada a lancé un processus, grâce auquel il a demandé que les exigences opérationnelles de l'année à venir soient déterminées et documentées par tous les gestionnaires de secteur des TI dans un modèle standard. Ce modèle a été consolidé et passé en revue, afin de déterminer les chevauchements. Ce document final est communiqué à SPC à des fins d'information et de planification. Ce changement de processus et la communication des besoins d'infrastructure à court terme ont été notés comme des pratiques exemplaires par SPC.

Outre la communication des besoins à court terme, le processus de demande d'infrastructure en cours d'année (non approuvé précédemment par SPC) a aussi été modifié. Toutes les demandes courantes d'infrastructure sont lancées par l'entremise du portail de Statistique Canada (système de demande de service). Une fois la demande de service déterminée comme un besoin d'infrastructure, elle est automatiquement communiquée à l'agent de liaison de Statistique Canada. Ces demandes sont regroupées et leur priorité est établie par le Comité de contrôle nouvellement établi. Une fois la priorité établie, l'agent de liaison fournit la liste à SPC pour que des mesures soient prises. Les modalités actuelles avec SPC font qu'une demande de service est close avant qu'une nouvelle soit ouverte. Toutefois, si la demande est essentielle, elle sera envoyée à l'agent de liaison, qui la soumettra à SPC pour que des mesures immédiates soient prises. Ce changement de processus pour l'exercice 2014-2015 vient appuyer la capacité de SPC de planifier efficacement et de coordonner les besoins d'infrastructure des ministères partenaires à court terme.

Gestion des incidents/gestion des changements :

Au printemps 2014, Statistique Canada a commencé la mise en œuvre d'un cadre de gestion des incidents liés aux technologies de l'information dans le cas des problèmes relatifs à SPC. Ce cadre repose sur le cadre de 2011 et porte maintenant sur le rôle que SPC joue dans les technologies de l'information. Il vise à uniformiser l'établissement des priorités et les mesures de suivi progressives pour les incidents liés aux TI dans l'organisation, afin de rétablir le niveau de service normal le plus rapidement possible et de réduire les répercussions sur les activités opérationnelles des programmes essentiels à la mission de Statistique Canada et sur les secteurs de service clés. Ce cadre ne comprend pas de problèmes liés aux postes de travail ou à l'entretien des applications et des systèmes existants. Le cadre souligne les rôles et responsabilités de l'équipe du coordinateur des incidents, dont les membres comprennent des représentants des secteurs de programme ainsi que du personnel des TI, qui élabore des plans d'action pour résoudre les incidents. Le directeur de la DOTI est responsable d'assurer un suivi rapide des recommandations.

En ce qui a trait à la gestion des changements touchant les applications des TI, Statistique Canada utilise l'outil JIRA de suivi des changements, des enjeux et des risques. Toutefois, il a été noté pendant les entrevues que les secteurs de programme ont créé leurs propres processus pour déterminer comment et quand cet outil est utilisé ou quand le personnel des TI devrait être consulté. En ce qui a trait aux changements d'infrastructure, SPC a mis en œuvre un Conseil consultatif du changement, et des représentants de programmes de Statistique Canada ont été invités à participer, même s'il a été noté qu'il n'était pas clair si Statistique Canada avait un rôle dans la prise de décisions ou si cela était fait à des fins d'information uniquement.

Par suite de la création de SPC comme point de contact unique pour tous les besoins d'infrastructure, et compte tenu de la nature décentralisée de Statistique Canada, sans processus uniformisés de gestion des changements touchant les TI correspondant aux besoins/processus de SPC, il existe un risque accru que les décisions d'infrastructure soient prises et appliquées sans les pouvoirs appropriés et une évaluation des répercussions sur l'organisation avant la mise en œuvre.

Par ailleurs, l'examen a permis de noter que pour les télécommunications, toutes les demandes de service et tous les problèmes sont envoyés à SPC. Les entrevues ont permis de noter que les responsabilités qui demeurent à Statistique Canada en ce qui a trait aux télécommunications ne sont pas claires. Par conséquent, on ne sait pas clairement quelles demandes devraient faire l'objet d'un suivi par des représentants de Statistique Canada (p. ex., rétablissements de mot de passe pour les boîtes vocales et les téléphones cellulaires) et celles qui nécessitent d'être soumises à SPC.

Possibilités d'amélioration du service

Étant donné que l'avènement de SPC a obligé Statistique Canada à travailler avec un nouveau fournisseur de service, l'amélioration continue est un élément de rapport fructueux. On peut y arriver de différentes façons, y compris grâce à un engagement actif avec le fournisseur de service, ainsi que par la mise en commun des pratiques et des expériences au niveau interne.

Reconnaissant que SPC s'est vu attribuer un mandat important à l'échelle du gouvernement du Canada pour la transformation et que Services partagés Canada appuie 43 ministères, le DPI de Statistique Canada a joué un rôle proactif en se portant volontaire pour participer aux comités du DPI et aux groupes de travail de l'initiative du gouvernement du Canada (p. ex., transformation de réseau, évaluation de la technologie de courriel), afin de faire entendre la voix de Statistique Canada. En tant que participant, le DPI est au fait des décisions qui sont prises à l'égard de ces initiatives et peut déterminer les répercussions possibles sur Statistique Canada.

Même si la structure de gouvernance de Statistique Canada comporte plusieurs points de contact avec des représentants de SPC sur une base permanente, il existe des possibilités d'améliorer les structures de gouvernance actuelles, en prenant connaissance de façon périodique des leçons apprises ou des pratiques exemplaires pour la gestion des relations entre Statistique Canada et SPC, afin que les approches et les techniques qui fonctionnent bien soient connues de tous les secteurs.

Considérations pour la direction :

Il est du ressort de la direction de déterminer le caractère approprié des activités de contrôle et de mettre en œuvre des mesures correctives si cela est jugé nécessaire. Les considérations possibles figurant ci‑après ne devraient pas être perçues comme des recommandations officielles, mais elles devraient faciliter les discussions en ce qui a trait à l'adoption d'activités de contrôle interne qui rendent compte des nouvelles réalités des TI et des télécommunications.

