Introduction

À partir du printemps 2007, Statistique Canada mènera l’Enquête canadienne sur les mesures de la santé (ECMS). Cette nouvelle enquête a été conçue pour recueillir des renseignements autodéclarés sur l’état de santé et de mesures physiques directes. On s’attend à ce qu’environ 5 000 répondants participent à l’enquête complète, soit une ou deux personnes âgées de 6 à 79 ans sélectionnées par ménage.

Objectifs

Une évaluation des facteurs relatifs à la vie privée a été réalisée pour l’ECMS, afin de déterminer si celle‑ci posait des problèmes de protection de la vie privée, de confidentialité et de sécurité et, le cas échéant, de formuler des recommandations quant à leur résolution ou leur atténuation.

Description

L’ECMS recueillera des renseignements qui permettront d’évaluer la portée des problèmes de santé dans la population canadienne, comme les maladies chroniques (p.ex., diabète et maladie cardiovasculaire), les maladies infectieuses, les problèmes liés aux caractéristiques du mode de vie (p. ex., activité physique et nutrition) et ceux liés à l’exposition à des contaminants environnementaux. L’enquête offrira aussi un moyen d’explorer les nouveaux dossiers de santé publique et de nouvelles techniques de mesure.

Dans le cadre de l’ECMS, les données seront recueillies par la voie d’un questionnaire administré aux ménages et de tests basés sur des mesures physiques administrées dans une clinique de santé mobile. Dans le cadre de la collecte des données, les répondants se soumettront à une série d’examens physiques et devront fournir des prélèvements biologiques (sang et urine), qui seront ensuite envoyés à divers laboratoires gouvernementaux où seront effectués les tests à contrat pour Statistique Canada.

Étant donné le caractère extrêmement personnel de l’information recueillie, testée et traitée, l’évaluation des facteurs relatifs à la vie privée a révélé un certain nombre de problèmes et de risques possibles en ce qui a trait à la protection des renseignements personnels. Il s’agit notamment des suivants :

• transmission d’information/d’échantillons entre les cliniques mobiles, le bureau central de Statistique Canada et les laboratoires;
• rapport des résultats de l’enquête et des tests de laboratoire aux répondants;
• conservation des échantillons (sang, urine et ADN);
• conservation des identificateurs personnels;
• permission des répondants pour les tests futurs;
• âge de consentement pour les enfants visés par l’enquête.

Parmi les mesures prises pour résoudre ces problèmes figurent l’offre de renseignements exhaustifs en vue d’obtenir le consentement éclairé des répondants par écrit, des numéros d’identification anonymes pour les échantillons entreposés et d’autres procédures de sécurité pour assurer la confidentialité et l’intégrité des données des répondants.

Consultations et comités d’examen

Les questions liées à la protection des renseignements personnels ont été abordées avec le bureau du Commissaire à la protection de la vie privée du Canada, qui a donné son avis. De même, des réunions pour discuter de l’enquête se sont tenues avec les bureaux des commissaires à la protection de la vie privée dans toutes les provinces.

Par ailleurs, on a eu recours à de nombreux autres comités pour diriger l’élaboration de l’enquête et pour résoudre les questions de protection des renseignements personnels et d’éthique de la recherche liées à l’enquête. Il s’agit notamment du Comité consultatif des experts, du Comité consultatif des médecins et du Comité consultatif des techniciens de laboratoire. Dans le cadre de l’ECMS, on a aussi entrepris des discussions poussées avec le Comité d’éthique pour la recherche de Santé Canada, qui a approuvé la poursuite du processus.

Conclusion

En conclusion, grâce aux garanties et procédures améliorées et existantes de Statistique Canada, ainsi qu’à celles en place dans les cliniques mobiles et les laboratoires, les risques qui restent sont négligeables ou sont tels que Statistique Canada est prêt à les accepter et à les gérer.

Introduction

Depuis 1999, l’Enquête sur la santé dans les collectivités canadiennes de Statistique Canada constitue un élément fondamental du Carnet de route de l’information sur la santé, fruit d’une collaboration entre Statistique Canada, l’Institut canadien d’information sur la santé et Santé Canada. L’Enquête a pour but de répondre aux besoins prioritaires en matière d’information sur la santé qui sert à l’amélioration de la santé publique et de la qualité du système de santé canadien.

Objectifs

Une évaluation des facteurs relatifs à la vie privée a été réalisée dans le cadre de l’Enquête sur la santé dans les collectivités canadiennes – Enquête pilote sur le vieillissement en santé de Statistique Canada afin de déterminer si le programme présentait des problèmes sur le plan du respect de la vie privée, de la protection des renseignements personnels et de la sécurité et, le cas échéant, de formuler des recommandations visant à les résoudre ou à les atténuer.

Description

Bien que de façon générale, l’évaluation générique des facteurs relatifs à la vie privée pour les enquêtes de Statistique Canada aborde les problèmes des risques relatifs à la vie privée, pour cette enquête pilote, l’évaluation des facteurs relatifs à la vie privée analyse et examine les risques liés à l’utilisation des enregistrements audio pour saisir les réponses des répondants à certaines questions de l’enquête et pour communiquer ces données à Statistique Canada aux fins de codage.

Conclusion

Cette évaluation de l’Enquête sur la santé dans les collectivités canadiennes – Enquête pilote sur le vieillissement en santé n’a pas permis de déterminer de risques relatifs à la vie privée qui ne peuvent être gérés à l’aide des mesures de protection existantes.

Introduction

Le Système de gestion des relations avec les clients (SGRC) améliorera le niveau de service offert à la clientèle de Statistique Canada en simplifiant les méthodes d’exécution des commandes de produits et services des clients et en répondant aux demandes de renseignements de ces derniers. Le SGRC servira aussi de dépôt central d’information stratégique sur les activités commerciales de Statistique Canada et assurera la sécurité des noms des clients et des données sur les personnes ressources en centralisant l’information.

Objectifs

Le Système de gestion des relations avec les clients a fait l’objet d’une évaluation des facteurs relatifs à la vie privée afin de déterminer s’il présentait des problèmes touchant la protection des renseignements personnels, la confidentialité et la sécurité et, le cas échéant, de formuler des recommandations permettant d’atténuer ou de régler de tels problèmes.

Description

Avant l’élaboration de ce système, de nombreuses divisions de Statistique Canada assumaient individuellement la responsabilité des opérations avec les clients et chacune tenait à jour des bases de données contenant des renseignements relatifs à la clientèle. Si certains systèmes remplissaient une fonction centrale pour l’exécution des commandes des clients, il n’y avait pas d’intégration réelle des renseignements sur la clientèle à un environnement sécurisé permettant de partager l’information sur les activités dans tout l’organisme.

L’élaboration du Système de gestion des relations avec les clients permettra à Statistique Canada d’assurer une gestion centralisée des relations avec la clientèle.

En tenant à jour un dépôt central de renseignements sur la clientèle, nous renforcerons la sécurité de l’information en offrant une approche plus sûre et intégrée de l’accès à ces renseignements et de leur utilisation. De plus, la stratégie de mise en œuvre a permis l’instauration de mesures techniques visant à protéger les renseignements personnels conformément à l’ensemble des normes de sécurité technologique du gouvernement du Canada.

Conclusion

L’évaluation du Système de gestion des relations avec les clients (SGRC) n’a pas permis de déceler de risques relatifs à la vie privée susceptibles d’échapper aux mesures de protection existantes ou à d’autres mesures spécialement conçues pour la mise en œuvre du système.

[ Version RTF (RTF, 294.49 Ko)  | Version PDF (PDF, 41.5 Ko)  ]

1. Directive sur les évaluations des facteurs relatifs à la vie privée

1.1 La présente directive entre en vigueur le 6 mars 2012.

2. Application

2.1 La présente directive s'applique à toutes les divisions qui gèrent des programmes statistiques et non statistiques comprenant la collecte, l'utilisation ou la divulgation de renseignements personnels.

3. Contexte juridique

3.1 La Loi sur la protection des renseignements personnels a pour objectif d'assurer la protection des renseignements personnels relevant des institutions fédérales et le droit d'accès des individus aux renseignements personnels qui les concernent.

L'évaluation des facteurs relatifs à la vie privée (EFVP), qui vient appuyer la Loi sur la protection des renseignements personnels, est un processus d'évaluation qui permet aux personnes responsables de la collecte, de l'utilisation ou de la divulgation de renseignements personnels d'évaluer les risques au chapitre de la protection de la vie privée, de la confidentialité ou de la sécurité associés à ces activités et d'élaborer des mesures visant à réduire ou à éliminer les risques déterminés.

La Directive sur l'évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor (SCT) du Canada décrit les étapes requises pour la réalisation des EFVP.

4. Définitions

4.1 Les définitions à utiliser pour l'interprétation de la présente directive figurent à l'annexe A.

5. Énoncé de la directive

5.1 Objectif

5.1.1 Statistique Canada mettra au point et appliquera une EFVP générique pour évaluer les risques relatifs à la protection de la vie privée liés à un programme statistique courant.

5.1.2 Statistique Canada réalisera une évaluation des facteurs relatifs à la vie privée particulière pour toutes les activités de collecte, d'utilisation ou de divulgation de renseignements personnels, nouvelles ou substantiellement remaniées, posant des risques au chapitre de la protection de la vie privée, de la confidentialité ou de la sécurité des données, pour le cas où une EFVP générique ou déjà existante ne tiendrait pas compte de façon appropriée des risques.

5.2 Résultats attendus

5.2.1 Une EFVP générique fournit un mécanisme efficace pour donner suite aux risques courants liés aux programmes statistiques.

5.2.2 En réalisant une évaluation des facteurs relatifs à la vie privée, pour toutes les activités de collecte, d'utilisation ou de divulgation de renseignements personnels, nouvelles ou substantiellement remaniées, posant des risques au chapitre de la protection de la vie privée, de la confidentialité ou de la sécurité des données, Statistique Canada fait preuve de diligence dans la protection des renseignements personnels et se conforme à la directive du SCT.

5.2.3 Dans les cas où des activités de collecte, d'utilisation ou de divulgation de renseignements personnels substantiellement similaires ont lieu dans le cadre de programmes statistiques, l'évaluation générique des facteurs relatifs à la vie privée de Statistique Canada s'appliquera, afin d'assurer la conformité à la directive du SCT.

6. Exigences

Directeur, Division de la gestion de l'information (DGI)

Le directeur, Division de la gestion de l'information (DGI), détient les pouvoirs délégués pour assurer la conformité à la Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor. Il est chargé de s'assurer que les spécialistes de la protection de la vie privée de la Division :

6.1.1 Fournissent des conseils et de l'aide aux secteurs de programme concernant les exigences de la Directive sur l'EFVP du SCT, les lignes directrices sur l'EFVP et les dispositions législatives connexes.

6.1.2 Fournissent une copie des EFVP au SCT ou au Commissariat à la protection de la vie privée (CPVP) du Canada, par suite de leur approbation par le statisticien en chef.

6.1.3 Affichent dans le site Web de Statistique Canada un sommaire de chaque EFVP approuvée.

6.1.4 Aident les autres divisions à passer en revue et à mettre à jour les EFVP qui ont été réalisées précédemment, au besoin.

6.1.5 Élaborent des fichiers de renseignements personnels (FRP), les enregistrent auprès du Secrétariat du Conseil du Trésor et les incluent dans le chapitre d'Info Source concernant Statistique Canada si l'EFPV concerne des renseignements personnels qui ne sont pas liés à un FRP courant.

6.2 Cadres supérieurs (directeurs et niveaux plus élevés)

En dirigeant les gestionnaires d'une division, le directeur doit :

6.2.1 Passer en revue toutes les activités de collecte, d'utilisation et de divulgation de renseignements personnels, nouvelles ou substantiellement remaniées, afin de déterminer si le programme ou le système proposé est conforme à une EFVP générique ou existante;

6.2.2 Élaborer, à une étape précoce du processus de planification, une évaluation des facteurs relatifs à la vie privée particulière, avec le soutien des spécialistes de la protection de la vie privée de la Division de la gestion de l'information, dans les cas où une EFVP générique ne tient pas compte de tous les risques au chapitre de la protection de la vie privée, de la confidentialité et de la sécurité;

6.2.3 Informer les agents de la protection de la vie privée de la Division de la gestion de l'information de tout nouveau programme ou activité (ou du remaniement substantiel d'un programme ou d'une activité existante), dans le cadre duquel des renseignements personnels sont recueillis ou utilisés. Ils seront ainsi avisés de la nécessité possible d'une nouvelle EFVP ou d'un nouveau FRP (fichier de renseignements personnels), ou d'une mise à jour de l'un des deux.

Nota : Les détails opérationnels liés aux évaluations des facteurs relatifs à la vie privée sont fournis à l'annexe B.

6.3 Directeur général, Direction de l'informatique

Le directeur général, Direction de l'informatique, est responsable de s'assurer que les employés :

6.3.1. Aident à la tenue d'une évaluation de la menace et des risques pour les TI d'une EFVP particulière, au besoin, et fournissent des conseils sur les mesures d'atténuation liées à la sécurité des TI.

6.4 Statisticiens en chef adjoints

En tant que conseillers du statisticien en chef, les statisticiens en chef adjoints :

6.4.1 Recommandent l'approbation, par le statisticien en chef, des évaluations des facteurs relatifs à la vie privée particulières réalisées dans leurs secteurs respectifs.

6.5 Statisticien en chef

Le statisticien en chef :

6.5.1 Approuve l'évaluation générique des facteurs relatifs à la vie privée de Statistique Canada, y compris les modifications qui y sont apportées, et toutes les évaluations des facteurs relatifs à la vie privée particulières réalisées à Statistique Canada.

6.6 Dirigeant principal de la vérification

En tant qu'agent responsable des fonctions de vérification interne à Statistique Canada, le dirigeant principal de la vérification :

6.6.1 S'assure, périodiquement et de façon continue, de la conformité à la présente directive au moyen de vérifications de la conformité axées sur les risques.

7. Conséquences

7.1 Les conséquences du non-respect de la présente directive peuvent comprendre des suivis informels et des demandes officieuses de la part du directeur de la Division de la gestion de l'information, ainsi que des vérifications internes ou des instructions officielles de la part des cadres supérieurs de Statistique Canada concernant les correctifs à apporter.

7.2 Les conséquences du non-respect de la Directive sur l'évaluation des facteurs relatifs à la vie privée du SCT se refléteront dans l'évaluation de Statistique Canada par le SCT, en vertu du programme du Cadre de responsabilisation de gestion.

8. Références

8.1 Lois et règlements pertinents pour la présente directive :

Loi sur la statistique

Loi sur la protection des renseignements personnels

8.2 Instruments stratégiques et publications connexes :

Politique sur la sécurité du gouvernement (Secrétariat du Conseil du Trésor)

Politique sur la protection de la vie privée (Secrétariat du Conseil du Trésor)

Directive sur les pratiques relatives à la protection de la vie privée (Secrétariat du Conseil du Trésor)

Directive sur l'évaluation des facteurs relatifs à la vie privée (Secrétariat du Conseil du Trésor)

Directive sur les demandes de renseignements personnels et de correction (Secrétariat du Conseil du Trésor)

Directive sur le numéro d'assurance sociale (Secrétariat du Conseil du Trésor)

Directive sur les rôles et responsabilités en matière de gestion de l'information (Secrétariat du Conseil du Trésor)

Politique sur la protection des renseignements personnels et la confidentialité (Statistique Canada)

Directive sur l'accès à l'information et la protection des renseignements personnels (Statistique Canada)

Évaluation générique des facteurs relatifs à la vie privée pour les enquêtes de Statistique Canada (Statistique Canada)

9. Demandes de renseignements

Les demandes de renseignements portant directement sur la présente directive doivent être soumises au directeur, Division de la gestion de l'information.

---

Annexe A – Définitions

Évaluation des facteurs relatifs à la vie privée (EFVP) – Processus global qui sert à déterminer les risques que présentent la collecte, l'utilisation ou la divulgation de renseignements personnels au chapitre de la protection de la vie privée, de la confidentialité et de la sécurité. En outre, elle vise à définir les mesures adoptées pour réduire et, si possible, éliminer les risques déterminés. Le processus d'EFVP garantit que l'on détermine, au début de toute initiative nouvelle en matière de programmes ou de prestation de services, les mesures requises pour protéger la vie privée et assurer la confidentialité et la sécurité des renseignements personnels. De plus, une EFVP permet de montrer au public la manière dont on protège la vie privée des particuliers et la manière dont on veille à ce que les renseignements les concernant sont gardés confidentiels et sont protégés contre l'accès non autorisé.