• Le processus de planification à long terme actuel est passé en revue, afin d'intégrer la prise en compte des répercussions des projets proposés/priorités sur SPC, grâce à la communication et à l'engagement de SPC dans le processus, afin de confirmer que les priorités et les horizons s'alignent sur les attentes et la capacité de SPC.
• Le CGPO de Statistique Canada est passé en revue et révisé, afin que le processus de points de contrôle existant s'aligne sur celui de SPC, lorsque le projet comporte une composante d'infrastructure des TI. Il s'agit notamment de la détermination précoce d'une composante d'infrastructure des TI, pour que SPC participe le plus tôt possible et puisse entamer son propre processus de points de contrôle, afin de réduire les retards pour les projets de Statistique Canada. Par ailleurs, les lignes directrices de gestion de projet devraient être passées en revue, pour veiller à ce que les besoins d'information/la présentation des exigences de SPC soient pris en compte (p. ex., modèle, niveau de détail), afin d'éviter les inefficiences et les retards.
• Les processus officiels de gestion des changements des TI à l'échelle de Statistique Canada (y compris la répartition des rôles et responsabilités entre SPC et Statistique Canada) sont définis et mis en œuvre en fonction des processus et des définitions en place à SPC.
• Le cadre de gouvernance existant intègre un processus officiel, afin de solliciter périodiquement les leçons apprises/pratiques exemplaires à Statistique Canada et à SPC, pour la collaboration et le partage de cette information, afin d'encourager une amélioration continue des rapports.

Contexte

Les Centres de données de recherche (CDR) font partie d'une initiative de Statistique Canada, du Conseil de recherches en sciences humaines (CRSH), des Instituts de recherche en santé du Canada (IRSC) et de consortiums d'universités, dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CRSH est un organisme fédéral autonome qui appuie la recherche et la formation en milieu universitaire dans les sciences humaines et qui en fait la promotion. Les IRSC sont le principal organisme fédéral chargé du financement de la recherche en santé au Canada.

La Division de l'accès aux microdonnées (DAM) offre un accès restreint à des microdonnées confidentielles par l'entremise de CDR établis dans des universités partout au pays et du CDR fédéral à Ottawa. Elle est aussi responsable de veiller à la confidentialité des renseignements fournis par les Canadiens. À l'heure actuelle, on compte 27 CDR : 26 se trouvent dans un environnement sécuritaire sur des campus universitaires, et un est situé dans un institut de recherche. Ces CDR fournissent aux chercheurs un accès aux microdonnées des enquêtes sur la population et les ménages, ce qui signifie qu'ils n'ont pas besoin de se rendre à Ottawa pour accéder aux microdonnées de Statistique Canada. Outre les centres situés sur les campus, le Centre fédéral de données de recherche (CFDR) à Ottawa fournit aux chercheurs des ministères stratégiques fédéraux un accès aux microdonnées. Pour l'ensemble du Programme des CDR, les pouvoirs fonctionnels sont officiellement délégués au gestionnaire / directeur du Programme des centres de données de recherche. Au niveau régional, les pouvoirs fonctionnels sont détenus par le gestionnaire régional de CDR.

Le mandat des CDR est de promouvoir et de faciliter la recherche en sciences sociales, à partir des microdonnées confidentielles de Statistique Canada, tout en protégeant la confidentialité des données, grâce à des politiques et des procédures opérationnelles et analytiques efficaces, qui créent une culture de la confidentialité. Les membres du personnel des CDR sont des employés de Statistique Canada. Les CDR fonctionnent selon les dispositions de la Loi sur la statistique, en conformité avec toutes les règles de confidentialité, et sont accessibles uniquement aux chercheurs dont les projets de recherche ont été approuvés et qui ont prêté serment en vertu de la Loi sur la statistique. Le contrôle au quotidien de l'environnement et de la sécurité physique du CDR est du ressort des analystes de CDR. Ces derniers administrent les activités des CDR et veillent à ce qu'elles soient conformes au mandat de Statistique Canada.

Le Plan de vérification et d'évaluation fondé sur les risques de Statistique Canada prévoit que la Division de l'audit interne procède à un audit d'un CDR par année. Au cours des trois dernières années, les CDR situés dans les universités suivantes ont fait l'objet d'un audit : Université de Calgary et Université de Lethbridge (2011); Université de l'Alberta (2012); et Université McMaster (2013).

Objectifs de l'audit

Les objectifs de l'audit sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université Dalhousie :

• dispose de pratiques et de mécanismes efficaces pour assurer la protection de la confidentialité des données au moment de la prestation des services; et
• se conforme aux politiques et aux normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité physique, afin d'assurer la protection de la confidentialité des données au moment de la prestation des services.

Portée

La portée de cet audit comprenait un examen détaillé des systèmes et des pratiques du CDR de l'Université Dalhousie au chapitre de la protection des données, de l'utilisation de la technologie et de la sécurité physique.

L'audit a été axé sur le contrôle de la confidentialité des produits de données par les employés de Statistique Canada sur place, le statut de personne réputée être employée et les exigences en matière d'autorisation de sécurité pour l'accès aux microdonnées, le processus de propositions de recherche des CDR, les contrats de recherche pour l'utilisation de microdonnées, la sécurité physique de l'emplacement du CDR, en conformité avec les politiques et normes pertinentes du SCT et de Statistique Canada, et la protection des TI, en conformité avec les politiques et normes pertinentes du SCT et de Statistique Canada.

Approche et méthodologie

Les travaux d'audit ont pris la forme d'un examen de documents, d'entrevues avec les gestionnaires clés de programme et le personnel de la Division de l'accès aux microdonnées (DAM), de la Division des opérations des technologies de l'information (DOTI) et de l'Université Dalhousie, ainsi que d'un examen de la conformité aux politiques et aux lignes directrices pertinentes.

Les travaux sur le terrain comprenaient un examen, une évaluation et un essai des processus et des procédures en place pour assurer la sécurité physique, de l'utilisation de la technologie et de la protection des données à l'Université Dalhousie. Un échantillon de contrats de recherche pour l'utilisation de microdonnées (terminés, en cours et en évaluation) a été examiné, afin de s'assurer qu'ils couvraient les types de contrat, les sources de données, les détenteurs de contrats multiples et les objectifs de la recherche. Une combinaison d'échantillons subjectifs et systématiques, totalisant 43 des 89 contrats ayant commencé entre 2010 et 2014, a été sélectionnée pour l'essai, représentant près de 50 % des contrats de recherche pour l'utilisation de microdonnées récents de ce CDR.

Cet audit a été mené selon les Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent le Cadre international de référence des pratiques professionnelles de l'Institute of Internal Auditors (IIA).

Pouvoirs

L'audit a été mené en vertu des pouvoirs prévus dans le Plan de vérification et d'évaluation fondé sur les risques de Statistique Canada pour 2014-2015 à 2018-2019.

Administration des contrats de recherche pour l'utilisation de microdonnées

La gestion efficace des contrats de recherche joue un rôle clé pour faire en sorte que seules des données approuvées soient utilisées par les personnes autorisées et aux fins qui correspondent aux objectifs du programme. Le personnel du programme et le personnel du CDR ont comme responsabilité conjointe de veiller à ce que les chercheurs deviennent des personnes réputées être employées ayant une autorisation de sécurité valide. Étant donné que les CDR sont situés sur les campus universitaires, une approche de collaboration est nécessaire pour la gestion des contrats, les communications permanentes et la gestion des risques, afin de protéger la confidentialité des données.

Rôles et responsabilités

Les rôles, responsabilités et obligations de reddition de comptes devraient être clairement définis et communiqués. Des moyens efficaces de communication sont aussi nécessaires pour que le personnel ait une connaissance à jour des politiques, pratiques et procédures en place.

Les rôles et responsabilités de la gestion des Contrats de recherche pour l'utilisation de microdonnées (CRM), l'accès aux microdonnées confidentielles et le contrôle de la confidentialité sont définis et communiqués aux intervenants dans les politiques, lignes directrices, normes et guides détaillés. Au niveau du programme, les pouvoirs sont officiellement délégués au gestionnaire de CDR dans le Manuel des pratiques de sécurité de Statistique Canada, selon lequel le gestionnaire de CDR :

« est chargé d'établir et de tenir à jour un relevé des renseignements administratifs sur les projets de recherche auxquels prennent part les personnes réputées être employées pour le bureau central, les bureaux régionaux et les centres de données de recherche. Ces renseignements comprennent les propositions de recherche et les autres renseignements acquis tout au long du cycle de vie du projet ainsi que l'attestation signifiant que les formalités prescrites ont été observées »

En outre, aux termes de la Politique sur la sécurité des renseignements statistiques de nature délicate, les directeurs doivent

« contrôler et protéger tous les renseignements statistiques de nature délicate que leur secteur a obtenus ou qu'il garde pour réaliser les objectifs de leur programme. Lorsque l'accès à de tels renseignements est accordé au niveau d'un centre de données de recherche ou d'une entité équivalente, cette responsabilité incombe au gestionnaire, Programme des centres de données de recherche »

Au CDR de l'Université Dalhousie, il y a un analyste de CDR à temps plein et deux adjoints à la statistique à temps partiel. L'analyste de CDR relève du gestionnaire régional, et les adjoints à la statistique, de l'analyste de CDR à temps plein. Le gestionnaire régional responsable du CDR Dalhousie est installé à l'Université de Guelph.

Les données des contrats des CDR sont compilées par la Sous-section des opérations du bureau central (SSOBC) dans la base de données centrale du Système de gestion des relations avec les clients (SGRC). Les données entrées dans le système comprennent la situation du contrat, les dates d'approbation, les noms des chercheurs, les examinateurs et les résultats de l'examen, les dates de fin de contrat et les données dont l'accès est approuvé. Les employés travaillant dans les CDR ne peuvent pas accéder à ce système et n'utilisent pas ses produits dans le contexte de leurs activités quotidiennes; toutefois, ils reçoivent des rapports périodiques produits à partir du SGRC et doivent valider l'information à partir de leurs dossiers. Les données tirées du SGRC sont utilisées par le bureau central pour gérer les dernières étapes de la réalisation d'un projet, pour assurer le suivi du renouvellement des autorisations de sécurité et pour contrôler l'expansion du programme et l'utilisation des données. Les données concernant le nombre de personnes réputées être employées et l'utilisation des ensembles de données sont aussi compilées et soumises aux divisions spécialisées. L'équipe d'audit a vérifié l'exactitude des données entrées dans le SGRC, à partir d'un échantillon de contrats. Les résultats de la vérification ont révélé un petit nombre d'erreurs d'entrée de données sans importance dans le SGRC, qui n'ont pas eu de répercussions sur les activités du CDR.

Des communiqués sont publiés dans l'extranet du CDR et fournissent au personnel du CDR des renseignements sur les politiques, processus, procédures et pratiques exemplaires nouvellement établis. Au cours des entrevues, il a été établi que le personnel du CDR de Dalhousie savait où trouver ces communiqués et était aussi en mesure de fournir des exemples de messages récents transmis grâce à ce moyen.

L'administration des contrats de recherche est appuyée par des rôles et des responsabilités qui sont bien définis et qui sont communiqués, à la fois au niveau du programme et dans le CDR. Les communiqués représentent une façon efficace d'informer le personnel des régions des changements qui touchent les politiques et les procédures.

Personnes réputées être employées

Parmi les contrôles de gestion clés qui servent à assurer la confidentialité des données dans les CDR figure le statut de personne réputée être employée, que doivent obtenir tous les chercheurs avant d'accéder au CDR. Outre qu'il doit avoir un projet approuvé, chaque chercheur doit faire l'objet d'une vérification de sécurité et doit être assermenté en vertu de la Loi sur la statistique.

Conformément à la Politique sur l'utilisation de personnes réputées être employées révisée en août 2007, les chercheurs qui souhaitent avoir accès au CDR doivent devenir des personnes réputées être employées et faire l'objet d'une vérification de la fiabilité en vertu des paragraphes 5(2) et 5(3) de la Loi sur la statistique, et ils doivent prêter un serment ou faire une affirmation solennelle en vertu du paragraphe 6(1) de la Loi sur la statistique. Ils doivent aussi signer un document confirmant qu'ils ont lu et compris le Code de valeurs et d'éthique de la fonction publique de Statistique Canada. Ces mesures doivent être prises avant que le CRM soit signé par Statistique Canada. Une fois que le chercheur a répondu à ces exigences et a participé à une séance d'orientation, il est officiellement considéré comme une personne réputée être employée de Statistique Canada.

Des vérifications ont été menées pour s'assurer que toute la documentation requise était en place et valide pour 31 chercheurs associés à 15 contrats échantillonnés. Les résultats ont révélé que des autorisations de sécurité valides et des serments ou affirmations solennelles avaient été signées par tous les chercheurs. En outre, des essais ont été menés pour s'assurer que l'attestation du chercheur ayant trait au Code de valeurs et d'éthique de la fonction publique était présente dans les dossiers. Les résultats ont révélé que, parmi les 31 chercheurs associés aux contrats échantillonnés, 24 avaient signé cette attestation, dont des copies étaient archivées. Pour les sept autres chercheurs, il n'y avait pas de copie signée d'attestation archivée, et on n'en a pas trouvé par la suite. Selon les gestionnaires du programme, les chercheurs ont été autorisés à soumettre leur attestation de la prise de connaissance du Code de valeurs et d'éthique une fois les contrats de recherche approuvés. Les formulaires de Code de valeurs et d'éthique signés confirment que les chercheurs ont pris connaissance des modalités du Programme des CDR et les acceptent. Afin de veiller à ce que les formulaires d'attestation relatifs au Code de valeurs et d'éthique soient archivés, les responsables du Programme des CDR ont récemment adopté une nouvelle approche qui prévoit que les formulaires soient inclus dans la trousse de proposition envoyée au bureau central pour évaluation. On s'attend à ce que cette pratique fasse en sorte que les documents de Code de valeurs et d'éthique soient signés par tous les chercheurs et soient archivés.