Protection de la vie privée – Droit de se retirer et de ne pas être sujet à une quelconque forme de surveillance et d'intrusion. Lorsqu'ils choisissent d'« envahir » la vie privée d'une personne, les gouvernements ont des obligations relativement à la collecte, à l'utilisation, à la divulgation et à la conservation des renseignements personnels. Le terme protection de la vie privée a trait généralement à des renseignements concernant des particuliers.

Confidentialité – Protection contre la divulgation de renseignements personnels identifiables concernant une personne, une entreprise ou une organisation. La confidentialité suppose une relation de « confiance » entre le fournisseur des renseignements et l'organisation qui les recueille; cette relation s'appuie sur l'assurance que ces renseignements ne seront pas divulgués sans l'autorisation de la personne ou sans l'autorité législative appropriée.

Sécurité – Dispositions fondées sur l'évaluation de la menace et des risques qu'utilisent les organisations pour empêcher l'obtention ou la divulgation inappropriée de renseignements confidentiels. Les mesures de sécurité protègent aussi l'intégrité, la disponibilité et la valeur des fonds de renseignements. La sécurité englobe les protections matérielles, comme l'accès restreint aux zones où les renseignements sont entreposés et utilisés et les autorisations de sécurité des employés, ainsi que les protections technologiques utilisées pour empêcher l'accès électronique non autorisé.

Renseignements personnels – En vertu de la Loi sur la protection des renseignements personnels fédérale (article 3), renseignements, quel que soit leur forme ou leur support, concernant une personne identifiable, notamment les renseignements relatifs à son âge, à sa date de naissance, à son état matrimonial, à son niveau de scolarité, à son dossier médical, à son adresse ou à tout numéro, symbole ou particularité qui lui est propre.

Fichier de renseignements personnels – Description de renseignements personnels classés et marqués de façon à pouvoir être retrouvés par référence au nom d'un particulier ou à un numéro, symbole et autre particularité qui lui est propre. Les renseignements personnels décrits dans le fichier de renseignements personnels sont sous la garde d'une institution gouvernementale.

Annexe B – Procédures à suivre pour une évaluation des facteurs relatifs à la vie privée

Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus d'évaluation qui permet aux responsables de la collecte, de l'utilisation et de la divulgation de renseignements personnels d'évaluer les risques au chapitre de la protection de la vie privée, de la confidentialité et de la sécurité qui pourraient se poser et d'élaborer des mesures d'atténuation visant à éliminer ou à réduire les risques déterminés.

La Directive sur l'évaluation des facteurs relatifs à la vie privée (EFVP) du Conseil du Trésor exige que tous les ministères fédéraux qui entreprennent de mettre au point des programmes nouveaux ou substantiellement remaniés pour la collecte, l'utilisation ou la divulgation de renseignements personnels procèdent à une évaluation des facteurs relatifs à la vie privée pour cette activité.

En raison de la similarité des procédures d'une enquête à l'autre, l'Évaluation générique des facteurs à la vie privée pour les enquêtes de Statistique Canada englobe la majeure partie des enquêtes de Statistique Canada auprès des ménages et des entreprises, ainsi que la réception et l'utilisation de données administratives à des fins statistiques. L'EFVP générique décrit en détail comment Statistique Canada applique les dix principes de la protection de la vie privée et comprend une évaluation de la menace et des risques qui est axée sur les principales méthodes de collecte de données de l'agence.

Toutefois, dans le cas des enquêtes pour lesquelles on ne peut procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) générique en raison de risques relatifs à la vie privée accrus ou particuliers au chapitre de la protection de la vie privée, une EFVP spécifique doit être préparée. Celle-ci ne doit porter que sur les risques non compris dans l'EFVP générique.

Aux termes de la directive du Conseil du Trésor sur l'EFVP, la collecte, l'utilisation et la divulgation de renseignements personnels dans le contexte de programmes et de services administratifs nouveaux ou ayant fait l'objet de modifications, par exemple, en matière de ressources humaines et de commercialisation, peuvent nécessiter une évaluation des facteurs relatifs à la vie privée.

Les procédures qui suivent doivent être appliquées par les gestionnaires de programmes statistiques et non statistiques.

Étape 1. Détermination de la nécessité d'une évaluation des facteurs relatifs à la vie privée

Un secteur de programme peut communiquer avec un spécialiste de la protection de la vie privée de la Division de la gestion de l'information pour discuter du programme, des services ou de l'enquête. Si on juge que l'Évaluation générique des facteurs relatifs à la vie privée pour les enquêtes de Statistique Canada tient compte de tous les risques connus au chapitre de la protection de la vie privée, aucune autre mesure n'est requise. Il se peut aussi qu'une EFVP particulière existante tienne compte de tous les risques connus.

Étape 2. Quand une évaluation des facteurs relatifs à la vie privée est nécessaire

À partir du modèle d'évaluation des facteurs relatifs à la vie privée de base du Conseil du Trésor, le gestionnaire de programme doit élaborer une première ébauche d'EFVP. Cette ébauche sera passée en revue par un spécialiste de la protection de la vie privée de la Division de la gestion de l'information. Il y aura probablement plusieurs échanges au cours de la période d'élaboration de l'EFVP.

Étape 3. Quand une évaluation des facteurs relatifs à la vie privée est terminée

En vertu de la directive du Conseil du Trésor, le responsable d'une institution fédérale doit approuver l'EFVP finale. Par conséquent, les divisions sont chargées de rédiger la note de service de leur statisticien en chef adjoint au statisticien en chef demandant l'approbation de l'EFVP.

Selon la nature du programme visé par l'EFVP, le statisticien en chef peut donner lui-même son approbation ou décider qu'un examen et une approbation par le Comité des politiques sont requis.

Étape 4. Quand une évaluation des facteurs relatifs à la vie privée est approuvée

La Division de la gestion de l'information prendra les dispositions suivantes :

• envoi des copies de l'EFVP approuvée au Conseil du Trésor et au Commissariat à la protection de la vie privée du Canada;
• préparation d'un sommaire de l'EFVP et affichage dans le site Web de Statistique Canada.

Le tableau qui suit constitue une grille d'évaluation globale élaborée par le Secrétariat du Conseil du Trésor et qui peut être utilisée dans le cadre d'une EFVP. Il permet d'évaluer les risques globaux relatifs à la protection de la vie privée dans les programmes statistiques de Statistique Canada en fonction d'une série de secteurs de risque normalisés. L'échelle de risque chiffrée est présentée en ordre croissant : le niveau 1 représente le niveau de risque le plus bas pour le secteur et le niveau 4 représente le niveau de risque le plus élevé.

Comme la présente EFVP générique couvre, par définition, un large éventail de programmes statistiques, les risques sélectionnés dans cette partie sont ceux qui présentent le niveau de risque le plus élevé parmi tous les programmes statistiques. La plupart des programmes présentent, dans les faits, un niveau de risque inférieur.

Le niveau de risque applicable pour chaque secteur de risque figure en caractères GRAS.

a) Type de programme ou d'activité

a) Type de programme ou d'activité	Échelle de risque
Programme ou activité qui ne nécessite pas la prise d'une décision concernant une personne identifiable.	1
Administration des programmes, des activités et des services.	2
Conformité/Enquêtes réglementaires et exécution de la réglementation.	3
Enquête criminelle et application de la loi ou sécurité nationale.	4

b) Type de renseignements personnels recueillis et contexte

b) Type de renseignements personnels recueillis et contexte	Échelle de risque
Seules les données fournies directement par l'individu – au moment de la collecte – relatives à un programme autorisé et recueillies directement auprès de l'individu ou avec son consentement pour la communication, pour autant que les données ne soient pas de nature délicate dans le contexte.	1
Données personnelles fournies par l'individu avec le consentement d'utiliser des données détenues par une autre source, pour autant que les données ne soient pas de nature délicate après la collecte.	2
Numéro d'assurance sociale, renseignements médicaux et financiers, autres renseignements personnels de nature délicate, ou renseignements personnels dont le contexte est de nature délicate; renseignements personnels sur des mineurs, des personnes légalement incapables ou renseignements mettant en cause un représentant agissant au nom de la personne concernée.	3
Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou renseignements personnels dont le contexte est de nature particulièrement délicate.	4

c) Participation des partenaires et du secteur privé au programme ou à l'activité

c) Participation des partenaires et du secteur privé au programme ou à l'activité	Échelle de risque
Au sein de l'institution (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein d'une même institution).	1
Avec d'autres institutions fédérales.	2
Avec d'autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et municipaux.	3
Organisations du secteur privé, organisations internationales ou gouvernements étrangers.	4

d) Durée du programme ou de l'activité

d) Durée du programme ou de l'activité	Échelle de risque
Programme ou activité ponctuel.	1
Programme ou activité à court terme (dont la date de fin est fixée).	2
Programme ou activité à long terme (en cours, continu).	3

e) Personnes visées par le programme

e) Personnes visées par le programme	Échelle de risque
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent certains employés.	1
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives internes touchent tous les employés.	2
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent certains employés.	3
Les renseignements personnels utilisés dans le cadre du programme à des fins administratives externes touchent tous les employés.	4
Les renseignements personnels utilisés dans le cadre du programme ne servent pas à des fins administratives. Les renseignements sont recueillis à des fins statistiques, en vertu de la Loi sur la statistique.	s. o.

f) Transmission des renseignements personnels

f) Transmission des renseignements personnels	Échelle de risque
Les renseignements personnels sont utilisés au sein d'un système fermé (aucune connexion à Internet, à l'intranet ou à tout autre système); la distribution des documents papier est surveillée.	1
Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système.	2
Les renseignements personnels sont transférés à un dispositif portatif (p. ex., clé USB, disquette, ordinateur portatif), transférés sur un support différent ou imprimés.	3
Les renseignements personnels sont transmis à l'aide de technologies sans fil.	4

g) Technologie et vie privée

Est-ce que le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, dont un collecticiel (ou logiciel de groupe), qui sera mis sur pieds afin de créer, recueillir ou traiter les renseignements personnels dans le but de soutenir le programme ou l'activité?

Oui. Statistique Canada met régulièrement à jour les activités, les opérations et les systèmes liés à ses programmes statistiques. Cependant, ses programmes statistiques suivent les procédures normalisées de l'organisme. Les risques relatifs à la protection de la vie privée des systèmes nouveaux ou ayant subi des modifications importantes sont évalués avant la mise en œuvre de ceux-ci en les comparant à la présente EFVP générique. Une évaluation distincte des TI peut être effectuée et un supplément à l'EFVP générique peut être produit, au besoin, pour tout risque relatif à la protection de la vie privée non couvert par l'EFVP générique.

---

L'activité ou le programme, nouveau ou ayant subi des modifications importantes, requiert-il que des modifications soient apportées aux systèmes hérités des technologies de l'information (TI)?

Oui. Tel que décrit dans la réponse ci-dessus.

---

Questions spécifiques aux technologies et à la protection de la vie privée

Indiquer si le programme ou l'activité, nouveau ou ayant subi des modifications importantes, comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :

• Méthodes d'identification améliorées (p. ex., technologie biométrique)
• Recours à la surveillance
• Recours à des techniques d'analyse automatisée des renseignements personnels, de comparaison des renseignements personnels et de découverte de connaissances

Oui. Tel que décrit dans la réponse ci-dessus.

---

Une réponse AFFIRMATIVE à l'une ou l'autre des questions ci-dessus indique la présence possible de risques et d'atteinte à la vie privée qui devront être évalués et, si nécessaire, atténués.

h) Risque possible pour l'individu ou l'employé en cas d'atteinte à la vie privée

Il existe un très faible risque que des renseignements personnels soient divulgués sans autorisation appropriée. L'incidence d'une telle divulgation pour l'individu dépend de la nature des renseignements divulgués et pourrait comprendre des dommages financiers, une atteinte à la réputation, l'embarras personnel ainsi que des inconvénients.

i) Risque possible pour l'organisme en cas d'atteinte à la vie privée

Il existe un très faible risque que des renseignements personnels soient divulgués sans autorisation appropriée. L'incidence d'une telle divulgation pour la réputation de Statistique Canada pourrait être très importante et pourrait nuire grandement à la capacité de l'organisme de mener à bien ses programmes statistiques par la suite. Il peut aussi comprendre un risque financier pour l'organisme.

• Introduction
• Politique
• Portée
• Lignes directrices concernant l'élaboration et la justification des normes

Introduction

Statistique Canada vise à garantir que l'information produite brosse un tableau uniforme et cohérent de l'économie, de la société et de l'environnement du Canada, et que les divers ensembles de données peuvent être analysés ensemble et en combinaison avec des données provenant d'autres sources.

À cette fin, le Bureau poursuit trois objectifs stratégiques, à savoir :

1. l'utilisation de cadres conceptuels, comme le Système de comptabilité nationale, qui servent de fondement à la consolidation des données statistiques sur certains secteurs ou aspects de la scène canadienne;
2. la normalisation des noms et des définitions utilisés pour les populations, les unités statistiques, les concepts, les variables et les classifications dans les programmes statistiques;
3. l'utilisation de méthodes de collecte et de traitement uniformes pour la production de données statistiques dans toutes les enquêtes.

La présente politique porte sur le deuxième de ces objectifs stratégiques. Elle fournit un cadre conceptuel pour l'examen, la documentation, l'autorisation et le suivi de l'utilisation des noms et des définitions normalisés pour les populations, les unités statistiques, les concepts, les variables et les classifications dans les programmes de Statistique Canada. Des normes s'appliquant à chacun des domaines spécialisés seront diffusées de temps à autre aux termes de la présente politique, selon le besoin.

Politique

Statistique Canada vise à utiliser des noms et des définitions uniformes pour les populations, les unités statistiques, les concepts, les variables et les classifications utilisés dans ses programmes statistiques. À cette fin :

1. les produits statistiques seront accompagnés d'une documentation facile à consulter sur les définitions des populations, des unités statistiques, des concepts, des variables et des classifications utilisés ou feront explicitement référence à ce genre de documentation;
2. dans tous les cas où l'on constate que les noms ou les définitions des unités statistiques, concepts, variables ou classifications connexes présentent des incohérences ou des ambiguïtés, dans un programme particulier ou d'un programme à l'autre, le Bureau tâchera d'élaborer une norme applicable aux unités statistiques, concepts, variables et classifications qui harmonisera ces différences;
3. des normes et des lignes directrices applicables à des domaines spécialisés seront élaborées de temps à autre, et leur utilisation sera assujettie aux dispositions de la présente politique;
4. les secteurs de programme se conformeront aux normes générales, à moins d'avoir obtenu une exemption particulière en vertu des dispositions de la présente politique;
5. les programmes devraient, dans la mesure du possible, recueillir et conserver l'information au niveau élémentaire, ou le plus détaillé, de chaque classification type, afin de rendre l'agrégation aussi souple que possible et de faciliter la reclassification rétrospective à mesure que les besoins évoluent;
6. les programmes qui utilisent une population, une unité statistique, un concept, une variable ou une classification non visé par une norme générale, ou une variante d'une norme approuvée à titre d'exemption, donneront à l'entité un nom unique qui la distingue de toute autre norme établie précédemment;
7. les services de consultation de Statistique Canada feront part à leurs utilisateurs des normes et des lignes directrices émises aux termes de la présente politique et les inviteront à s'y conformer;
8. le Bureau créera une base de données comprenant les noms et les définitions utilisés dans ses programmes et donnera aux utilisateurs et aux autres intervenants du système statistique les moyens de la consulter.

Portée

La présente politique s'applique à toutes les données que diffuse Statistique Canada, quelle que soit la façon dont elles ont été recueillies, produites ou regroupées, et quel que soit le moyen de diffusion ou la source de financement. La présente politique peut également être appliquée aux données aux étapes de la collecte et du traitement à Statistique Canada.

Lignes directrices concernant l'élaboration et à la justification des normes

A. Introduction

Les présentes lignes directrices précisent les exigences à respecter et fournissent une orientation pour la normalisation des noms et des définitions de populations, d'unités statistiques, de concepts, de variables et de classifications, et pour la justification de cette normalisation. La terminologie et les définitions figurent à la section B et les lignes directrices, à la section C.

B. Terminologie

Voici les définitions de certains termes utilisés dans les présentes lignes directrices :

Population : Ensemble d'unités statistiques auxquelles se rapporte un ensemble de données.

Concept : Idée générale ou abstraite qui exprime le phénomène social et (ou) économique qu'il faut évaluer.

Unité statistique : Unité d'observation ou de mesure pour laquelle on recueille ou calcule des données. La liste suivante donne des exemples d'unités statistiques dont on a normalisé la définition :

Personne
Famille de recensement
Famille économique
Ménage
Logement
Emplacement
Établissement
Société
Entreprise

Variable : Une variable se compose de deux éléments, soit une unité statistique et une propriété. Une propriété est une caractéristique ou un attribut d'une unité statistique.