Le personnel du CDR de Dalhousie suit les procédures nécessaires pour veiller à ce que les chercheurs deviennent des personnes réputées être employées avant de recevoir une approbation pour des contrats de recherche. Des dossiers complets à l'appui de la gestion des contrats sont conservés au bureau central, mais il est possible d'améliorer les procédures de gestion des contrats, afin de veiller à ce qu'une attestation de la prise de connaissance du Code de valeurs et d'éthique soit signée par tous les chercheurs et soit archivée.

Gestion des contrats

Les CRM sont signés par le directeur de la DAM ou un gestionnaire délégué du Programme des CDR, une fois que les propositions de projet ont été évaluées et approuvées par le programme. Dans le cadre de l'audit, on a vérifié la conformité des procédures de traitement des contrats, grâce à un examen d'un échantillon de 31 contrats actifs et terminés associés au CDR de Dalhousie. L'ensemble des propositions, des descriptions de projet et des plans et programmes de cours et les CRM signés étaient archivés au bureau central. L'audit a aussi permis de déterminer que les contrats avaient été signés par les responsables compétents à Statistique Canada. Selon les procédures établies pour le Programme des CDR, un nouveau contrat ne peut pas être approuvé tant que les produits livrables des autres contrats ne sont pas complets. Les chercheurs ont 12 mois après la date d'expiration du contrat pour terminer et remettre les produits finaux (publication ou résultats). Les contrats pour lesquels le produit final n'a pas été remis sont considérés comme en défaut dans le SGRC. La DAM a mis en œuvre une liste de vérification, qui est remplie par le personnel du Programme des CDR avant l'approbation de tous les nouveaux contrats; dans le cadre de ce contrôle, on vérifie si tous les produits livrables des contrats précédents ont été soumis avant l'approbation du contrat.

La documentation archivée à l'appui des CRM a été considérée comme complète. Les contrats étaient signés par le responsable compétent et des mécanismes sont en place pour s'assurer que les nouveaux contrats sont signés uniquement avec des chercheurs qui ont des projets en bonne et due forme.

Gestion des risques

Des pratiques de gestion des risques faisant intervenir les gestionnaires de programme et le personnel du CDR dans les régions sont essentielles pour déterminer et évaluer les risques qui pourraient empêcher l'atteinte des objectifs du Programme des CDR et y donner suite.

Les entrevues avec les gestionnaires de programme et le personnel de CDR ont révélé que le gestionnaire régional, l'analyste de CDR et la DAM tiennent des discussions régulières sur les risques, et que les risques sont pris en compte dans le contexte de l'exercice annuel de registre des risques.

On a aussi recours au rapport d'inspection de la sécurité des TI et de la sécurité physique comme moyen pour déterminer et atténuer les risques qui sont propres aux CDR individuels. Des inspections sont tenues par la DSSI, avec l'aide du personnel de la DOTI. Deux inspections de la sécurité physique et deux inspections de la sécurité des TI ont été menées pour le CDR de l'Université Dalhousie, une avant l'ouverture du centre, en 2001, et à nouveau en 2011. La stratégie utilisée pour établir le calendrier des inspections de sécurité des CDR est actuellement déterminée par la DSSI. L'approche actuelle ne tient pas compte des risques déterminés par le Programme des CDR et ne les intègre pas, par exemple, les changements touchant l'environnement des TI. Les gestionnaires de la DAM ont indiqué que l'approche actuelle en ce qui a trait aux inspections de sécurité pour les CDR pourrait être améliorée et optimisée, grâce à l'intégration des données sur les risques obtenues du Programme des CDR et à l'adoption d'une approche fondée sur les risques pour les inspections des CDR, approche que les responsables du Programme des CDR proprement dit seraient mieux placés pour déterminer.

Le gestionnaire régional, l'analyste de CDR et les gestionnaires de la DAM tiennent des discussions régulières sur les risques, et ceux-ci sont pris en compte dans le contexte de l'exercice annuel de registre des risques. L'intégration des données sur les risques du Programme des CDR dans une approche d'inspection axée sur les risques améliorerait et optimiserait les activités d'inspection.

Contrôle de confidentialité

Les CDR sont des entrepôts de fichiers de microdonnées de Statistique Canada qui sont accessibles aux chercheurs dont les projets sont approuvés. Des processus et des procédures efficaces et appropriés pour le contrôle de confidentialité devraient être en place et respectés, afin de réduire de façon significative le risque de divulgation non souhaitée.

Le contrôle de confidentialité est le processus d'examen des résultats de la recherche, de la syntaxe ou de tout document confidentiel lié aux données, qui sert à évaluer le risque de divulgation non autorisée. À cette fin, on détermine s'il est possible d'identifier de façon évidente des cas individuels ou de déduire des données concernant des cas individuels à partir des produits statistiques. La responsabilité première de l'analyste de CDR en ce qui a trait au contrôle de confidentialité est de veiller à ce qu'il n'y ait pas de violation de la confidentialité lorsque les produits de recherche sortent du CDR. L'analyste devrait passer en revue tous les documents que le chercheur souhaite sortir du CDR, et la responsabilité ainsi que la décision finale de diffuser les produits sont du ressort de l'analyste. Le contrôle de confidentialité est assuré à partir de lignes directrices propres aux enquêtes, pour toutes les enquêtes dont les données sont conservées dans les CDR. Les questions ou les préoccupations concernant le processus de contrôle ou les techniques statistiques inhabituelles sont résolues par le gestionnaire régional de CDR ou avec le Comité de contrôle du CDR.

Au cours de la séance d'orientation, les chercheurs reçoivent de la formation sur le processus de contrôle de confidentialité et la documentation requise pour les demandes de contrôle. Cette documentation comprend des descriptions des variables, des chiffres pondérés et non pondérés, la syntaxe et un formulaire de demande de divulgation pour chaque produit. Une ébauche de document détaillé intitulé Règle de contrôle de la divulgation pour les produits de données d'enquête dans les CDR comprend des instructions sur la façon d'assurer un contrôle de confidentialité. Les lignes directrices sur l'analyse du risque de divulgation de divers types de données et de produits descriptifs ou tabulaires, ainsi que des matrices de la variance-covariance et de corrélation, des graphiques et des modèles, sont inclus.