Classification : Une classification est un regroupement systématique des valeurs qu'une variable peut prendre comprenant des catégories mutuellement exclusives, couvrant l'ensemble complet de valeurs et fournissant souvent une structure hiérarchique pour l'agrégation des données. Plus d'une classification peut être utilisée pour représenter des données pour une variable particulière.

Exemple :

Voici un exemple de la variable : âge de la personne.

Concept : D'après les domaines selon lesquels Statistique Canada organise ses produits statistiques et métadonnées, la variable âge de la personne  se classe sous le concept population et démographie.

Unité statistique et propriété : L'unité statistique et la propriété qui définissent cette variable sont la personne et l'âge, respectivement. Personne s'entend de l'individu; il s'agit de l'unité d'analyse utilisée pour la plupart des programmes de la statistique sociale. Âge s'entend de l'âge de la personne (ou du sujet) d'intérêt à son dernier anniversaire (ou relativement à une date de référence précise et bien définie).

Classification : Différentes classifications peuvent être utilisées pour présenter les données pour cette variable. Ces classifications comprennent les catégories d'âge, tranches d'âge de cinq ans et les catégories d'âge, groupes établis selon le cycle de vie.

Les noms et définitions normalisés de populations, d'unités statistiques, de concepts, de variables et de classifications sont stockés dans la Base de métadonnées intégrée (BDMI). Dans le cas des variables, le nom stocké dans la BDMI comprend, outre l'unité statistique et la propriété, le type de représentation. Dans l'exemple portant sur l'âge donné ici, le nom complet de la variable dans la BDMI est catégorie d'âge de la personne. Catégorie indique qu'il s'agit d'une variable catégorique qui est représentée par une classification des groupes d'âge.

C. Lignes directrices

Chaque norme devrait avoir les caractéristiques suivantes :

• décrire le concept visé par la norme, lorsque la chose est appropriée;
• décrire la ou les unités statistiques auxquelles elle s'applique;
• fournir le nom et la définition de chaque variable visée par la norme;
• donner la ou les classifications à utiliser pour recueillir et diffuser les données sur chaque variable.

Une norme doit toujours préciser le niveau de détail le plus fin de classification. Elle peut aussi indiquer les structures d'agrégation recommandées et facultatives.

On doit décrire les concepts par rapport à un cadre, lorsque possible.

On doit attribuer un nom à chaque variable, dans les deux langues officielles; une fois attribué, ce nom ne peut être utilisé pour dénoter une autre variable. On doit définir les variables en ajoutant des notes explicatives sur la propriété et l'unité statistique à laquelle elle s'applique. En outre, la BDMI comprendra une définition du type de représentation.

On doit attribuer un nom à chaque classification, dans les deux langues officielles; une fois attribué, ce nom ne peut être utilisé pour dénoter une autre classification. On doit définir les classifications, en énumérant les exclusions et en ajoutant des notes explicatives, au besoin.

On doit attribuer un nom à chaque catégorie, dans les deux langues officielles; une fois attribué, ce nom ne peut être utilisé pour dénoter un autre groupement pour la variable en question dans une « famille » donnée de classifications (c.-à-d. une classification donnée et toutes ses variantes). On doit définir les catégories, en énumérant les exclusions et en ajoutant des notes explicatives, au besoin.

Il faut attribuer un nom aux populations utilisées les plus fréquemment, dans les deux langues officielles; une fois attribué, ce nom ne peut être utilisé pour dénoter une autre population. On doit définir les populations en ajoutant des notes explicatives.

On doit attribuer un nom à chaque unité statistique, dans les deux langues officielles; une fois attribué, ce nom ne peut être utilisé pour dénoter une autre unité statistique. On doit définir les unités statistiques en ajoutant des notes explicatives.

L'énoncé d'une norme doit être accompagné d'une déclaration de conformité aux normes internationalement reconnues pertinentes ou d'une description des dérogations à ce genre de norme et, lorsque possible, d'une description de la concordance avec la norme de référence.

Quand une norme en remplace une autre, on doit établir la concordance entre l'ancienne et la nouvelle.

On doit préciser dans l'énoncé d'une norme la mesure dans laquelle son application est obligatoire. Les trois niveaux d'obligation sont, par ordre décroissant :

• norme générale : norme approuvée par le Comité des politiques, dont l'application est par conséquent obligatoire, à moins d'obtenir une exemption explicite aux termes de la présente politique;
• norme recommandée : norme reconnue par le Comité des méthodes et des normes à titre de norme recommandée, avec ou sans période d'essai particulière après laquelle elle peut être adoptée à titre de norme générale;
• norme particulière à un programme : norme adoptée par un programme et homologuée par la Division des normes pour assurer la cohérence des données d'une série au fil du temps.

Rapport de vérification

Date du rapport : Mars 2012
Numéro de projet : 80590-68

• Sommaire exécutif
  • Principales constatations
  • Conculsion générale
  • Conformité aux normes professionnelles
• Introduction
  • Contexte
  • Objectifs de la vérification
  • Portée
  • Approche
  • Autorité
• Constatations, recommandations et réponses de la direction
  • Environnement de contrôle pour la gestion des APD
  • Pratiques et procédures pour la protection et la sauvegarde des données confidentielles de Statistique Canada
  • Gérance des données
• Annexe
  • Annexe A : Critères de vérification

Sommaire exécutif

Les APD sont un processus opérationnel clé. Ces dernières années, la gestion du partage des données a pris de l'ampleur et est devenue un domaine de plus en plus complexe à gérer. La protection de la confidentialité des données présente un défi. À l'heure actuelle, Statistique Canada a quatre APD portant sur des enquêtes sur la santé, en vertu de l'article 12 de la Loi sur la statistique, avec le Ministère de la Santé et des Soins de longue durée de l'Ontario (le Ministère). Le Ministère peut partager les données avec des tiers, comme les régions sociosanitaires relevant de sa compétence, des chercheurs dans des instituts ou des organismes de recherche reconnus au niveau provincial ou universitaire, l'Institut de recherche en services de santé de l'Ontario et Action Cancer Ontario.

Afin de protéger la confidentialité et la nature délicate des données recueillies, les APD comprennent des modalités et conditions pour veiller à ce que la confidentialité des données ne soit pas compromise.

Cette vérification vise à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :

• les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.

La vérification a été effectuée par les Services de vérification interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Les rôles et responsabilités sont officiellement définis et communiqués et il existe une séparation efficace des fonctions pour la gestion des données confidentielles et des ententes contractuelles de Statistique Canada, tant à Statistique Canada qu'au Ministère. Une matrice de délégation des pouvoirs au Ministère précise le niveau de pouvoirs requis pour partager des données avec des tiers. Le Ministère inclut une clause de vérification dans tous les accords contractuels avec des tiers prévoyant le partage de données identifiables. Le Ministère prévoit entreprendre des vérifications des « processus » en 2012, afin d'évaluer la conformité aux exigences comprises dans ses accords. Des pratiques et des procédures officielles sont en place pour s'assurer que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite. Des contrôles efficaces de l'accès aux locaux et aux espaces d'entreposage du Ministère sont en place. Des contrôles d'accès logique et des pratiques efficaces conformes à la politique du Ministère concernant les mesures d'identification et d'authentification sont en place et fonctionnent comme prévu.

Une évaluation des privilèges d'accès électronique aux fichiers de données de Statistique Canada au Ministère a révélé qu'il existe des possibilités de raffermir les contrôles de l'accès, en fournissant des privilèges d'accès aux employés selon le principe du besoin de savoir. Un contrôle permanent doit être assuré par le Ministère pour veiller à ce que les privilèges d'accès aux fichiers de données de Statistique Canada soient à jour et accordés aux employés autorisés uniquement.

Conclusion générale

Statistique Canada a conclu des accords de partage de données statistiques avec le Ministère pour l'appuyez et contribuer à la planification des services de santé et à la prise de décisions. Le partenariat entre Statistique Canada et le Ministère fait en sorte que la confidentialité des données est assurée.

Le Ministère dispose de pouvoirs délégués clairs, de responsabilités définies et de voies de communication précises pour appuyer la gestion efficace des modalités et conditions des APD entre lui et Statistique Canada. Des pratiques et des procédures officielles pour la gestion des données et la gestion de l'information sont en place au Ministère, pour s'assurer que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite. Il existe des contrôles et des mesures de protection efficaces pour l'accès aux locaux et aux espaces d'entreposage du Ministère, l'identification et l'authentification, ainsi que l'entreposage et la transmission des TI, afin d'empêcher les pertes, vols, violations ou divulgations inappropriées.

Il existe des possibilités de resserrer les contrôles de l'accès électronique, par exemple : 1) fournir des privilèges d'accès aux fichiers de données de Statistique Canada aux employés, selon le principe du besoin de savoir, et 2) assurer un surveillance permanente des privilèges d'accès aux fichiers des données de Statistique Canada, pour veiller à ce qu'ils soient à jour et qu'ils soient accordés aux employés autorisés uniquement.

Conformité aux normes professionnelles

Cette mission de vérification est conforme aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes de vérification internes du gouvernement du Canada. Des tests suffisants ont été effectués pour appuyer les constatations et les recommandations connexes.

Introduction

Contexte

La Division de la statistique de la santé (DSS) à Statistique Canada a le mandat de fournir des données exactes, à jour et pertinentes concernant la santé des Canadiens. La DSS fournit des données statistiques au sujet de la santé de la population, des déterminants de la santé, ainsi que de la portée et de l'utilisation des ressources de soins de santé au Canada. Ces données servent à appuyer les planificateurs et les décideurs dans le domaine de la santé, à tous les niveaux de l'administration publique, à soutenir les recherches démographiques et épidémiologiques, et à rendre des comptes au public canadien au sujet du système de santé et des soins de santé collectifs. La DSS travaille en partenariat avec les registraires provinciaux et territoriaux de la statistique de l'état civil et les registres du cancer, ainsi que les fournisseurs et les utilisateurs de données au niveau fédéral (Santé Canada et Agence de la santé publique du Canada), au niveau provincial (ministères provinciaux de la Santé) et au niveau régional (régions sociosanitaires).

Pour mener à bien son mandat, la DSS conclut des accords de partage de données (APD) statistiques avec d'autres organisations, en vertu des articles 11 et 12 de la Loi sur la statistique. Ces accords englobent la presque totalité des enquêtes auprès des entreprises et une majorité d'enquêtes auprès des ménages, et font l'objet de certaines exceptions concernant la diffusion des renseignements confidentiels sur les répondants, avec ou sans leur consentement, à la condition que toutes les parties respectent les exigences prévues par la loi en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsqu'il entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage de données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.

Les APD sont un processus opérationnel clé. Ces dernières années, la gestion du partage des données a pris de l'ampleur et est devenue de plus en plus complexe. À l'heure actuelle, Statistique Canada a quatre APD portant sur des enquêtes sur la santé, en vertu de l'article 12 de la Loi sur la statistique, avec le Ministère de la Santé et de Soins de longue durée de l'Ontario (le Ministère). Il s'agit des suivantes :

1. Enquête sur la santé dans les collectivités canadiennes (ESCC)
2. Enquête sur la santé dans les collectivités canadiennes – Nutrition (ESCC Nutrition)
3. Enquête nationale sur la santé de la population (ENSP)
4. Enquête sur les personnes ayant une maladie chronique au Canada (EPMCC).

L'ESCC est une enquête transversale qui recueille des données concernant l'état de santé, l'utilisation des soins de santé et les déterminants de la santé de la population canadienne. Il s'agit d'une enquête annuelle qui dépend d'un vaste échantillon de répondants et qui est conçue pour fournir des estimations fiables au niveau de la région sociosanitaire. L'ESCC Nutrition est une enquête ponctuelle servant à recueillir des données au niveau provincial sur l'état nutritionnel global de la population canadienne. Son objectif premier est de fournir des renseignements fiables et à jour concernant l'apport alimentaire, le bien être nutritionnel et leurs déterminants clés, en vue d'éclairer et de guider les programmes, politiques et activités des gouvernements fédéral et provinciaux et des services de santé locaux. Le caractère unique de ces enquêtes vient de la nature régionale du contenu et de la mise en œuvre. Ces aspects permettent l'analyse des données sur la santé au niveau régional, dans l'ensemble du Canada.

L'ENSP est une enquête longitudinale qui fournit des renseignements uniques concernant la santé des Canadiens. Tous les deux ans, les mêmes personnes fournissent des données à jour et approfondies sur leur état de santé physique et mental, leur utilisation des services de soins de santé, leurs activités physiques, leur vie au travail et leur environnement social. L'enquête permet de recueillir des données sur la santé de la population canadienne et des données sociodémographiques connexes. Santé Canada, l'Agence de la santé publique du Canada et les ministères provinciaux utilisent les données longitudinales de l'ENSP pour la planification.

L'EPMCC est parrainée par l'Agence de la santé publique du Canada et vise à évaluer les répercussions du diabète et des problèmes respiratoires (asthme et bronchopneumopathie chronique obstructive) sur la qualité de vie, ainsi qu'à fournir plus de renseignements sur la façon dont les Canadiens gèrent leurs problèmes de santé chroniques. Des données ont été recueillies à l'automne 2010 et au printemps 2011, et environ 6 500 personnes dans les dix provinces ont été interviewées.

Les données sont utilisées de façon exhaustive par la collectivité des chercheurs et d'autres professionnels de la santé. Les ministères fédéraux et provinciaux de la santé et des ressources humaines, les organismes de services sociaux et d'autres types d'organismes gouvernementaux utilisent les données recueillies auprès des répondants pour planifier, mettre en œuvre et évaluer les programmes, en vue d'améliorer la santé et l'efficacité des services de santé. Des organismes de santé sans but lucratif et des chercheurs universitaires utilisent les données pour la recherche de façons d'améliorer la santé.

Objectifs de la vérification

L'objectif de la vérification consiste à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :

• les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.

Portée

La portée de cette vérification comprend un examen des modalités et conditions prévues dans les quatre APD pour assurer la protection de la confidentialité et de la nature délicate des données recueillies. La vérification a été axée sur la protection de la confidentialité et de la sécurité (accès, entreposage et transmission des TI, espaces d'entreposage et copie, ainsi que conservation de l'information et gestion des dossiers) au Ministère, afin de veiller à ce que les données soient protégées et la confidentialité soit assurée.

Le Ministère peut partager les données avec des tiers, comme les régions sanitaires relevant de sa compétence, des chercheurs dans des instituts ou des organismes de recherche reconnus au niveau provincial ou universitaire, l'Institut de recherche en services de santé de l'Ontario et Action Cancer Ontario. Afin de protéger la confidentialité et la nature délicate des données recueillies, les APD comprennent des modalités pour veiller à ce que la confidentialité des données ne soit pas compromise.

Approche

Une visite a été effectuée au Ministère, afin d'évaluer les procédures en place pour faire en sorte que les modalités des APD entre Statistique Canada et le Ministère soient respectées. L'approche comprenait des entrevues avec les cadres supérieurs et le personnel clé, ainsi qu'un examen, une revue et une mise à l'essai des processus ou des procédures en place au Ministère, pour s'assurer que les modalités et conditions des APD entre Statistique Canada et le Ministère sont respectées, en mettant l'accent sur l'existence d'exigences en matière de sécurité, la conformité à ces exigences et le maintien de la confidentialité des données.

Autorité

La vérification a été menée en vertu des pouvoirs prévus dans le Plan pluriannuel de vérification axé sur les risques de Statistique Canada, pour 2011 – 2012 et 2013 – 2014, approuvé en mars 2011 par le Comité ministériel de vérification.

Constatations, recommandations et réponses de la direction

Champ d'enquête : Les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.

Environnement de contrôle pour la gestion des APD

Des pouvoirs délégués clairs, des responsabilités définies et des voies de communication précises à l'appui de la gestion efficace des modalités et conditions des APD devraient exister pour assurer l'efficacité et l'efficience des opérations. Il devrait exister un contrôle du rendement opérationnel pour déceler les erreurs ou les erreurs possibles susceptibles de faire augmenter le risque opérationnel.

Pouvoirs
Statistique Canada exerce son mandat qui consiste à conclure des accords de partage de données (APD) statistiques avec d'autres organisations, en vertu des articles 11 et 12 de la Loi sur la statistique.

Le Ministère exerce son mandat qui consiste à conclure des accords contractuels pour les fichiers de données des enquêtes sur la santé de Statistique Canada avec des tiers compris dans les APD de Statistique Canada avec le Ministère (p. ex., 36 unités de santé publique (USP) en Ontario, 14 réseaux locaux d'intégration des services de santé (RLISS) de l'Ontario, l'Institut de recherche en services de santé (IRSS) de l'Ontario, Action Cancer Ontario (ACO), et des chercheurs indépendants d'instituts/d'organismes de recherche provinciaux et universitaires reconnus, en vertu des articles 29, 39 et 45 de la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario.

Rôles et responsabilités et séparation des fonctions
La vérification a permis de déterminer que les rôles et les responsabilités sont officiellement définis, communiqués et mis en pratique. Il existe une séparation efficace des fonctions pour la gestion des données confidentielles de Statistique Canada et des ententes contractuelles, tant à Statistique Canada qu'au Ministère.

À Statistique Canada, trois divisions ont la responsabilité fonctionnelle de l'administration et de la gestion des APD .

• La Division de la gestion de l'information (DGI) (anciennement appelée Division des services d'accès et de contrôle des données (SACD)), de concert avec la Division des services juridiques, négocie et élabore les APD , afin de faire en sorte que les modalités et conditions englobent les dispositions requises en vertu de l'article 12 de la Loi sur la statistique et des articles 18.1 et 45 de la LPRPS de l'Ontario et s'y conforment.
• Les Services à la clientèle de la DSS assurent la liaison entre le Ministère et Statistique Canada pour la préparation des fichiers de données d'enquêtes sur la santé, en vue de leur transmission au Ministère.
• La Division des systèmes et de l'infrastructure de collecte (DSIC) supervise le processus de transfert électronique de fichiers, afin d'assurer le transfert sécuritaire des données chiffrées de Statistique Canada au Ministère.

Au Ministère, trois directions de la Division de la gestion de l'information et de l'investissement pour le système de santé ont la responsabilité fonctionnelle de l'administration et de la gestion des données des enquêtes sur la santé de Statistique Canada.

• La Direction des stratégies et politiques de gestion de l'information (DSPGI), de concert avec la Direction des services juridiques, négocie, élabore et gère toutes les ententes contractuelles entre le Ministère et les tiers.
• La Direction analytique en matière de santé (DAS) est chargée de recevoir tous les fichiers de données des enquêtes sur la santé de Statistique Canada, de les analyser et d'assurer le soutien de première ligne des services à la clientèle et aux USP, aux RLISS et à ACO .
• La Direction des données sur la santé (DDS) est chargée de préparer tous les fichiers de données en vue de leur transmission à des tiers et d'assurer le soutien de première ligne des services à la clientèle à l'IRSS et aux chercheurs indépendants des instituts et organismes de recherche.

Délégation des pouvoirs
Le Ministère dispose d'une matrice de délégation des pouvoirs datée du 20 septembre 2010. Le sous ministre adjoint (SMA) doit approuver toutes les ententes avec des tiers comportant l'accès à des données identifiables, et les directeurs approuvent l'accès aux données non identifiables. La vérification a permis de sélectionner de façon aléatoire et de passer en revue 13 accords sur 36 avec les USP (36 %) et cinq accords sur 14 avec les RLISS (36 %), ainsi que chacun des accords avec l'IRSS et ACO, et a noté que tous les accords étaient approuvés par le SMA, Division de la gestion de l'information et de l'investissement pour le système de santé, et respectaient la délégation des pouvoirs.

Accords contractuels
Chaque type d'accord autorise le partage de données anonymes ou synonymes. Les données anonymes sont des données dont toutes les composantes identifiables ont été supprimées. Les données synonymes sont des données dont toutes les composantes identifiables ont été chiffrées avant le partage. Deux conseillers principaux à la DSPGI gèrent tous les accords contractuels entre le Ministère et les tiers. L'un d'eux est responsable des USP, des RLISS , de l'IRSS et d'ACO, et le deuxième, des chercheurs indépendants des instituts et organismes de recherche.

Les accords suivants sont en place entre le Ministère et des tiers pour les fichiers de données des enquêtes sur la santé de Statistique Canada :

1. Accord sur la protection des données personnelles pour une entité déterminée (ED). Il existe un accord avec l'IRSS portant sur les données de l'ESCC et de l'ENSP et un accord avec ACO portant sur les données de l'ESCC, conformément aux APD de Statistique Canada avec le Ministère. L'ED doit avoir mis en place des pratiques et des procédures approuvées par le Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario, afin d'assurer la protection de la vie privée des personnes dont les données personnelles sur la santé sont reçues et de maintenir la confidentialité de ces données.
2. Accords de partage de données. Des accords de partage de données sont en place avec chacune des 36 USP en Ontario et couvrent les données de l'ESCC, conformément aux APD de Statistique Canada avec le Ministère.
3. Accord sur les données anonymes. Il existe un accord sur les données anonymes avec chacun des 14 RLISS en Ontario, qui couvre les données de l'ESCC, conformément aux APD de Statistique Canada avec le Ministère.

Des accords avec des tiers ont été passés en revue, afin d'assurer leur conformité aux modalités et conditions des APD de Statistique Canada, en mettant l'accent sur la gestion de la confidentialité et de la sécurité (accès, entreposage et transmission des TI, espaces d'entreposage et copie, ainsi que conservation de l'information et gestion des dossiers), grâce à la sélection aléatoire de 13 des 36 accords avec les USP (36 %), cinq des 14 accords avec les RLISS (36 %) et chacun des accords avec l'IRSS et ACO.

La vérification a permis de noter que les accords du Ministère avec les USP, les RLISS, l'IRSS et ACO sont conformes aux modalités des APD de Statistique Canada en ce qui a trait à la gestion de la confidentialité et de la sécurité.

Des pouvoirs délégués clairs, des responsabilités définies et des voies de communication à l'appui de la gestion efficace des modalités des APD sont en place et respectés et permettent des opérations efficientes et efficaces.

Surveillance
La surveillance est prescrite par Statistique Canada dans deux clauses de vérification comprises dans les APD. Les clauses sont les suivantes : « le droit d'examiner, à n'importe quel moment et à ses propres frais, la conformité du Ministère aux conditions établies dans le présent accord, au moyen d'une vérification ou d'un examen de programme » et demander au Ministère de vérifier les tiers « par suite d'une demande raisonnable de Statistique Canada ».

Le Ministère inclut une clause de vérification dans tous les accords prévoyant le partage de données identifiables.

Le Ministère prévoit entreprendre des vérifications des « processus » en 2012. Un document de processus a été élaboré et comprend des modèles de lettres, des listes de vérification, des questionnaires de vérification, etc. pour la tenue d'une vérification des « processus ». Même si les vérifications de « processus » n'ont pas commencé dans les faits, le Ministère a fait la démonstration de la mise en œuvre de contrôles compensatoires, par exemple, la formation de ses employés ou des tiers concernant les exigences en matière de sécurité, la communication d'un rappel concernant les exigences de sécurité avant la transmission d'un fichier de données, l'obtention du consentement requis par écrit de Statistique Canada, avant de conclure des accords avec des chercheurs des instituts et des organismes de recherche, et le maintien d'une collaboration permanente avec ses partenaires.

Le Ministère fait l'objet d'une supervision par le Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario, qui est autorisé à délivrer un pouvoir d'ordonnance exécutoire à la réception d'une plainte officielle en ce qui a trait aux données personnelles détenues par le gouvernement et par tous les praticiens et organisations de soins de santé. Le pouvoir d'ordonnance exécutoire prévoit la conformité à la LPRPS.

Les APD de Statistique Canada avec le Ministère comportent une disposition faisant état des exigences, pour le cas où un accès non autorisé se produirait. Aucun incident d'accès non autorisé n'a été signalé à Statistique Canada par le Ministère. Il existe une disposition similaire dans les accords contractuels du Ministère, et ce dernier a de la documentation décrivant le processus à suivre dans le cas d'une violation et détermine les rôles et responsabilités des principaux intervenants. Aucun incident d'accès non autorisé n'a été signalé au Ministère par des tiers.

Pratiques et procédures pour la protection et la sauvegarde des données confidentielles de Statistique Canada

L'existence de pratiques et de procédures officielles pour la gestion des risques liés à l'utilisation non autorisée, à la divulgation, à la perte ou au vol de données par le Ministère ferait en sorte que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite.

Gestion des données
Au niveau du programme, la DSS de Statistique Canada est responsable du transfert sécuritaire des fichiers de données des enquêtes sur la santé à une seule personne-ressource autorisée au Ministère. Les Services à la clientèle de la DSS préparent les fichiers de données et en assurent la protection au moyen d'un mot de passe, en vue de leur transmission par la DSIC au moyen du transfert électronique de fichiers. Après accusé de réception des fichiers de données par la personne-ressource autorisée, les Services à la clientèle de la DSS envoient le mot de passe par courriel ou par télécopieur. Un registre de contrôle est maintenu et comporte une liste des organisations, des noms des personnes-ressources, des fichiers de données et des dates d'envoi et de réception par le Ministère, ainsi que le mot de passe.

Au Ministère, les fichiers de données sont reçus et entreposés dans un répertoire « restreint » dans un serveur réservé, dont l'accès est limité aux employés autorités. Les fichiers de données sont par la suite entreposés dans un répertoire « partagé » dans le serveur réservé, en vue de leur utilisation par les employés autorisés. L'accès au répertoire et aux dossiers et fichiers connexes comprenant les données de Statistique Canada peut être accordé uniquement par la personne-ressource autorisée qui reçoit les fichiers de données de Statistique Canada et doit être approuvé par la DAS et la Direction du groupement TI pour les services de santé

La préparation et la distribution des fichiers de données à des tiers sont organisées et menées par deux directions du Ministère. La DAS prépare et distribue les fichiers aux USP, aux RLISS, à l'IRSS et à ACO, et la DDS prépare et distribue les fichiers pour les chercheurs des instituts et des organismes de recherche.

Les fichiers de données sont transmis à des tiers sur disques compacts (CD). Les CD sont envoyés uniquement après confirmation du nom de la personne-ressource chez les tiers. Ce n'est que sur réception de cette confirmation que le CD leur est envoyé par messager. Le mot de passe est envoyé à part par télécopieur ou par courriel, après confirmation de la réception du CD. Un registre de contrôle est maintenu et comprend le nom des personnes-ressources, la date d'envoi et de réception du CD et la date d'envoi du mot de passe, ainsi que la date d'accusé de réception par courriel. Les renseignements renvoyés au Ministère par des tiers doivent être chiffrés, zippés et mis sur CD.

Gestion de l'information
Les chercheurs indépendants dans un institut ou un organisme de recherche doivent remplir un formulaire de demande faisant état de leur projet de recherche, de ses objectifs et des besoins des données. Chaque demande doit être accompagnée d'un sceau d'approbation du Comité d'éthique et de la recherche (CER) de l'université. Chaque demande fait l'objet d'une analyse rigoureuse des données, afin de veiller à ce que seuls les renseignements répondant aux objectifs du programme ou du projet de recherche soient diffusés, et que seuls les renseignements concernant un projet autorisé en vertu du mandat du Ministère soient diffusés. L'accès aux données pour ces demandeurs est généralement limité à une période de trois ans. La vérification a permis de noter qu'à l'heure actuelle il n'existe pas d'accords contractuels avec des chercheurs indépendants dans des instituts ou des organismes de recherche en Ontario.

Les accords contractuels avec les USP et les RLISS ont été renouvelés sur une base annuelle jusqu'à l'an dernier. Les nouveaux accords signés en 2010 ne comportent pas de date d'expiration, afin de réduire le fardeau administratif. On dépend maintenant de la mise en place de voies de communication et de rapports bien établis au niveau opérationnel pour assurer la protection et la sauvegarde des données confidentielles.

La vérification comprenait une mise à l'essai des fichiers des répondants à l'ESCC de 2010 en Ontario distribués aux USP, aux RLISS, à l'IRSS et à ACO, en vue de vérifier leur conformité aux modalités des APD de Statistique Canada. Les tests menés dans le cadre de la vérification ont révélé ce qui suit :

• La variable personnelle du jour de naissance du répondant et les identificateurs géographiques des petites régions compris dans le fichier de données préparé en vue de sa distribution aux RLISS ont été supprimés, afin que les répondants ne puissent être identifiés, et la colonne comportant une liste des numéros d'assurance-maladie a été chiffrée au moyen d'un identificateur séquentiel unique.
• Le fichier de données préparé en vue de sa distribution aux USP comprenait aussi l'identificateur séquentiel unique, avec un numéro d'assurance-maladie chiffré. Les USP peuvent accéder aux données sans lien avec les noms, adresses, numéros de téléphone et numéros d'assurance-maladie.
• Le fichier de données préparé pour ACO ne comprenait pas d'identificateurs personnels, une évaluation menée par le Ministère relativement aux besoins d'ACO ayant révélé qu'ils étaient inutiles.
• Le fichier de couplage avec les identificateurs (numéros d'assurance-maladie) est uniquement envoyé à l'IRSS.

La vérification a permis de conclure que les fichiers des répondants à l'ESCC de 2010 en Ontario distribués aux USP, aux RLISS, à l'IRSS et à ACO étaient conformes aux modalités et conditions des APD de Statistique Canada.

Des pratiques et des procédures officielles pour la gestion des risques liés à l'utilisation non autorisée, à la divulgation, à la perte ou au vol de données sont en place, afin que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite.

Gérance des données

Les données fournies au Ministère sont désignées comme des données « Protégées B », conformément à la définition de la Politique sur la sécurité du gouvernement fédéral. Le Ministère doit veiller à ce que le contrôle et la protection des renseignements matériels ou électroniques soit assuré de façon à protéger contre la perte, le vol, la violation ou la divulgation inappropriée. L'accès devrait être accordé uniquement aux employés selon le principe du besoin de savoir dans le cadre de leurs fonctions.

Accès aux locaux et aux espaces d'entreposage du Ministère
Une inspection des locaux a été menée dans deux emplacements du Ministère au cours de l'étape de l'examen de la vérification. La vérification a permis de noter que les locaux sont protégés par des portes fermées à clé. Un lecteur de cartes se trouve à l'extérieur de chaque série de portes et l'accès est limité au personnel autorisé doté de cartes d'identité personnelles d'accès. Les toilettes sont situées à l'intérieur de l'aire de bureaux sécurisée et les visiteurs sont escortés par une personne autorisée en tout temps.

Les locaux sont sécuritaires, chaque poste de travail disposant de classeurs dotés de cadenas fonctionnels pour l'entreposage des données confidentielles.

Accès électronique aux fichiers de données
L'accès des employés aux fichiers des enquêtes sur la santé de Statistique Canada est limité selon le principe du besoin de savoir. C'est le cas pour toutes les données de nature très délicate qui sont traitées par le Ministère. À l'heure actuelle, le Ministère compte environ 100 ensembles de données qui comprennent des données de Statistique Canada.

Les fichiers d'enquête originaux reçus de Statistique Canada sont entreposés dans un répertoire « restreint » et leur accès est limité à quelques analystes de la DAS. Les fichiers de données sont copiés et entreposés dans un répertoire « partagé » dans le serveur réservé et l'accès est accordé uniquement aux employés autorisés. Un registre de contrôle comprenant les noms des lecteurs et des dossiers et fichiers connexes, ainsi que les noms des employés qui sont autorisés à y accéder, sert à assurer le suivi de l'accès aux fichiers de données des enquêtes sur la santé de Statistique Canada.

Dans le cadre de la vérification, on a vérifié si ce sont les employés figurant dans le registre de contrôle qui avaient l'accès au lecteur « restreint ». Les noms des employés figurant dans un rapport des TI de la Direction du groupement TI pour les services de santé ont été comparés aux noms des employés du registre de contrôle. Tous les noms des employés correspondaient, sauf un. L'enquête a révélé qu'il existait de la documentation de soutien pour la demande de changement, mais que le registre de contrôle n'avait pas été mis à jour pour rendre compte du changement.

Dans le cadre de la vérification, on a vérifié les privilèges d'accès au répertoire « restreint » et au répertoire « partagé » pour trois employés de la DSPGI , étant donné que cette dernière ne figurait pas parmi les directions ayant des privilèges d'accès. Dans le cadre de la vérification, on a souligné que les trois employés n'avaient pas accès au répertoire « restreint » mais avaient accès au répertoire « partagé » et à tous les dossiers connexes du répertoire. Toutefois, étant donné qu'aucun de ces employés n'avait d'application SAS ou SPSS à son ordinateur personnel, ils ne pouvaient pas ouvrir les fichiers.

Mesures d'identification et d'authentification, entreposage et transmission des TI
Dans le cadre de la vérification, on a vérifié les contrôles d'accès logique, les délais de fermeture automatique et l'entreposage des fichiers de données dans les ordinateurs personnels de deux employés. Des contrôles d'accès logique et des pratiques efficaces conformes à la politique sur les mesures d'identification et d'authentification au Ministère sont en place et fonctionnent comme prévu. L'examen des lecteurs des ordinateurs personnels des deux employés ont révélé qu'aucun fichier de données n'y était entreposé.