Les lignes directrices et les processus de contrôle de confidentialité figurent dans le Guide à l'intention des chercheurs. Une partie importante du processus consiste pour les chercheurs à remplir le Formulaire de demande de contrôle de confidentialité, qui fournit les renseignements requis pour que l'analyste procède à la demande de contrôle et la documente. Les renseignements requis du chercheur comprennent les suivants :

• le nom du fichier de sortie, l'enquête et les cycles utilisés;
• les caractéristiques de la population analysée;
• la procédure et les poids statistiques utilisés;
• une description des variables;
• des produits pondérés et non pondérés.

Une fois le contrôle complet, le produit considéré comme non confidentiel est communiqué au chercheur.

Au CDR de Dalhousie, tout le contrôle de confidentialité est effectué par l'analyste de CDR à temps plein. Le même analyste travaille pour le Programme des CDR depuis plusieurs années et comprend les exigences de Statistique Canada au chapitre des données et de la confidentialité. Cet analyste a aussi des CRM actifs; afin d'assurer la séparation des tâches, le contrôle de confidentialité de ses produits est assuré au bureau central.

À partir d'un échantillonnage discrétionnaire (afin d'assurer l'inclusion d'une gamme variée d'ensembles de données, de chercheurs et de types de contrat), 14 contrats terminés, actifs, en défaut et retirés ont été sélectionnés pour s'assurer que le contrôle de confidentialité a lieu à Dalhousie et que la méthode utilisée est appropriée. Les résultats ont montré que, pour tous les contrats, des formulaires de contrôle de confidentialité étaient remplis et que la méthode utilisée pour chaque enquête était conforme au processus établi. La documentation de soutien nécessaire pour les documents de contrôle antérieurs, les variables utilisées, les définitions des variables dérivées, ainsi que les chiffres pondérés et non pondérés, ont été fournis. Il a été démontré que l'analyste utilisait les techniques de contrôle appropriées et appliquait efficacement les procédures de contrôle.

En outre, l'analyste a mis en œuvre une procédure pour s'assurer qu'il avait le contrôle sur le document de contrôle finalisé. Cette mesure vise à faire en sorte que l'analyste ait un dossier ne pouvant pas être modifié par un chercheur, si un nouveau contrôle devait être effectué ou si un plus grand contrôle devait être assuré.

Des processus et des procédures de contrôle de confidentialité sont en place et efficaces pour protéger la confidentialité des données. L'analyste conserve aussi une piste de vérification de tous les documents contrôlés, qui ne peut être modifiée par les chercheurs, ce qui est considéré comme une bonne pratique.

Recommandations

Il est recommandé que le statisticien en chef adjoint de la Statistique sociale, de la santé et du travail s'assure que :

• les procédures de gestion des contrats sont raffermies, afin que des attestations de la prise de connaissance du Code de valeurs et d'éthique soient signées par tous les chercheurs et soient archivées;
• des discussions sur les risques ont lieu entre le gestionnaire régional, l'analyste de CDR et les gestionnaires de la DAM et servent à éclairer et à déterminer la stratégie des inspections physique et des TI.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

• Les contrats qui ne comportaient pas de formulaires du Code de valeurs et d'éthique signés étaient principalement des contrats remontant à la période de 2009 à 2012. Un certain nombre d'améliorations au système de traitement des contrats, y compris la composante d'attestation de la prise de connaissance du Code de valeurs et d'éthique, ont été apportées depuis 2012. On a raffermi le processus pour s'assurer que tous les documents nécessaires étaient remplis et archivés/intégrés dans les contrats de recherche. Les trois améliorations suivantes ont été apportées au cours de la dernière année, afin de combler la lacune déterminée au niveau interne avant l'audit, et elles continueront d'être appliquées, afin de résoudre cette situation :
  • On a mis en place des procédures pour l'envoi des documents au bureau central, qui sont énoncées dans le communiqué 2013-05. Les contrats ne seront pas traités par le bureau central tant que toute la documentation n'aura pas été reçue (depuis octobre 2013).
  • On a mis en œuvre l'utilisation d'une liste de vérification lorsque le Contrat de recherche pour l'utilisation de microdonnées (CRM) est signé par le directeur ou son remplaçant. La liste de vérification indique que le personnel du bureau central a reçu et traité tous les documents. Cette liste de vérification doit être remplie avant qu'un CRM soit signé (depuis décembre 2013).
  • On a mis en œuvre un nouveau CRM pour intégrer le formulaire sur l'utilisation du réseau et le Code de valeurs et d'éthique (depuis juillet 2014).
• Le directeur de la DAM collaborera avec les responsables de la sécurité des TI et de la sécurité physique pour élaborer un calendrier plus intégré pour les CDR, en tenant compte des stratégies de gestion et d'atténuation des risques pour le Programme des CDR. L'accent sera mis sur les inspections des TI devant être effectuées dans chacun des centres de données de recherche qui sont reliés au réseau étendu, au cours des deux prochaines années, afin de veiller à ce que l'équipement et les configurations nouveaux et mis à niveau répondent aux exigences de sécurité du SCT. Même si aucune inspection physique sur place ne sera effectuée, à moins qu'un nouveau centre soit construit ou qu'un centre soit rénové, les inspecteurs de la sécurité physique communiqueront avec les analystes de CDR par téléphone, afin de confirmer qu'aucun changement ne s'est produit dans leur centre depuis la dernière inspection. Les gestionnaires de la DAM continueront de rencontrer les responsables de la sécurité des TI et de la sécurité physique plusieurs fois par année et passeront en revue le calendrier et la stratégie d'inspection avec le Comité de coordination de la sécurité, au besoin.
  
  Produits livrables et échéancier : Une stratégie révisée pour les inspections de la sécurité des TI et de la sécurité physique, et un calendrier intégré axé sur les risques, seront élaborés entre janvier 2015 et septembre 2016.

Objectif 2 : Le CDR de l'Université Dalhousie se conforme aux politiques et aux normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information et la sécurité physique, afin d'assurer la protection de la confidentialité des données au moment de la prestation des services.

Sécurité des technologies de l'information

La sécurité des technologies de l'information dans les CDR doit être conforme aux politiques pertinentes du SCT, comme la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information et le Manuel de pratiques de sécurité de Statistique Canada. Les rôles, responsabilités et obligations de reddition de comptes doivent être clairement définis et communiqués. Dans le contexte des CDR, la sécurité des TI devrait comprendre des contrôles pour la protection du système d'information; des communications avec le système d'information et à l'intérieur de celui-ci; des contrôles de l'accès, y compris la capacité de permettre ou de refuser l'accès aux systèmes pour les utilisateurs; et des contrôles d'identification et d'authentification, qui permettent l'identification et l'authentification uniques de chaque utilisateur.

Rôles et responsabilités

La Division des opérations des technologies de l'information (DOTI) de Statistique Canada fournit une orientation et des directives concernant les exigences de sécurité des TI pour le Programme des CDR.