La politique du Ministère ne recommande pas l'entreposage ou la transmission de données de nature très délicate au moyen de supports d'information amovibles, comme des CD et des clés de mémoire. La transmission au moyen de supports d'information amovibles est autorisée en cas d'urgence seulement, et des instructions détaillées sont fournies dans la politique sur la transmission de données de nature très délicate sur supports d'information amovibles. La transmission par courriel n'est pas recommandée non plus, mais si elle se produit, les fichiers doivent être zippés et protégés au moyen d'un mot de passe. On a souligné que, compte tenu de la taille des fichiers de données, la transmission par courriel ne serait pas possible. On utilise un réseau privé virtuel (RPV) pour chiffrer et transférer de façon sécuritaire les données sur Internet.

Les fichiers de données sont zippés, protégés au moyen d'un mot de passe et copiés sur des CD. On utilise un mot de passe différent pour les fichiers de données de l'ESCC et ceux de l'ENSP, chaque fois qu'ils sont distribués. Un nouveau mot de passe est créé pour chaque nouveau projet de chercheur indépendant dans un institut ou un organisme de recherche. Le mot de passe est envoyé par télécopieur ou par courriel à la personne-ressource sur accusé de réception du CD. Les employés du Ministère doivent entreposer tous les fichiers de données dans le serveur désigné, et non pas dans leurs ordinateurs personnels, et ils ne peuvent sortir de fichiers du bureau.

Conservation de l'information et gestion des dossiers
La responsabilité globale de la conservation de l'information et de la gestion des dossiers pour le Ministère relève du Bureau du directeur général de l'information et de la protection de la vie privée. Le Ministère gère un calendrier de conservation des dossiers à ses propres fins pour les fonds de données particuliers qu'il crée et dont il est responsable, par exemple, OHIP. Il n'a pas de calendrier similaire pour les données qu'il reçoit de Statistique Canada, ni de politique sur la conservation de l'information et la gestion des dossiers.

Il n'y a pas d'exigence pour la conservation de l'information dans les APD de Statistique Canada avec le Ministère. La DSS à Statistique Canada appuie la conservation des données jusqu'à la « fin de leur utilisation ».

Le Ministère conserve tous les CD et tous les fichiers originaux reçus de Statistique Canada, pour pouvoir s'y reporter.

Des contrôles efficaces de l'accès aux locaux et aux espaces d'entreposage du Ministère sont en place. Une gestion efficace conforme à la politique du Ministère concernant les mesures d'identification et d'authentification est en place et fonctionne comme prévu. Toutefois, il existe des possibilités de raffermir les contrôles de l'accès électronique des employés, selon le principe du besoin de savoir, et un contrôle permanent doit être assuré par le Ministère pour veiller à ce que l'accès électronique soit accordé aux employés autorisés uniquement.

Recommandations

Le statisticien en chef adjoint (SCA), Secteur de la statistique sociale, de la santé et du travail, devrait communiquer avec le Ministère pour assurer la mise en œuvre des éléments suivants :

• l'accès des employés aux fichiers de données de Statistique Canada dans les répertoires « partagés » est limité selon le principe du besoin de savoir;
• le contrôle permanent des privilèges d'accès aux fichiers de données de Statistique Canada dans le répertoire « partagé » est à jour et accordé aux employés autorisés uniquement.

Réponse de la direction

La direction est d'accord avec les recommandations.

• Tous les six mois, le directeur de la DSS demandera au Ministère de fournir un rapport faisant état des employés qui ont accès au lecteur partagé et attestant que ces employés ont légitimement besoin de prendre connaissance de ces données.
  Produits livrables et échéance : Rapport du Ministère tous les six mois.

Annexe

Annexe A : Critères de vérification

Champ d’enquête/ Contrôle clé	Critère
Les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées, avec un accent sur la confidentialité des données.
Reddition de comptes	Les responsabilités sont officiellement définies et clairement communiquées. Les pouvoirs sont officiellement délégués, en fonction des responsabilités de chacun. Au besoin, les fonctions incompatibles ne sont pas combinées.
Gestion des risques	Les risques sont déterminés, tant au niveau du programme que de la région, et tiennent compte des environnements interne et externe du Programme des CDR. Des processus et des lignes directrices officiels existent, afin de faciliter l'évaluation des contrôles en place pour gérer les risques déterminés.
Services axés sur les citoyens	Il existe des mécanismes de communication officiels pour appuyer le partage des données, ainsi que des procédures de suivi pour favoriser les idées et les commentaires. Les dossiers, renseignements et données sont dûment protégés, conformément aux dispositions législatives sur la protection des renseignements personnels.
Gérance	L'accès aux données est limité aux personnes autorisées et fait l'objet de contrôles de sécurité appropriés, en conformité avec les dispositions législatives sur la protection de la vie privée. L'accès est limité. Des procédures pour sauvegarder les données partagées, par suite de changements dans les fonctions d'un employé, existent et sont respectées. Il existe des procédures pour protéger l'utilisation des données contre les abus ou les fraudes. Il existe des contrôles d'accès logique pour faire en sorte que l'accès aux systèmes et aux données soit limité aux utilisateurs autorisés, par exemple, le système exige un mot de passe et un code d'utilisateur pour ouvrir une session. Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées. La responsabilité en matière de rapports est claire et elle est communiquée et appliquée en conséquence. Des rapports complets, précis, pertinents et à jour sont produits au besoin. Les processus sont compris et respectés. Dans le cas des services fournis par des tiers, le Ministère a mis en œuvre un programme pour contrôler leurs activités.
Résultats et rendement	La responsabilité du contrôle est claire et communiquée et les résultats sont communiqués aux niveaux d'autorisation requis. Une surveillance active est démontrée.

Rapport de vérification

Date du rapport : Mars 2012
Numéro de projet : 80590-69

• Sommaire exécutif
  • Principales constatations
  • Conculsion générale
  • Conformité aux normes professionnelles
• Introduction
  • Contexte
  • Objectifs de la vérification
  • Portée
  • Approche
  • Autorité
• Constatations, recommandations et réponses de la direction
  • Environnement de contrôle pour la gestion de la confidentialité
  • Gestion des risques
  • Conformité aux dispositions législatives, aux politiques et aux directives
• Annexes
  • Annexe A : Critères de vérification
  • Annexe B : Ententes et formulaires de confidentialité
  • Annexe C : Dispositions législatives, politiques et directives pertinentes

Sommaire exécutif

Le Centre canadien de la statistique juridique (CCSJ) de Statistique Canada est l'organe opérationnel d'un partenariat fédéral-provincial-territorial appelé Entreprise nationale relative à la statistique juridique (ENRSJ), dont le mandat est de fournir des données aux intervenants de l'appareil judiciaire et au grand public concernant la nature et la portée de la criminalité et l'administration de la justice pénale et civile au Canada. Le CCSJ recueille des données relativement au système de justice national, à partir de microdonnées fournies par des partenaires du milieu juridique et des fournisseurs de données externes, comme les services de police, les tribunaux fédéraux/provinciaux/municipaux et d'autres partenaires du milieu juridique. Après réception et manipulation des données, des données statistiques agrégées sont fournies, avant la diffusion officielle, à l'organisation qui est à la source du fichier, à des fins de validation et d'information. Tout au long de ce processus, le directeur est chargé d'assurer le suivi de l'emplacement, des utilisateurs et des utilisations des données fournies de façon confidentielle. Un certain nombre d'outils, comme des ententes, des formulaires et des systèmes des TI, sont en place pour protéger la confidentialité des données statistiques de nature délicate tout au long du processus d'enquête. Au niveau de l'organisme, plusieurs divisions jouent un rôle pour la gestion de la confidentialité des données statistiques de nature délicate.

Cette vérification vise à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que :

• les enquêtes sur la statistique juridique comportent un cadre stratégique approprié et efficace pour assurer la protection de la confidentialité des données statistiques de nature délicate; et
• les enquêtes visées sont conformes aux dispositions législatives, politiques et normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada relativement à la confidentialité des données statistiques de nature délicate.

La vérification a été effectuée par les Services de vérification interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Le cadre stratégique pour la gestion des données statistiques de nature délicate profiterait d'une plus grande clarté et intégration des rôles et responsabilités en ce qui a trait à la protection des données statistiques de nature délicate. Les objectifs du cadre de contrôle entourant les travaux en cours ne sont pas bien compris à la Division des communications ou au CCSJ. Par conséquent, le cadre stratégique entourant les ententes et les formulaires relatifs aux travaux en cours devrait être raffermi pour assurer la protection des données statistiques de nature délicate. En l'absence d'ententes officielles pour désigner les destinataires autorisés des données en prédiffusion, il est peu probable que les responsables du programme pourront déterminer les répercussions des violations qui pourraient se produire, en rendre compte et les atténuer.

Les évaluations fournies par le CCSJ pour l'exercice d'évaluation des risques ne comportent pas de documentation de soutien déterminant les risques particuliers qui pourraient empêcher la protection de la confidentialité des données statistiques de nature délicate pour les enquêtes sur la justice, ni d'évaluation exhaustive des contrôles en place pour atténuer ces risques.

Les systèmes des TI utilisés pour préserver les enregistrements et les données sont conformes aux dispositions législatives et aux politiques pertinentes du Conseil du Trésor. Des contrôles d'autorisation de l'accès aux données statistiques de nature délicate sont en place. L'équipe de vérification a déterminé que les privilèges d'accès doivent être mis à jour sur une base continue, afin de maintenir l'efficacité de ces contrôles.

Conclusion générale

La statistique juridique est appuyée par un cadre stratégique exhaustif. Les pratiques de gestion des données du CCSJ sont conformes aux dispositions législatives, politiques et normes pertinentes du SCT et de Statistique Canada en ce qui a trait à la confidentialité des données statistiques de nature délicate.

Même si l'organisme a déployé des efforts importants pour établir un modèle rigoureux, de gouvernance de la confidentialité, une plus grande clarté et intégration des rôles et responsabilités est nécessaire pour assurer la protection des données statistiques de nature délicate. L'amélioration des contrôles entourant la diffusion anticipée permettrait d'augmenter la confidentialité des données statistiques de nature délicate partagées au cours de la validation des données statistiques agrégées avec les partenaires externes du milieu juridique.

Conformité aux normes professionnelles

Cette mission de vérification est conforme aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes de vérification internes du gouvernement du Canada. Des tests suffisants ont été effectués pour appuyer les constatations et les recommandations connexes.

Introduction

Contexte

La confidentialité des données statistiques de nature délicate est une valeur essentielle et une nécessité au sens de la loi à Statistique Canada. Elle est ancrée dans la Loi sur la statistique et intégrée dans diverses politiques et procédures qui appuient les activités de l'organisme. Même si la confidentialité et la sécurité comportent des risques inhérents, Statistique Canada tente de les gérer dans les secteurs de programme d'enquête.

Statistique Canada mène des enquêtes dans quatre domaines de la justice : services de police, tribunaux, services correctionnels et victimisation. Au total, on compte 13 enquêtes actives portant sur les quatre domaines. Le CCSJ est l'organe opérationnel du partenariat fédéral-provincial-territorial appelé Entreprise nationale relative à la statistique juridique (ENRSJ), dont le mandat est de fournir des données aux intervenants de l'appareil judiciaire et au grand public concernant la nature et la portée de la criminalité et l'administration de la justice pénale et civile au Canada. Le CCSJ œuvre dans le cadre d'un partenariat où les administrations fédérale/provinciales/territoriales (F/P/T) partagent les pouvoirs et les responsabilités en ce qui concerne le programme de la statistique juridique. Du fait de cette structure de gouvernance, les secteurs de compétence jouent un rôle clé dans la collecte et la vérification des données.

Le CCSJ est responsable de 12 des 13 enquêtes avec la Division de la statistique sociale et autochtone (DSSEA), qui est chargée de la collecte et du traitement du cycle sur la victimisation de l'Enquête sociale générale. Le CCSJ mène à la fois des enquêtes obligatoires et volontaires. Les sources des données d'enquête à la Division sont les données administratives, ainsi que les enquêtes directes au moyen de questionnaires.

Programme de déclaration uniforme de la criminalité
Des données agrégées sur la criminalité déclarée sont recueillies par le Programme DUC depuis 1962. La version des microdonnées de l'enquête (DUC2) comprend des données comme l'âge et le sexe des victimes et des contrevenants, la relation entre la victime et l'accusé, les armes utilisées, la gravité des blessures de la victime et le lieu de l'incident. Grâce à ces données détaillées, des questions comme la violence familiale, l'utilisation d'armes à feu pour commettre des crimes, les crimes organisés et les gangs de rue, les crimes motivés par la haine, la cybercriminalité, le crime déclaré par la police et la gravité de la criminalité chez les jeunes peuvent être résolues.

Enquête intégrée sur les tribunaux de juridiction criminelle (EITJC)
Le Programme des tribunaux est responsable de la collecte, de l'analyse et de la diffusion des données relatives au fonctionnement des tribunaux de juridiction criminelle et civile au Canada. L'Enquête intégrée sur les tribunaux de juridiction criminelle (EITJC) recueille des données détaillées sur chaque comparution devant les tribunaux de juridiction criminelle pour adultes et les tribunaux de la jeunesse et fournit par conséquent des renseignements sur le nombre de causes, le traitement des causes et les peines imposées pour toutes les infractions au code criminel et aux lois fédérales au Canada. L'ensemble des provinces et territoires déclarent des données sur les tribunaux provinciaux/territoriaux dans le cadre de l'enquête. La couverture globale de l'enquête se situe à environ 95 % du nombre de causes relevant des tribunaux de juridiction criminelle. Les données sont recueillies au moyen d'une « interface ». Il s'agit d'un programme logiciel qui extrait automatiquement les données du système d'information automatisé sur les tribunaux, en fonction des définitions de l'enquête.

Le CCSJ recueille des données relatives au système de justice national, à partir de sources administratives fournies par des partenaires externes du milieu juridique et des fournisseurs des données, comme les services de police, les tribunaux fédéraux/provinciaux/municipaux et d'autres partenaires du milieu juridique. De façon plus particulière :

• Le Comité de l'information et de la statistique policière (CISP), un comité de l'Association canadienne des chefs de police, voit à ce que les nouvelles questions, priorités et préoccupations de la police soient abordées dans le cadre des enquêtes et des produits du CCSJ. Ses membres comprennent des hauts gradés provenant des grands services de police municipaux et des services provinciaux et fédéraux de l'ensemble du pays, ainsi que des cadres des organismes fédéraux suivants : Statistique Canada, le ministère de la Justice Canada et Sécurité publique Canada.
• Le Comité des agents de liaison de l'Entreprise nationale relative à la statistique juridique (CALENRSJ) surveille le travail du CCSJ pour le compte de cette dernière. Les membres du CALENRSJ comprennent des représentants ministériels nommés par les sous ministres, ainsi que le directeur général de Statistique Canada responsable du CCSJ et un représentant de l'Association canadienne des chefs de police. Le CALENRSJ est présidé par un sous ministre.
• On compte environ 150 services de police dans les 10 provinces et les trois territoires qui fournissent des données au DUC et qui représentent environ 99 % de la population du Canada. Cela comprend les services municipaux, provinciaux, militaires, de transports publics, tribaux et la GRC. La grande majorité des secteurs de compétence ont des « boîtes de réception » pour fournir des données au CCSJ au moyen du TEF. Ceux qui n'en ont pas envoient un CD chaque mois ou mettent les renseignements à la poste.

Les données reçues par le CCSJ font l'objet d'un contrôle et d'un traitement avant d'être agrégées à des fins statistiques. Une fois les données manipulées, les données statistiques agrégées en résultant sont fournies avant leur diffusion officielle à l'organisation qui est à leur source et à d'autres partenaires du milieu juridique pour vérification, afin qu'elles rendent compte de la réalité du secteur de compétence.

Les données statistiques agrégées à l'étape de la prédiffusion (y compris les travaux en cours fournis à des organisations externes pour la validation des données) sont incluses dans la définition des données statistiques de nature délicate de la Politique sur la sécurité des renseignements statistiques de nature délicate du Manuel des politiques de Statistique Canada. Les données sont élaborées à partir de fichiers administratifs produits par les partenaires du milieu juridique et les secteurs de compétence et sont considérées comme des données « protégées ». Tout au long de ce processus, le directeur du CCSJ est responsable d'assurer un suivi de l'emplacement, des utilisateurs et des utilisations des données fournies de façon confidentielle.

Un certain nombre d'outils, comme des ententes, des formulaires et des systèmes des TI, sont en place pour protéger la confidentialité des données statistiques de nature délicate tout au long du processus d'enquête. Au niveau de l'organisme, plusieurs divisions jouent un rôle pour la gestion de la confidentialité des données statistiques de nature délicate. Ces divisions comprennent les suivantes :

• la Division de la gestion de l'information (DGI)
• la Division des communications
• la Division de l'informatique
  • Division des systèmes d'information de la collecte (DSIC)
  • Division des systèmes d'information statistiques (DSIS)
  • Division des services de technologie informatique (DSTI).

Objectifs de la vérification

Les objectifs de la vérification consistent à fournir au statisticien en chef et au Comité ministériel de vérification l'assurance que :

• les enquêtes sur la statistique juridique comportent un cadre stratégique approprié et efficace pour assurer la protection de la confidentialité des données statistiques de nature délicate;
• les enquêtes visées sont conformes aux dispositions législatives, politiques et normes pertinentes du SCT et de Statistique Canada relativement à la confidentialité des données statistiques de nature délicate.

Les critères de vérification sont inclus à l'annexe A.

Portée

La portée de cette vérification a été axée sur la façon dont le CCSJ gère le flux de données statistiques de nature délicate, tant au niveau interne qu'externe. On a sélectionné deux enquêtes au CCSJ; le Programme DUC et l'EITJC. Les programmes d'enquête de la statistique juridique dépendent à la fois d'enquêtes et de données administratives et, de ce fait, des données statistiques confidentielles dans le domaine de la justice sont consultées par des employés de Statistique Canada, ainsi que par des fournisseurs de données externes. Le CCSJ est responsable d'assurer la confidentialité des données statistiques de nature délicate.

La vérification comprenait un examen des systèmes et des pratiques utilisés par le CCSJ pour les deux enquêtes, relativement à la protection des données confidentielles par les employés de Statistique Canada. Elle a aussi porté sur la protection au niveau des TI des données statistiques confidentielles, tant à l'interne, dans le réseau de Statistique Canada, que grâce aux mesures de protection des TI utilisées par le CCSJ pour assurer la confidentialité des données sur la justice auxquelles les partenaires de données externes accèdent ou qu'ils transmettent, ainsi que la conformité aux dispositions législatives, politiques et normes pertinentes du SCT et de Statistique Canada.

Approche

La vérification comprenait un examen des dispositions législatives, politiques, procédures et données pertinentes liées à la confidentialité des données statistiques de nature délicate, des interviews avec des cadres supérieurs et des employés clés, ainsi qu'un examen et un essai de conformité à l'égard des politiques et des lignes directrices pertinentes liées à la confidentialité des données statistiques de nature délicate. Cette vérification a été axée principalement sur les pratiques à l'intérieur de l'organisme. On n'a pas procédé à des visites sur place d'organisations externes.

Autorité

La vérification a été menée en vertu des pouvoirs prévus dans le Plan pluriannuel de vérification axé sur les risques de Statistique Canada, pour 2011-2012 et 2013-2014, approuvé en mars 2011 par le Comité ministériel de vérification.

Constatations, recommandations et réponses de la direction

Champ d'enquête n^o 1: Les enquêtes sur la statistique juridique comportent un cadre stratégique approprié et efficace pour assurer la protection de la confidentialité des données statistiques de nature délicate.

Environnement de contrôle pour la gestion de la confidentialité

Un environnement de contrôle bien défini est nécessaire pour assurer la confidentialité des données statistiques de nature délicate au CCSJ. Cela comprend un mandat clair, ainsi que des pouvoirs, des responsabilités et des modalités de reddition de comptes en ce qui a trait à la confidentialité. Ceux ci devraient être communiqués à l'intérieur de la Division, à d'autres divisions de StatCan qui assurent le soutien du CCSJ, ainsi que dans les ententes officielles entre le CCSJ et les partenaires externes. Des mécanismes comme la reconnaissance formelle des obligations en matière de reddition de comptes des employés et des parties externes et le contrôle des environnements externe et interne, dans les cas où il existe des risques significatifs, devraient être en place pour veiller à ce que les politiques sur la confidentialité soient suivies.

Dans le contexte de la statistique juridique, le Manuel des pratiques de sécurité définit les données statistiques de nature délicate de la façon suivante : « les renseignements statistiques agrégés au stade de la prédiffusion (y compris les données en cours d'élaboration fournies à des organisations externes pour être validées) ».

Rôles et responsabilités
Le mandat du CCSJ est bien connu et communiqué aux employés et aux partenaires externes. Les employés de Statistique Canada sont tenus par la loi de protéger la confidentialité des données statistiques de nature délicate. Le Programme de sensibilisation à la confidentialité de Statistique Canada fait état des rôles et responsabilités des gestionnaires et employés, et la section de la Politique sur la sécurité des renseignements statistiques de nature délicate du Manuel des politiques de Statistique Canada énonce les rôles et responsabilités des diverses divisions de service.

Les employés reconnaissent leurs responsabilités et leurs obligations de reddition de comptes en ce qui a trait à la confidentialité en prêtant serment lorsqu'ils entrent en fonction et en suivant périodiquement le cours en ligne sur la confidentialité au moment du renouvellement de leur laissez passer de sécurité. Les employés du CCSJ doivent se conformer au Programme de sensibilisation à la confidentialité, qui comporte des lignes directrices claires en ce qui a trait à l'accès aux données confidentielles et à la façon de traiter les données de nature délicate à l'organisme. Il est du ressort de chaque programme de mettre en œuvre des pratiques et des mécanismes pour assurer la confidentialité des données statistiques de nature délicate et d'obtenir des conseils des divisions pertinentes, au besoin. Dans le Programme de sensibilisation à la confidentialité, il est noté que : « les directeurs agissent en qualité de gardiens des données dont ils sont responsables et sont, à ce titre, chargés de contrôler et de protéger tous les renseignements statistiques de nature délicate obtenus ou conservés dans leurs secteurs respectifs pour la réalisation des objectifs de leur programme ».

L'ancienne Division des services d'accès et de contrôle des données (SACD), qui fait maintenant partie de la Division de la gestion de l'information (DGI), a pour mandat d'assurer l'interprétation politique de la confidentialité et de fournir de l'aide aux programmes, au besoin.

En vertu de la Politique sur la diffusion officielle dans Le Quotidien, la Division des communications est chargée d'approuver les présentations en vue de la diffusion anticipée des données statistiques et des données du Quotidien, ainsi que de rendre compte des résultats et des avantages de la diffusion anticipée au Comité des politiques.

Cadre stratégique pour la diffusion anticipée
Les partenaires du milieu juridique ne sont pas assujettis à la Loi sur la statistique. La responsabilité de la confidentialité, lorsqu'elle est partagée avec des parties externes, peut être gérée efficacement uniquement par la reconnaissance des modalités des ententes ou par des protocoles d'entente.

Selon la Politique pour Le Quotidien et la diffusion officielle, il existe trois types d'ententes et de formulaires qui permettent la diffusion anticipée de données statistiques de nature délicate. Il s'agit notamment des suivants :

• présentation et formulaires pour la reconnaissance de la structure de gouvernance commune
• ententes et formulaires sur les travaux en cours
• présentations et formulaires pour la diffusion anticipée.

Les présentations et formulaires pour la reconnaissance de la structure de gouvernance commune s'appliquent aux organisations qui sont considérées comme des partenaires dans un programme de collaboration et qui ont donc accès à des documents avant leur diffusion officielle. Dans le cas du CCSJ, le Comité des agents de liaison de l'Entreprise nationale relative à la statistique juridique a été désigné comme programme de collaboration. Selon la gouvernance commune, les AL ont accès aux produits analytiques finaux, 24 heures avant leur diffusion, et au Quotidien, 24 heures avant sa diffusion. La politique prévoit que les personnes signent une entente de confidentialité.

Les ententes et les formulaires sur les travaux en cours sont conçus pour fournir des ensembles de données et des produits d'information presque finaux, avant leur diffusion officielle dans Le Quotidien, à des personnes ou des organisations externes désignées, aux fins de la validation des données. Les études analytiques peuvent aussi être fournies avant leur diffusion officielle dans Le Quotidien à une personne et une organisation aux fins d'une révision institutionnelle ou d'une évaluation par les pairs. La diffusion anticipée assujettie aux ententes sur les travaux en cours doit respecter les exigences en matière de sécurité pour la transmission de données statistiques de nature délicate, afin de veiller à ce que seuls des destinataires prévus aient accès à l'information. Les procédures s'appliquant à la diffusion anticipée des travaux en cours comprennent les suivantes : un formulaire de présentation des travaux en cours doit être préparé pour chaque diffusion; les noms des personnes qui profiteront de la diffusion anticipée doivent être joints au formulaire; et la division doit communiquer les modalités régissant la diffusion anticipée des travaux en cours à l'organisation qui les reçoit. Lorsqu'elles fournissent des données sur les travaux en cours à des organisations externes pour la validation des données, les divisions doivent fournir uniquement l'information qui doit être validée.

Les présentations pour la diffusion anticipée s'appliquent aux organisations externes qui fournissent des fichiers de données administratives à Statistique Canada, à partir desquelles des produits statistiques sont produits. En vertu des modalités de la diffusion anticipée, le CCSJ fournit des totalisations de statistiques agrégées non confidentielles à partir d'ensembles de données finaux non diffusés à l'organisation qui a fourni les données. Ces totalisations peuvent être fournies à tout temps après la finalisation de l'ensemble de données.

La Politique sur la diffusion officielle dans Le Quotidien fait état des responsabilités suivantes pour les organisations qui reçoivent des données de diffusion protégées de Statistique Canada :

1. elles s'engagent à respecter la confidentialité des données de diffusion protégées qui leur sont confiées;
2. elles restreignent l'accès des données protégées aux représentants désignés de leur organisation à des fins professionnelles (selon le principe du besoin de savoir);
3. elles s'engagent à ne pas diffuser les données protégées, et ce, même après la diffusion finale des données par Statistique Canada.

La politique prévoit aussi que le directeur de la division fournissant les données « veille à ce que les renseignements protégés soient transmis en toute sécurité hors de l'organisme et à ce qu'ils soient régis par une entente stipulant que les destinataires doivent : accuser réception de l'information; restreindre l'accès à l'information aux représentants désignés des organisations externes qui en ont absolument besoin; assurer la confidentialité des renseignements jusqu'à la diffusion officielle de ceux ci par Statistique Canada ».

La Division des communications maintient un registre de tous les types de présentations pour la diffusion anticipée et conserve les originaux des formulaires de reconnaissance de confidentialité. Depuis l'avènement des formulaires de gouvernance commune, la Division les a aussi inclus dans son répertoire. Les employés de la Division des communications ont indiqué qu'ils se fient aux gestionnaires des programmes pour déterminer quand des demandes de diffusion anticipée et de diffusion des travaux en cours pour des organisations qui fournissent des formulaires de données administratives sont requises. Comme les programmes d'enquête contrôlent le flux d'information transmis aux partenaires externes, la Division des communications n'est pas en mesure de s'assurer que toutes les diffusions anticipées ont été approuvées officiellement ou reposent sur des ententes valides.

Pratiques en place pour la diffusion anticipée
La vérification a permis de déterminer que, pour les programmes d'enquête de l'EITJC et DUC au CCSJ, la diffusion anticipée des données statistiques de nature délicate est considérée par la direction du CCSJ comme relevant des modalités de la gouvernance commune et des travaux en cours. Au CCSJ, il n'existe actuellement pas de demandes de diffusion anticipée pour la diffusion anticipée de totalisations finales.

Au moment de la vérification, 26 personnes du comité des AL avaient reçu une approbation en vertu de la reconnaissance de la structure de gouvernance commune, qui a été mise en œuvre le 29 avril 2011. Parmi les 26, seulement 18 sont considérées comme ayant besoin d'une diffusion anticipée, 24 heures avant la diffusion des produits d'information finalisés et/ou du Quotidien, et y ont accès. Des formulaires de reconnaissance de confidentialité signés pour chacune de ces personnes figuraient dans le dossier.

L'EITJC et le Programme DUC ont des dossiers de travaux en cours pour les membres du CISP et les AL. Ces formulaires remontent à 1993 et 1997 et ne comportent pas de date d'expiration. Les dossiers ne comportent pas de formulaires de reconnaissance de confidentialité par les parties externes, comme le prévoit la Politique sur la diffusion officielle dans Le Quotidien. Le personnel du CCSJ et de la Division des communications a indiqué qu'il n'y avait pas de plans en place pour mettre à jour ces formulaires ou pour obtenir des formulaires de reconnaissance de confidentialité des destinataires externes. Étant donné que les travaux en cours actuels ne comportent pas de reconnaissance des modalités pour les destinataires externes, leur pertinence et leur efficacité pour protéger la confidentialité des données statistiques confidentielles sont limitées.

Il n'y a pas d'ententes sur les travaux en cours ou de formulaires de reconnaissance de confidentialité pour les quelque 150 services de police individuels qui procèdent à la validation des données et des totalisations agrégées, à partir des données administratives soumises au CCSJ, ce qui n'est pas conforme aux exigences de la diffusion anticipée des données statistiques de nature délicate. La direction et les employés du CCSJ ont indiqué qu'ils ne croyaient pas que des ententes sur les travaux en cours étaient requises, parce que les données appartenaient à des organisations externes. Toutefois, les données renvoyées aux services de police individuels pour validation répondent à la définition de données statistiques de nature délicate du Manuel des pratiques de sécurité.

Il n'y a actuellement pas de mécanisme en place pour que les partenaires externes du CCSJ reconnaissent officiellement qu'ils comprennent et acceptent les obligations de reddition de comptes en ce qui a trait à la confidentialité des données statistiques de nature délicate. Sans cette reconnaissance, le CCSJ ne peut tenir les partenaires externes responsables de la confidentialité, pour le cas où se produirait une utilisation inappropriée ou un accès non autorisé à l'information.

Le CCSJ communique officiellement les rôles, responsabilités et obligations de reddition de comptes respectives en ce qui a trait à la confidentialité aux membres du CISP et aux agents de liaison, au moyen d'un document de pratiques exemplaires. Au moment de l'administration du processus de validation, le CCSJ dépend de cette pratique pour s'assurer que les organisations externes appliquent des mesures particulières pour protéger la confidentialité des données. Même si le document de pratiques exemplaires peut constituer un outil de communication efficace, il ne prévoit ni ne suscite de reconnaissance officielle des responsabilités et des obligations de reddition de comptes de ces parties.

Le CCSJ n'envoie pas de documents de pratiques exemplaires aux services de police individuels. La direction du CCSJ est d'avis que, parce que les données sont transmises au fournisseur original pour validation, il existe une préoccupation moins grande quant à la façon dont elles sont traitées par l'organisation externe. Comme les données envoyées pour validation respectent la définition des données statistiques de nature délicate, le programme continue d'être responsable de veiller à leur protection et d'informer les répondants des risques pour la sécurité qui en découlent.

Le cadre stratégique pour la gestion des données statistiques de nature délicate profiterait d'une plus grande clarté et intégration des rôles et responsabilités en ce qui a trait à la protection des données statistiques de nature délicate. Les objectifs du cadre de contrôle entourant les travaux en cours ne sont pas bien compris à la Division des communications ou au CCSJ. Par conséquent, le cadre stratégique entourant les travaux en cours devrait être raffermi pour assurer la protection des données statistiques de nature délicate.

Recommandations

Le SCA du Secteur de la statistique sociale, de la santé et du travail, de concert avec la Division de la gestion de l'information et la Division des communications, doit s'assurer que :

• les documents stratégiques et les outils/ententes connexes créent un environnement de contrôle efficace pour la protection de la confidentialité des données statistiques de nature délicate, pendant la validation des données statistiques agrégées avec les partenaires externes; et
• les obligations de reddition de compte des parties externes sont officiellement reconnues dans des ententes, et les modalités liées aux privilèges font l'objet d'un examen périodique.

Réponse de la direction

La direction est d'accord avec les recommandations.