Au CDR de Dalhousie, les services des TI sont fournis localement par des membres du personnel des TI de l'université. Ces membres du personnel donnent suite aux demandes de l'analyste de CDR, au besoin, et veillent à ce que les postes de travail, le serveur du CDR et les autres équipements des TI soient configurés pour respecter les directives et les politiques de Statistique Canada.

Les rôles, responsabilités et obligations de reddition de comptes du personnel de soutien des TI de l'Université Dalhousie sont énoncés dans des ententes sur les niveaux de service et sont conformes aux politiques gouvernementales relatives aux TI et à la Loi sur la statistique.

Mesures de protection des systèmes des TI et configurations du logiciel

En 2013, tous les systèmes et le matériel informatiques du CDR de Dalhousie ont été remplacés, et l'environnement des TI a été configuré pour être intégré au domaine du bureau central. Par suite de ce changement, des comptes d'utilisateurs sont maintenant créés par la SSOBC, et seuls les périmètres d'accès sont contrôlés localement par le CDR. Le serveur du CDR de Dalhousie a récemment été mis à jour et fonctionne de façon autonome avec des répertoires ouverts. Il utilise le système d'accès BASIS Proxcard-II pour accorder les autorisations. Mis à part le réseau étendu (RE), le serveur n'a pas de connexion externe. Il n'est donc pas possible d'accéder au serveur à l'extérieur du CDR.

Au cours de la visite sur place, on a noté que neuf postes de travail fonctionnels autonomes étaient mis à la disposition des chercheurs. Il s'agissait de nouveaux systèmes informatiques acquis au cours de la dernière année, tous configurés de façon identique, avec le même matériel et logiciel. L'équipe d'audit a sélectionné un certain nombre de mesures de sécurité informatique clés, qui ont été vérifiées, afin de s'assurer qu'elles fonctionnaient comme prévu. Les résultats de l'inspection par l'équipe d'audit sont les suivants :

• Les ordinateurs du laboratoire de recherche ne sont pas reliés à Internet (l'accès à Internet est réservé aux employés du CDR dans les bureaux des analystes de CDR), et les répertoires de données et de chercheurs sont entreposés dans le serveur.
• Le logiciel est installé à chaque poste de travail par le personnel de soutien des TI de Dalhousie, et chaque poste de travail est doté d'une application Deepfreeze, qui fait en sorte qu'aucune donnée résiduelle ne demeure dans l'ordinateur au moment de la fermeture de session. L'équipe d'audit a vérifié Deepfreeze et a confirmé qu'elle est efficace; les documents apparaissaient dans un répertoire local temporaire et étaient effacés lorsque l'utilisateur ouvrait une nouvelle session.
• L'antivirus McAfee est le logiciel prescrit et était opérationnel dans tous les ordinateurs. Pour tous les ordinateurs liés au réseau fermé, des mises à jour régulières sont traitées par le bureau central chaque semaine au moyen du RE. Dans le cas de l'ordinateur donnant accès à Internet dans le bureau de l'analyste de CDR, l'application antivirus est mise à jour quotidiennement au moyen d'Internet.
• La configuration et la validation de mots de passe sont conformes aux normes qui respectent les exigences en matière de TI de Statistique Canada.
• Le serveur et les disques de sauvegarde sont verrouillés dans une armoire située à l'intérieur de la zone sécuritaire du CDR, et seul l'analyste a les clés; cela est conforme aux exigences de sécurité du programme.
• Les impressions de travaux des chercheurs peuvent être faites uniquement à partir d'une imprimante de réseau qui est située dans le bureau de l'analyste de CDR.
• Les ports USB disponibles dans les ordinateurs du laboratoire de recherche sont programmés pour détecter et rejeter tous les dispositifs qui comportent une capacité de mémoire importante et/ou les supports de communication. L'équipe d'audit a relié un téléphone cellulaire et une clé USB à un échantillon de trois des neuf ordinateurs fonctionnels du laboratoire, et tous les appareils ont été rejetés par le système.

Dans tous les cas, des contrôles généraux des TI étaient intégrés dans les systèmes et les configurations de logiciels et fonctionnaient comme prévu.

Mesures de protection de l'accès, de l'identification et de l'authentification

Les procédures précisent que des comptes d'utilisateurs devraient être créés uniquement lorsqu'un contrat est approuvé et est actif. L'accès devrait être supprimé au moment de la date d'expiration du CRM, et la configuration de mot de passe devrait respecter les normes de Statistique Canada.

L'analyste de CDR est responsable de configurer les comptes, afin que seules les données approuvées dans le contrat final soient accessibles pendant la durée du projet, et il dispose des privilèges administratifs nécessaires pour accéder au système. Les adjoints à la statistique n'ont pas de privilèges administratifs. Des numéros d'identification d'utilisateur individuels sont créés pour chaque chercheur et pour chaque contrat. Lorsque des chercheurs sont associés à plus d'un projet de recherche, un numéro d'identification d'utilisateur distinct est créé pour chaque projet. De cette façon, des comptes d'accès par les utilisateurs sont établis pour rendre compte des dates de début et de fin et de la date d'expiration de l'autorisation de sécurité. Cela empêche aussi les chercheurs de déplacer des fichiers entre des projets. La configuration de mot de passe pour les comptes d'accès par les utilisateurs est établie en conformité avec les normes de Statistique Canada.

Même si les employés de soutien des TI de Dalhousie ne sont pas des employés de Statistique Canada, ils sont des personnes réputées être employées. Ils font en sorte que les systèmes du CDR sont configurés en fonction des exigences de Statistique Canada et ont des privilèges administratifs pour les systèmes des TI seulement. Cet accès leur permet de modifier les configurations des systèmes informatiques, par exemple, de télécharger des logiciels ou d'installer des imprimantes ou d'autres dispositifs localement. Le personnel des TI de Dalhousie utilise aussi les privilèges administratifs pour résoudre les problèmes des TI et les problèmes de poste de travail et répondre à tous les besoins liés au serveur. Ils n'ont pas de privilèges administratifs pour modifier les périmètres d'accès des comptes d'utilisateurs individuels créés pour les chercheurs.

L'équipe d'audit a vérifié un échantillon de 43 des 89 contrats ayant commencé entre 2010 et 2014, et a comparé les ensembles de données notés dans les CRM aux renseignements consignés dans le SGRC et aux ensembles de données inclus dans les paramètres de système des TI pour certains utilisateurs. Les résultats ont montré que la liste des ensembles de données entrés dans le système en ce qui a trait aux privilèges d'accès correspondait à la liste des ensembles de données inclus dans le contrat ou les modifications subséquentes.