• Le Comité des politiques mandatera un champion des politiques pour passer en revue le cadre stratégique dans le contexte de l'environnement de contrôle pour la protection des données statistiques de nature délicate.
  Produits livrables et échéance : Champion des politiques mandaté, d'ici mai 2012.
• Le champion des politiques passera en revue les documents stratégiques existants, les procédures et les outils/ententes connexes pour l'examen des travaux en cours et l'accès anticipé, 24 heures avant la diffusion, aux totalisations de données et aux autres produits. Cela fera en sorte qu'ils énoncent clairement les exigences pour la protection des données statistiques de nature délicate, y compris :
  • les rôles et responsabilités à l'intérieur de Statistique Canada (divisions spécialisées, Communications, DGI );
  • les rôles et responsabilités des partenaires externes;
  • les modalités, procédures à suivre et ententes appropriées à signer;
  • la fréquence établie pour l'examen des privilèges.
  Produits livrables et échéance : Politiques, procédures, outils et ententes à jour, d'ici mars 2013.
• Le champion des politiques s'assurera que les exigences et les processus propres aux formulaires de reconnaissance de la confidentialité devant être signés par les partenaires externes qui participent à la vérification des totalisations de données sont clairement énoncés dans les documents stratégiques, procédures et outils/ententes connexes révisés.
  Produits livrables et échéance : Politiques, procédures, outils et ententes à jour, d'ici mars 2013.
• Le directeur du CCSJ fera signer les formulaires de reconnaissance de confidentialité par tous les partenaires externes du milieu juridique qui participent aux études des travaux en cours sur une base permanente, en vertu de la gouvernance commune (p. ex. les membres du CAL, du CISP ).
  Produits livrables et échéance : Des formulaires de reconnaissance de confidentialité signés, fournis aux Communications pour des ententes existantes et des ententes futures, sont requis. Cela se fera d'ici septembre 2012 pour les ententes existantes et sur une base permanente pour les ententes futures.
• Le directeur du CCSJ fera signer les formulaires de reconnaissance de confidentialité par tous les partenaires externes qui participent à la vérification des totalisations de données sur une base permanente (p. ex., les personnes-ressources des services de police).
  Produits livrables et échéance : Formulaires de reconnaissance de la confidentialité signés fournis aux Communications, d'ici mars 2013.
• Le directeur du CCSJ doit s'assurer que les processus pour la signature des formulaires de reconnaissance de confidentialité par les partenaires de la gouvernance commune et pour les cas individuels non liés à la gouvernance commune sont conformes aux exigences.
  Produits livrables et échéance : Documentation des processus du CCSJ pour la reconnaissance de la confidentialité, d'ici mars 2013.
• Le directeur du CCSJ établira des examens réguliers planifiés des privilèges et de la résiliation des formulaires de reconnaissance, conformément aux directives de la politique.
  Produits livrables et échéance : Documentation des processus, y compris examens planifiés et remaniement des formulaires, d'ici mars 2013.

Déclaration des cas d'infractions à la sécurité et de violations
La Politique sur la sécurité des renseignements statistiques de nature délicate fait état des procédures visant à protéger la confidentialité des données statistiques de nature délicate. La section 5 - Infractions à la sécurité et violations, comprend les deux définitions suivantes :

• « On considère qu'une infraction à la sécurité a été commise lorsque tout renseignement statistique de nature délicate a fait l'objet d'une divulgation ou d'un accès non autorisé. Une infraction s'entend, notamment, de toute divulgation non autorisée, d'un vol, d'une perte ou de circonstances rendant probable le fait qu'une infraction ait été commise. Toute infraction possible, en particulier aux dispositions de la Loi sur la statistique relatives à la confidentialité, doit être signalée immédiatement au directeur de la Division des services d'accès et de contrôle des données, qui se chargera d'en informer le statisticien en chef. »
• « Une violation de la sécurité renvoie à toute action contrevenant à l'une ou l'autre des dispositions de la Politique du gouvernement du Canada sur la sécurité, de la présente politique ou de la Politique sur la sécurité informatique de Statistique Canada (c.-à-d. une violation à la politique, pas à la loi). Les violations seront signalées au directeur de la Division des services d'accès et de contrôle des données, qui prendra les mesures qui s'imposent. »

Au CCSJ, on dépend beaucoup des relations à long terme avec les fournisseurs de données sur la justice et les partenaires, du faible taux de roulement des employés dans ces organisations, de la confiance, et de la compréhension de l'importance de la confidentialité par les personnes concernées. Le CCSJ se fie à la « menace » d'interruption des privilèges d'examen pour les AL et les membres du CISP advenant une violation. Le CCSJ est d'avis que cela remplace les ententes officielles avec les partenaires externes ou les activités de contrôle plus élaborées. Cette « menace » pourrait dissuader les intervenants d'être transparents en ce qui a trait aux violations possibles, plutôt que d'en faire état, en raison de la possibilité qu'ils perdent leurs privilèges d'examen.

Par conséquent, il n'y a pas de mécanisme en place pour s'assurer que les partenaires externes se conforment aux pratiques exemplaires définies par le CCSJ, ni qu'ils déterminent et règlent les problèmes de non conformité, comme la diffusion non autorisée par des partenaires externes avant la diffusion officielle.

Il est nécessaire de déclarer les incidents de non conformité aux politiques de Statistique Canada à une fonction intégrée centralisée, afin de permettre à l'organisme de mesurer la fréquence et les répercussions des incidents qui pourraient faire augmenter le risque de violation, ou de déterminer et de mettre en œuvre des mesures d'atténuation, lorsque cela est jugé nécessaire.

Des interviews ont révélé qu'à un certain nombre d'occasions, des données en prédiffusion ont circulé à l'intérieur et à l'extérieur de l'organisme, sans procédures de sécurité appropriées, et que ces incidents n'ont pas été signalés. La pratique courante à la Division pour donner suite à ces incidents est de demander aux employés chargés de l'enquête de communiquer directement avec les parties concernées. La direction du CCSJ, de la DGI et de la Division des communications a indiqué qu'à sa connaissance, il n'y a jamais eu d'incident de sécurité ou de violation déclaré et que les privilèges d'examen des partenaires du milieu juridique n'ont jamais été suspendus ou révoqués.

Afin de rendre compte des cas d'incidents ou de violations de la sécurité, les caractéristiques des violations doivent être clairement définies et comprises par tous les employés et intervenants. Lorsqu'aucune entente officielle n'est en place, il n'y a pas de désignation dans les faits des personnes autorisées à recevoir l'information. Par conséquent, les cas de violation (p. ex. accès non autorisé) ne peuvent être déterminés par le programme ou l'organisation externe. En l'absence d'ententes officielles pour désigner les destinataires autorisés des données en prédiffusion, il est peu probable que les responsables du programme pourront déterminer les répercussions des violations qui pourraient se produire, en rendre compte et les atténuer.

Recommandations

Le SCA du Secteur de la statistique sociale, de la santé et du travail, en collaboration avec la Gestion de l'information, doit s'assurer :

• que des mécanismes sont en place pour désigner officiellement qui est autorisé à l'intérieur des organisations externes à recevoir les données en prédiffusion, à quelles fins et selon quelles modalités, et préciser ce qui constitue une violation faisant intervenir des organisations externes; et
• que la sensibilisation est améliorée quant à la déclaration des incidents de non conformité aux politiques de Statistique Canada au niveau intégré, afin de contrôler la fréquence et les répercussions des incidents qui pourraient faire augmenter le risque d'une violation, et de déterminer et de mettre en œuvre des stratégies d'atténuation, lorsque cela est jugé nécessaire.

Réponse de la direction

La direction est d'accord avec les recommandations.

• Le Comité des politiques mandatera un champion des politiques pour passer en revue le cadre stratégique dans le contexte de l'environnement de contrôle pour la protection des données statistiques de nature délicate.
  Produits livrables et échéance : Champion des politiques mandaté, d'ici mai 2012.
• Le champion des politiques passera en revue les documents stratégiques existants, les procédures et les outils/ententes connexes pour l'examen des travaux en cours et l'accès anticipé, 24 heures avant la diffusion, aux totalisations de données et aux autres produits. Cela fera en sorte qu'ils énoncent clairement les exigences pour la protection des données statistiques de nature délicate, y compris :
  • les rôles et responsabilités à l'intérieur de Statistique Canada (divisions spécialisées, communications, DGI);
  • les rôles et responsabilités des partenaires externes;
  • les modalités, procédures à suivre et ententes appropriées à signer;
  • la fréquence établie pour l'examen des privilèges.
  Produits livrables et échéance : Politiques, procédures, outils et ententes à jour, d'ici mars 2013.
• Le champion des politiques s'assurera que les exigences et les processus propres aux formulaires de reconnaissance de confidentialité devant être signés par les partenaires externes qui participent à la vérification des totalisations de données sont clairement énoncés dans les documents stratégiques, procédures et outils/ententes connexes révisés.
  Produits livrables et échéance : Politiques, procédures, outils et ententes à jour, d'ici mars 2013.
• Le directeur du CCSJ passera en revue les ententes existantes avec les partenaires du milieu juridique et les fera modifier et résilier au besoin pour répondre aux exigences révisées.
  Produits livrables et échéance : Ententes révisées signées et fournies aux Communications, d'ici mars 2013.
• Les gestionnaires de l'ensemble de Statistique Canada se feront rappeler par la DGI les exigences en matière de déclaration des incidents de non conformité.
  Produits livrables et échéance : Communications au niveau intégré, sur une base permanente.
• Des discussions se tiendront sur l'importance d'assurer la confidentialité des données statistiques de nature délicate et de déclarer les violations possibles, dans le cadre de réunions avec les partenaires du milieu juridique, sur une base régulière et permanente.
  Produits livrables et échéance : Cette question sera incluse parmi les points à l'ordre du jour sur une base permanente, et d'autres documents seront préparés à l'appui des discussions.

Gestion des risques

L'existence de pratiques et de procédures officielles pour la gestion des risques concernant l'utilisation non autorisée, la divulgation, la perte ou le vol de données permettrait à la direction de déterminer les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et d'y donner suite.

Cela comprendrait la détermination des risques, l'évaluation des contrôles en place pour atténuer les risques, la mise en œuvre de stratégies d'atténuation des risques et des plans d'action pour gérer les risques courants en matière de confidentialité, ainsi qu'une réévaluation périodique des risques au chapitre de la pertinence et une évaluation de l'efficacité des stratégies d'atténuation.

Gestion des risques à la Division
Le CCSJ contribue au Profil de risque organisationnel sur une base annuelle en remplissant un formulaire « Registre des risques ». Au cours de cet exercice, le CCSJ produit une autoévaluation des niveaux de risque liés à des facteurs comme l'accès, la pertinence, la qualité et l'efficacité à l'intérieur de la Division. En 2011, on considère que les risques pour la confidentialité ont été très bien atténués par le CCSJ. Toutefois, l'exercice d'évaluation des risques, dans sa forme actuelle, ne prévoit pas que les évaluations soient appuyées par des explications/justifications détaillées (p. ex., détermination des risques, contrôles en place pour atténuer les risques, etc.) pour des évaluations données. Avant 2010, des profils des risques de programme ont été préparés dans le cadre des Rapports biennaux de programme (RBP) de 2007 à 2009 et de l'Examen quadriennal de programme (EQP) de 2005-2006. La Division n'a pas produit son Rapport de rendement de programme (RRP) pour 2010-2011. La direction du CCSJ a indiqué tenir des discussions fréquentes sur la gestion des risques, toutefois, ces discussions n'ont pas été documentées. Une approche plus formelle en matière de gestion des risques faciliterait la réévaluation périodique des risques pour la pertinence et l'évaluation de l'efficacité des stratégies d'atténuation.

Évaluation de la menace et des risques
Au niveau de l'organisme, une Évaluation de la menace et des risques (EMR) pour les services de transfert de fichiers électroniques a été produite en 2009, afin de répondre aux exigences du SCT, ainsi qu'aux exigences en matière de politiques de Statistique Canada. L'objectif de l'EMR était d'évaluer la nécessité de mesures de protection pour les STF électroniques, au delà des exigences de sécurité de base inhérentes qui ont été définies pour les services par la DSTI. Au total, sept recommandations ont découlé de l'EMR et visaient à atténuer les risques liés à l'accès non autorisé aux données, à leur divulgation, à leur intégrité et à leur disponibilité, ainsi qu'aux atteintes à la réputation de l'organisme. Au moment de la vérification, la DSTI élaborait un plan d'action pour donner suite aux recommandations du rapport.

Recommandation

Le SCA du Secteur de la statistique sociale, de la santé et du travail doit s'assurer que :

• les évaluations fournies par le CCSJ pour l'exercice d'évaluation des risques sont appuyées par de la documentation déterminant les risques particuliers qui pourraient empêcher la protection de la confidentialité des données statistiques de nature délicate pour les enquêtes sur la justice, ainsi que par une évaluation exhaustive des contrôles en place pour atténuer ces risques.

Réponse de la direction

La direction est d'accord avec les recommandations.

• Au niveau de l'organisme, le directeur de la DPIE déterminera les besoins de documentation à l'appui de l'exercice de registre des risques des secteurs de programme (qui contribue au Profil de risque organisationnel de Statistique Canada), et s'assurera que ces exigences sont clairement définies dans les instructions, les outils et les autres documents du registre des risques.
  Produits livrables et échéance : Documentation de l'exercice de registre des risques, au besoin, d'ici mars 2013.
• Le directeur du CCSJ s'assurera que ce dernier se conforme à l'orientation au niveau de l'organisme, en vue de l'élaboration de documentation à l'appui de la détermination des risques à la Division.
  Produits livrables et échéance : Documentation de l'exercice de registre des risques, d'ici mars 2013.

Champ d'enquête n^o 2 : Les enquêtes visées sont conformes aux dispositions législatives, politiques et normes pertinentes du SCT et de Statistique Canada relativement à la confidentialité des données statistiques de nature délicate.

Conformité aux dispositions législatives, aux politiques et aux directives

Des contrôles d'accès au système, ainsi que des procédures d'authentification et d'accès, devraient être en place et conformes aux politiques de Statistique Canada et à d'autres politiques pertinentes liées à la confidentialité de données statistiques de nature délicate. La conformité à ces politiques vise à faire en sorte que l'accès aux systèmes, aux données et aux programmes soit limité aux utilisateurs autorisés et aux partenaires de données externes autorisés. Des contrôles d'accès logique devraient être mis en œuvre pour veiller à ce que l'accès aux systèmes, aux données et aux programmes soit limité aux personnes autorisées.

Entreposage au CCSJ
Statistique Canada est responsable de la protection des données statistiques de nature délicate reçues de partenaires externes. Des visites des bureaux des employés, des classeurs et du secteur de classement centralisé du CCSJ ont été menées pour s'assurer que seuls les employés autorisés collaborant au Programme DUC et à l'EITJC ont accès aux données confidentielles/de nature délicate (fichiers sur papier). On a déterminé que les données statistiques confidentielles et de nature délicate dans les espaces de travail respectifs des employés étaient entreposées dans des classeurs fermés à clé et déchiquetées lorsqu'elles n'étaient plus nécessaires.

Des trousses d'information comprenant des données statistiques de nature délicate (c. à d. des données « protégées ») pour le Programme DUC et l'EITJC transmises à l'extérieur de l'organisme ont aussi été examinées. La vérification a permis de déterminer que ce ne sont pas toutes les communications avec les partenaires externes qui étaient clairement identifiées comme nécessitant un traitement conforme aux exigences du traitement des données « protégées ». Les données finales envoyées pour validation ne comportaient pas de mention selon laquelle les destinataires devaient en assurer la sécurité ou la confidentialité conformément au Manuel des pratiques de sécurité de Statistique Canada.

Mesures d'identification et d'authentification, entreposage et transmission des TI
Des données et des fichiers électroniques confidentiels sont conservés dans des serveurs désignés de la Division. La vérification a permis de déterminer que des contrôles des systèmes d'information sont en place pour protéger les dossiers et les données et sont conformes aux dispositions législatives et aux politiques du CT pertinentes. Des visites ont été faites à neuf employés de la Division utilisant des données de l'EITJC ou du Programme DUC (sur 30 possibles des quatre sections du CCSJ) pour vérifier la conformité aux politiques de sécurité des TI de Statistique Canada et du SCT. Les résultats ont révélé ce qui suit :

• les employés qui ont accès à des données confidentielles n'ont pas accès simultanément aux réseaux A et B;
• au niveau interne, les personnes envoient des hyperliens par courriel, plutôt que les fichiers de données proprement dits;
• les délais de fermeture automatique de session sont fixés à dix minutes sur tous les postes de travail vérifiés;
• les mots de passe viennent à expiration et doivent être changés tous les 90 jours, conformément au Manuel des pratiques de sécurité de Statistique Canada - Chapitre 5.0;
• les lecteurs C des neuf postes de travail vérifiés ne comprenaient pas de microdonnées ou de données en prédiffusion;
• les serveurs sont situés dans un secteur sécuritaire central (et non pas à l'intérieur de la Division); et
• les ébauches de documents comportant des données en prédiffusion sont conservées dans les lecteurs du réseau.

Pour les partenaires externes, le Manuel des politiques de Statistique Canada indique que l'accès aux données doit être limité au représentant désigné qui en a absolument besoin. Des procédures et des mécanismes d'authentification de l'accès sont en place pour assurer la transmission sécuritaire des données statistiques entre le CCSJ et ses partenaires externes. Deux systèmes sont utilisés pour la transmission des données statistiques de nature délicate.