L'équipe d'audit a aussi vérifié un sous-échantillon aléatoire de neuf chercheurs sélectionnés pour les contrats actifs, afin de s'assurer que les dates d'expiration ne dépassaient pas la période valide d'autorisation de sécurité, et que l'accès était accordé uniquement pour la période stipulée dans le CRM. Les résultats ont confirmé que lorsque la date d'expiration de l'autorisation de sécurité précède la date de fin de contrat, la date entrée était la date d'expiration de l'autorisation de sécurité; ce contrôle est efficace pour s'assurer que les personnes ont une autorisation de sécurité pour accéder aux données de Statistique Canada. Toutes les autres dates étaient conformes au CRM.

L'équipe d'audit a aussi vérifié les périmètres d'accès aux fichiers de données entrés dans le système pour les contrats suspendus, incomplets, retirés ou inactifs, et a vérifié si l'accès était interrompu. Les essais ont confirmé que les comptes d'utilisateurs étaient désactivés.

L'audit a déterminé que des mesures de sécurité des TI pertinentes sont en place et respectent les normes de protection des données confidentielles de Statistique Canada. Des mesures de protection de l'accès, de l'identification et de l'authentification sont intégrées dans les systèmes, et les configurations de logiciels au CDR de Dalhousie et fonctionnent comme prévu.

Protection des serveurs du CDR contre les menaces pour les TI et protocole de rapport des incidents

L'analyste et les adjoints à la statistique contrôlent les fichiers électroniques qui peuvent être ajoutés aux fichiers de projets de recherche dans le réseau fermé. Dans le cadre des opérations quotidiennes, les documents électroniques et les tableaux des chercheurs doivent être disponibles dans le réseau fermé. Les chercheurs apportent leurs fichiers sur une clé USB personnelle. Étant donné que les postes de travail du laboratoire de recherche sont configurés de façon à éviter l'utilisation de clés USB pour l'accès, la récupération des fichiers des chercheurs se fait à partir des ordinateurs relevant du contrôle du personnel du CDR.

Au niveau du programme, il existe des procédures concernant l'extranet du CDR, qui expliquent les modalités permettant à un chercheur de faire ajouter des données, de la documentation ou d'autres informations à son projet de recherche. Toutefois, ces procédures n'expliquent pas comment transférer de façon sécuritaire les documents électroniques des chercheurs d'une clé USB externe au serveur.

Afin de réduire le risque de contact d'un virus informatique, d'un logiciel malveillant ou d'un logiciel espion avec les données entreposées dans le réseau fermé, des procédures particulières ont été mises en œuvre au CDR de Dalhousie pour les transferts de fichiers électroniques, au moyen d'une clé USB de chercheur. La clé USB du chercheur est insérée dans l'ordinateur de l'analyste du CDR donnant accès à Internet et le logiciel antivirus McAfee est exécuté. Les copies des fichiers que le chercheur souhaite transférer à son répertoire de projet dans le serveur sont par la suite sauvegardées dans le poste de travail, et les fichiers individuels sont vérifiés une deuxième fois pour détecter les virus. L'analyste de CDR transfère les fichiers/répertoires de documents du poste de travail donnant accès à Internet à une clé USB réservée du CDR, puis transfère les fichiers du compte du chercheur au serveur, au moyen de l'ordinateur qui est relié au réseau fermé. Il a été recommandé par le personnel des TI de Dalhousie d'utiliser une clé USB distincte réservée au CDR.

Les entrevues avec la DOTI ont confirmé que l'utilisation d'une clé USB appartenant à des utilisateurs externes dans un ordinateur qui est lié au réseau fermé augmente le risque de transfert par inadvertance de virus, de logiciels espions et/ou de logiciels malveillants et devrait être interdite. L'utilisation d'une clé USB fiable strictement réservée au transfert des fichiers au serveur représente une bonne pratique, qui réduit de façon significative le risque de transfert de virus, de logiciel espions et de logiciels malveillants par inadvertance, la clé USB n'ayant pas été en contact avec des ordinateurs à l'extérieur de l'installation de CDR.

Le personnel du CDR de Dalhousie utilise une pratique efficace, c'est-à-dire une clé USB fiable strictement réservée au transfert de fichiers électroniques au serveur. À l'heure actuelle, il n'y a pas de procédures ou de protocoles documentés en place pour atténuer les menaces pour la sécurité associées à l'utilisation de clés USB externes pour le Programme des CDR. Tous les CDR pourraient profiter de cette pratique et protéger davantage les données entreposées dans le réseau fermé.

Recommandations :

Il est recommandé que le statisticien en chef adjoint de la Statistique sociale, de la santé et du travail s'assure que :

• des procédures sont documentées relativement à l'utilisation de clés USB pour transférer des fichiers de données de chercheurs dans le réseau fermé.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

• Il s'agit d'une pratique exemplaire qui est utilisée dans chaque centre du programme, mais qui n'est pas documentée de façon systématique. Le directeur de la DAM préparera et distribuera un communiqué à tous les employés du CDR et aux chercheurs, afin de documenter les procédures d'utilisation de clés USB pour transférer des fichiers de données de chercheurs dans le réseau fermé.
  
  Produits livrables et échéancier : Des procédures seront intégrées au réseau de communications au plus tard le 31 décembre 2014.

Sécurité physique

Les mesures de sécurité physique requises dans les CDR visent à protéger la confidentialité des données conservées dans l'installation. Des inspections de la sécurité physique permettent de vérifier si les mesures de sécurité sont conformes aux politiques pertinentes du SCT, comme la Politique sur la sécurité du gouvernement et le Manuel des pratiques de sécurité de Statistique Canada. La sécurité physique devrait inclure des contrôles clés, comme l'établissement d'un périmètre de sécurité doté de dispositifs de détection des intrusions, un accès restreint au centre, et un contrôle permanent, grâce à des observations pendant les heures ouvrables.

Inspections de la sécurité physique

Des inspections de la sécurité physique sont effectuées au moment de l'ouverture des CDR, et les gestionnaires de Statistique Canada ont déterminé que des inspections de CDR auront lieu tous les quatre ans. Le personnel de la Sécurité du Bureau effectue les inspections physiques et fournit des recommandations aux gestionnaires régionaux de CDR et au personnel du bureau central. La dernière inspection de la sécurité physique du CDR de l'Université Dalhousie a été menée en 2011. Par suite de cette inspection, une recommandation a été faite : il a été recommandé que les rapports du système d'accès soient imprimés et passés en revue sur une base régulière. Le personnel du CDR peut entrer dans le système de sécurité appuyé par le bureau de sécurité de Dalhousie et imprimer les rapports du système d'accès. Au CDR de Dalhousie, les rapports du système d'accès sont produits sur une base mensuelle, principalement pour tenir compte des heures inscrites pour les projets à frais recouvrables. Des rapports de registre de cartes magnétiques sont disponibles pour examen au besoin, afin de suivre de plus près les allées et venues des chercheurs. En imprimant les rapports de système d'accès et en les passant en revue sur une base mensuelle, le personnel du CDR de Dalhousie a donné suite à la recommandation découlant de l'inspection physique de 2011.

Grâce à une comparaison avec les renseignements fournis dans l'inspection physique de l'emplacement en 2011 et à des entrevues avec le personnel de la DAM et du CDR, il a été confirmé que le CDR n'a pas été relocalisé et qu'on n'a pas apporté de changements importants à son environnement structurel physique depuis la dernière inspection. Compte tenu de cela, l'équipe d'audit a sélectionné un certain nombre de contrôles matériels clés dans l'environnement physique du CDR et a vérifié la conformité avec les exigences de sécurité physique du CDR. Les résultats de l'inspection par l'équipe d'audit étaient les suivants :

• L'installation est dotée d'armoires d'entreposage fermées à clé sécuritaires pour l'entreposage des fichiers des chercheurs.
• Il n'y a pas d'imprimante située dans l'aire de recherche.
• Les dispositifs d'impression/de télécopie/de balayage sont réservés à l'usage du personnel du CDR et sont situés dans le bureau de l'analyste de CDR.

Dans tous les cas, des contrôles matériels clés ont été établis en conformité avec les exigences en matière de sécurité physique du CDR.

Périmètre de sécurité doté de dispositifs de détection des intrusions

Le CDR est situé au premier étage de l'Université Dalhousie. Il a été construit en conformité avec les exigences de Statistique Canada en ce qui a trait au périmètre de sécurité pour les « étages partagés ». L'accès au CDR se fait par une porte, accessible à partir de la bibliothèque de l'université. Conformément aux exigences de sécurité s'appliquant aux CDR, le centre est doté d'une porte en acier avec un pêne dormant comportant une saillie d'un pouce. Le personnel du CDR et la sécurité du campus ont les clés de l'installation. Le CDR n'a pas de fenêtres extérieures. Les fenêtres intérieures sont givrées, sauf celle du bureau de l'analyste de CDR (qui fait face à la bibliothèque), qui est dotée de stores verticaux qui sont gardés fermés.

La sécurité du campus assure un contrôle 24 heures par jour et 7 jours par semaine des installations de l'université. Le CDR est aussi doté d'un système d'alarme et de détecteurs de mouvement, qui sont fonctionnels et qui permettent de protéger l'installation en dehors des heures ouvrables. Si le système d'alarme ou les détecteurs de mouvements sont déclenchés, la sécurité du campus est informée, en tant que premier répondant, et avise ensuite l'analyste de CDR.

Accès restreint au CDR

Au CDR de Dalhousie, il y a un analyste de CDR à temps plein et deux adjoints à la statistique à temps partiel. Le personnel du CDR est présent pendant les heures ouvrables et contrôle la présence des chercheurs dans l'installation, afin de veiller à ce que l'accès au centre soit limité aux personnes qui sont autorisées. La présence d'employés du CDR pendant les heures ouvrables représente un élément essentiel de la protection des actifs situés dans le périmètre de sécurité. Le personnel du CDR de Dalhousie établit des horaires de travail, afin d'assurer une présence continue dans le centre, y compris pendant les vacances et les rendez-vous personnels. Dans de rares cas où la présence des employés ne peut être assurée pendant des périodes prolongées, qui vont au-delà des pauses santé et des brèves absences pendant l'heure du lunch, le CDR de Dalhousie est fermé.

Un système d'accès au moyen d'une carte magnétique électronique est aussi en place. Des cartes d'identification sont remises aux chercheurs autorisés, et il y a deux lecteurs de bande magnétique situés sur les côtés extérieur et intérieur de la porte du CDR. La carte magnétique sert à déverrouiller la porte pour entrer dans l'aire sécurisée et en sortir, et le système enregistre toutes les entrées et sorties. Le personnel du CDR peut entrer à distance dans le système de sécurité de Dalhousie et a accès aux registres du système d'accès au moyen de la carte magnétique électronique, à partir de l'ordinateur de l'analyste. L'équipe d'audit a examiné les registres d'accès au moyen de la carte magnétique du CDR, les trois jours pendant lesquels elle était sur place, ainsi que les rapports du système du CDR pour le mois de juin 2014. Des tests ont confirmé que le système a enregistré avec exactitude toutes les entrées et sorties au moyen de la carte magnétique. Toutefois, les rapports produits par le système de cartes d'accès ne rendent pas compte de toutes les entrées et sorties de personnes pendant les heures ouvrables. Il y a des cas où les personnes peuvent entrer dans le centre ou en sortir pendant les heures ouvrables, sans avoir à utiliser leur carte magnétique individuelle. Par exemple, si un certain nombre de personnes quittent le CDR en même temps, ou si quelqu'un entre dans l'installation pendant que quelqu'un en sort, la carte magnétique n'est pas toujours utilisée. D'autres vérifications effectuées ont montré que l'utilisation d'un registre manuel de signatures comme contrôle compensatoire était efficace pour assurer la tenue d'une liste de tous les visiteurs du centre.

Contrôle permanent

Afin de contrôler efficacement les activités du CDR, l'analyste devrait toujours avoir les chercheurs sous les yeux pendant qu'ils sont dans le centre. À Dalhousie, l'analyste de CDR peut facilement observer les chercheurs lorsqu'ils utilisent les postes de travail situés à l'avant du CDR. À partir du bureau de l'analyste de CDR, il est difficile d'observer les chercheurs qui travaillent aux postes de travail situés à l'arrière du CDR. À titre de stratégie d'atténuation, le personnel du CDR circule dans le CDR et observe les postes de travail à partir de divers endroits sur une base régulière. Les gestionnaires du programme ont indiqué qu'il est difficile d'obtenir l'équilibre approprié entre la protection de la confidentialité des données et le degré d'intimité dont ont besoin les chercheurs pour effectuer leurs travaux. Chaque CDR est configuré différemment; on encourage les gestionnaires des CDR à utiliser une approche axée sur les risques à cet égard pour chaque CDR.

Les mesures de sécurité physique en place au CDR de l'Université Dalhousie sont conformes aux politiques pertinentes du SCT et au Manuel des pratiques de sécurité de Statistique Canada. Des contrôles clés, comme un périmètre de sécurité doté de dispositifs de détection des intrusions et un accès restreint au centre, sont en place et sont efficaces pour assurer la sécurité des données conservées dans l'installation.