Des boîtes d'entrée et de sortie du Système de transfert de fichiers électronique (STF électronique) étaient en place pour l'EITJC et ont été vérifiées. Les autorisations d'accès étaient conformes à la liste des utilisateurs autorisés et on a procédé à un chiffrement en double pour la boîte de sortie. Les autorisations d'accès à la boîte d'entrée du STF électronique ont été vérifiées pour le DUC, et seules les personnes autorisées y avaient accès. Dans le cas du CISP et des AL, un système plus ancien appelé Extranet est toujours utilisé par le Programme DUC pour transmettre l'information relative à l'examen des travaux en cours.

Le système Extranet comprend une approche de mot de passe unique, qui est partagé par de nombreuses personnes dans les organisations destinataires. Selon le personnel du CCSJ, des efforts importants doivent être déployés pour modifier les mots de passe en fonction du roulement du personnel des organisations externes. Ainsi, le CCSJ n'a pas de liste de personnes autorisées à accéder au système. Même si cette pratique ne limite pas l'accès aux représentants désignés des organisations externes, le personnel du CCSJ sait qu'il doit chiffrer les données statistiques de nature délicate à l'étape de la prédiffusion, lorsqu'il les place dans le site, et des mots de passe pour les fichiers chiffrés sont envoyés aux destinataires autorisés seulement.

Accès électronique aux fichiers de données
Le Manuel des pratiques de sécurité de Statistique Canada exige que les données statistiques de nature délicate soient contrôlées et protégées de façon à en limiter l'accès aux personnes qui ont besoin d'en prendre connaissance dans le cadre de leurs fonctions. En raison de la nature délicate des données fournies par les partenaires du milieu juridique, le CCSJ tente de veiller à ce que l'accès aux données soit strictement limité aux employés et aux intervenants qui en ont besoin. Étant donné que ce ne sont pas tous les employés qui doivent avoir accès à chaque répertoire électronique de la Division, les processus du CCSJ comprennent un contrôle interne de l'accès.

La vérification des autorisations d'accès a confirmé que certains employés du CCSJ avaient accès à des répertoires et des fichiers électroniques dont ils n'avaient plus besoin dans leurs fonctions courantes. Le CCSJ n'a pas soumis de demande aux divisions de l'informatique pour mettre à jour les autorisations d'accès accordées ou révoquées sur une base permanente. Le processus de mise à jour des profils d'accès et d'autorisation à l'intérieur du CCSJ était en cours à la fin des travaux sur le terrain liés à la vérification. L'examen de la liste des utilisateurs ayant un accès actif aux divers projets d'enquête sur les services de police et les tribunaux au moment de la vérification a révélé que seuls les employés du CCSJ avaient accès aux fichiers électroniques de la Division.

Dans le cas d'Extranet, le CCSJ a procédé récemment à une mise à jour des mots de passe, à la demande de certains partenaires du milieu juridique. Les mots de passe initiaux attribués pour Extranet étaient en vigueur depuis 11 ans et on s'inquiétait de l'efficacité de ce contrôle. Des mises à jour régulières de droits d'authentification et d'accès fourniraient une assurance additionnelle que les exigences de la politique quant au « besoin de savoir » sont respectées.

Des contrôles efficaces de l'entreposage de fichiers de données au CCSJ sont en place. Des pratiques de gestion conformes au Manuel des politiques de Statistique Canada sur l'identification et l'authentification sont en place et fonctionnent comme prévu. Il existe des possibilités de raffermir les contrôles de l'accès électronique pour les employés ayant besoin de prendre connaissance des données.

Recommandation

Le SCA du Secteur de la statistique sociale, de la santé et du travail doit s'assurer que les mesures suivantes sont mises en œuvre :

• les privilèges d'accès aux fichiers de données de la statistique juridique dans les répertoires partagés et dans le site Extranet sont mis à jour et accordés aux employés autorisés du CCSJ et aux représentants d'organisations externes qui ont besoin d'en prendre connaissance.

Réponse de la direction

La direction est d'accord avec les recommandations.

• Le directeur du CCSJ s'assurera que les privilèges d'accès aux fichiers du répertoire partagé du CCSJ pour les employés de Statistique Canada (p. ex., CCSJ, Méthodologie, TI) sont passés en revue sur une base régulière et sont déterminés selon le principe du besoin de savoir, conformément aux pratiques exemplaires de l'organisme.
  Produits livrables et échéance : Plan d'examen des privilèges d'accès pour le répertoire partagé du CCSJ, sur une base permanente.
• Le directeur du CCSJ s'occupera du retrait de toutes les données statistiques de nature délicate d'Extranet. Dans l'intervalle, il fera en sorte que les privilèges d'accès aux données statistiques de nature délicate dans l'Extranet sont passés en revue sur une base régulière et sont déterminés selon le principe du besoin de savoir.
  Produits livrables et échéance : Mesures provisoires pour s'occuper des données statistiques de nature délicate dans l'Extranet et plan pour l'élimination de toutes les données statistiques de nature délicate de l'Extranet, d'ici mai 2012.

Annexes

Annexe A : Critères de vérification

Champ d’enquête/ Contrôle clé	Critère
Les enquêtes sur la statistique juridique comportent un cadre stratégique approprié et efficace pour assurer la protection de la confidentialité des données statistiques de nature délicate.
Gouvernance	Le CCSJ a un mandat clairement communiqué en matière de gouvernance, de gestion des risques et de contrôle. Les environnements externe et interne sont surveillés, afin de veiller à ce que les politiques sur la confidentialité soient respectées.
Gestion des risques	La direction détermine les risques qui pourraient nuire à l'atteinte de l'objectif de confidentialité. La direction évalue les contrôles en place pour gérer les risques liés à la confidentialité des données statistiques de nature délicate. La direction évalue les risques pour la confidentialité qu'elle a cernés. Le ou les niveaux appropriés de direction donnent suite aux risques, et les stratégies de gestion des risques sont communiquées aux intervenants clés du programme.
Valeurs de la fonction publique	Les employés reconnaissent officiellement et périodiquement la conformité aux politiques de Statistique Canada, en ce qui a trait à la confidentialité des données statistiques de nature délicate.
Reddition de comptes	Les pouvoirs, les responsabilités et la reddition de comptes en matière de confidentialité sont clairs et bien communiqués. Les employés et les partenaires externes reconnaissent officiellement leur obligation de rendre des comptes et l'acceptent. Une structure organisationnelle claire et efficace est établie et documentée, et montre les liens avec les partenaires externes, le cas échéant. Les modalités de reddition des comptes liées à la confidentialité pour les employés et les tiers sont définies officiellement.
Les enquêtes visées sont conformes aux dispositions législatives, politiques et normes pertinentes du SCT et de Statistique Canada relativement à la confidentialité des données statistiques de nature délicate.
Gérance	Les données d'enquête sont protégées. Des contrôles appropriés d'application de système et de sécurité matérielle existent au sujet des données statistiques confidentielles, lorsqu'elles sont transmises sous forme électronique, à l'intérieur et à l'extérieur de Statistique Canada, selon les normes et méthodes approuvées. Les dossiers et les données sauvegardés au moyen de systèmes d'information sont mis à jour en conformité avec les dispositions législatives et les règlements pertinents. La direction évalue la pertinence de l'éventail des contrôles en place et surveille périodiquement leur efficacité. La direction a établi des processus pour élaborer et gérer les ententes pertinentes avec des tiers, les protocoles d'entente et/ou les contrats, aux fins de la confidentialité des données statistiques de nature délicate. La direction a conçu et instauré des contrôles informatiques efficaces pour le système.

Annexe B : Ententes et formulaires de confidentialité

Divers types d'ententes et de formulaires sont en place pour les deux processus d'enquête, y compris les suivants pour le Programme DUC et l'EITJC :

• formulaires de renonciation;
• processus d'ordonnance de divulgation;
• formulaire de gouvernance commune;
• ententes et formulaires sur les travaux en cours;
• entente concernant le droit de licence des utilisateurs finaux; et
• entente sur la qualité des données, l'approbation et la transmission des données.

Annexe C : Dispositions législatives, politiques et directives pertinentes

Les sections qui suivent du Manuel abordent la notion de confidentialité des données statistiques de nature délicate à Statistique Canada :

• Section 1.1 - Politique d'information des répondants aux enquêtes;
• Section 2.3 - Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie;
• Section 2.5 - Politique concernant l'évaluation des produits d'information (révision institutionnelle et évaluation par les pairs);
• Section 3.2 - Politique sur la diffusion officielle dans Le Quotidien (ententes de gouvernance commune, sur les travaux en cours et sur l'accès anticipé au Quotidien);
• Section 4.3 - Politique relative à la révélation discrétionnaire;
• Section 4.5 - Politique sur la sécurité de la TI;
• Section 4.7 - Politique sur la sécurité des renseignements statistiques de nature délicate;
• Section 4.8 - Directive concernant les renseignements sur les clients.

On a évalué la conformité de certaines composantes des politiques, lignes directrices et articles de la Loi ci après :

• Loi sur la statistique;
• Manuel des pratiques de sécurité de Statistique Canada;
• Manuel des politiques de Statistique Canada;
• Document sur les pratiques exemplaires du CCSJ intitulé « Protection des données en prédiffusion »;
• Évaluation de la menace et des risques (EMR) du STF électronique;
• Guide de l'utilisateur externe du STF électronique - v2.3;
• Guide de l'utilisateur interne du STF électronique - v3.0;
• Politique du gouvernement sur la sécurité (PGS) du SCT; et
• Norme opérationnelle de sécurité du SCT : Gestion de la sécurité des technologies de l'information (GSTI).

Rapport de vérification

Date du rapport : Mars 2012
Numéro de projet : 80590-70

• Sommaire exécutif
  • Principales constatations
  • Conculsion générale
  • Conformité aux normes professionnelles
• Introduction
  • Contexte
  • Objectifs de la vérification
  • Portée
  • Approche
  • Autorité
• Constatations, recommandations et réponses de la direction
  • Environnement de gouvernance de la qualité de l'EMIM
  • Gestion des risques
  • Gérance des données
• Annexe
  • Annexe A : Critères de vérification

Sommaire exécutif

La qualité est l'image de marque de Statistique Canada; elle est essentielle à notre réputation. Statistique Canada s'efforce d'intégrer les principes de pertinence et de qualité à tous ses programmes et produits. La qualité des statistiques officielles repose sur l'emploi de méthodes scientifiques éprouvées et adaptées progressivement aux besoins changeants des clients, à la réalité en évolution que l'organisme tente de mesurer et à la capacité ou la volonté des répondants de fournir des données fiables et à jour.

L'Enquête mensuelle sur les industries manufacturières (EMIM) est une enquête essentielle au mandat de Statistique Canada et fournit des données concernant le secteur manufacturier au Canada depuis 1947. Les résultats de cette enquête sont utilisés par les ministères des Finances des gouvernements fédéral et provinciaux, la Banque du Canada, Industrie Canada, le Système de comptabilité nationale à Statistique Canada, le secteur manufacturier et divers autres organismes de recherche au pays et à l'étranger. Par conséquent, la qualité et l'exactitude des données sont primordiales pour l'enquête.

Cette vérification vise à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que :

• l'environnement de production de l'EMIM comporte un cadre solide de contrôle de la qualité, afin de veiller à ce que la qualité des données soit conforme à la composante de l'exactitude des Lignes directrices concernant la qualité de Statistique Canada;
• les contrôles manuels effectués par le personnel de l'EMIM pendant l'étape de la production de l'enquête sont documentés, autorisés et validés.

La vérification a été effectuée par les Services de vérification interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

L'Enquête mensuelle sur les industries manufacturières comporte un cadre solide de contrôle de la qualité, qui intègre les six dimensions statiques de la qualité énoncées dans les Lignes directrices concernant la qualité de Statistique Canada. L'environnement de production comporte des rôles, responsabilités et pouvoirs clairement définis en ce qui a trait à la qualité. Des documents officiels de pratiques et de procédures faisant état des tâches du personnel d'enquête sont en place et sont appliqués, afin d'assurer le maintien de la qualité des données. Des objectifs de qualité et des mécanismes d'assurance de la qualité efficaces sont en place dans le processus de l'EMIM; ils sont surveillés et rajustés au besoin pour assurer le maintien de la qualité et de l'exactitude des données.

La Division dispose d'un processus officiel de détermination des risques pour l'EMIM et contrôle aussi les environnements interne et externe sur une base permanente. La direction détermine et contrôle les mesures en place pour gérer les risques relatifs à la qualité. D'autres divisions de Statistique Canada contribuent aussi au contrôle de l'assurance de la qualité des données de l'EMIM.

L'évaluation des contrôles manuels dans l'environnement de production de l'EMIM a révélé qu'il existe des possibilités de raffermir les contrôles, pour faire en sorte que les rajustements manuels majeurs soient officiellement autorisés, et qu'une surveillance permanente de l'environnement de contrôle soit effectuée pour s'assurer que les contrôles manuels n'annulent pas accidentellement les autres contrôles automatisés.

Conclusion générale

Le cadre existant de gouvernance de la qualité pour l'EMIM est efficace. Les rôles et responsabilités sont officiellement définis, communiqués et appliqués par le personnel de l'EMIM, afin d'assurer la qualité et l'exactitude des données de l'enquête. Des mécanismes d'assurance de la qualité et des objectifs de qualité efficaces sont en place et font l'objet d'une surveillance pour assurer la qualité. Des pratiques et des procédures officielles sont en place et permettent de s'assurer que la direction détermine les risques et y donne suite, en vue de maintenir la qualité et l'exactitude des données de l'EMIM.

Il existe des possibilités de raffermir les contrôles du cycle de production, par exemple : 1) veiller, lorsque des rajustements manuels majeurs sont requis, à ce que l'autorisation officielle soit documentée; et 2) surveiller l'environnement de contrôle pour s'assurer que les contrôles manuels n'annulent pas accidentellement les autres contrôles automatisés du système de production.

Conformité aux normes professionnelles

Cette mission de vérification est conforme aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes de vérification internes du gouvernement du Canada. Des tests suffisants ont été effectués pour appuyer les constatations et les recommandations connexes.

Introduction

Contexte

La qualité est l'image de marque de Statistique Canada; elle est essentielle à notre réputation. Statistique Canada s'efforce d'intégrer les principes de pertinence et de qualité à tous ses programmes et produits. La qualité des statistiques officielles repose sur l'emploi de méthodes scientifiques éprouvées et adaptées progressivement aux besoins changeants des clients, à la réalité en évolution que l'organisme tente de mesurer et à la capacité ou la volonté des répondants de fournir des données fiables et à jour. Les Lignes directrices concernant la qualité de Statistique Canada définissent la qualité au moyen de six dimensions statiques : pertinence, exactitude, actualité, accessibilité, intelligibilité et cohérence. Ensemble, ces éléments aident les gestionnaires de programme à gérer le caractère multidimensionnel de la qualité.

L'Enquête mensuelle sur les industries manufacturières (EMIM) est considérée comme une enquête essentielle au mandat de Statistique Canada et fournit des données concernant le secteur manufacturier au Canada depuis 1947. L'EMIM produit des données sur les valeurs des ventes, des stocks et des commandes de biens manufacturés. Les données de l'EMIM servent d'indicateurs de la situation économique des industries du secteur manufacturier, d'intrants pour le produit intérieur brut (PIB) du Canada, de composantes de l'indicateur composite de Statistique Canada, de données d'entrées pour les études économiques et les modèles économétriques (p. ex., pour déterminer les parts de marché, la disponibilité apparente au pays, etc.). Les résultats de cette enquête sont utilisés par les ministères des Finances des gouvernements fédéral et provinciaux, la Banque du Canada, Industrie Canada, le Système de comptabilité nationale à Statistique Canada, le secteur manufacturier et divers autres organismes de recherche au pays et à l'étranger.

Le processus d'enquête de l'EMIM comporte huit étapes : échantillonnage, collecte, réception par lot, production, estimation, agrégation, vérification et publication. À l'intérieur de ces étapes, il existe diverses interdépendances avec d'autres divisions qui fournissent des services au personnel de l'EMIM pendant le processus d'enquête. Par exemple, la Division du Registre des entreprises et la Division des méthodes d'enquêtes auprès des entreprises participent au plan d'échantillonnage; les Opérations régionales procèdent à la collecte; la Division des comptes des industries est consultée à l'étape de l'agrégation; et la Division de la diffusion et des communications fournit des services pour la publication des données.

Au cours de l'étape de la production de l'enquête, des contrôles manuels et automatisés sont effectués pour valider et garantir l'exactitude des données recueillies. Les contrôles automatisés dans un environnement d'enquête font en sorte que les processus sont mis en œuvre de façon uniforme. Par contre, lorsque des contrôles manuels sont utilisés dans le processus d'enquête, il peut y avoir un risque plus grand pour l'exactitude, ces contrôles étant fondés sur le jugement d'une personne. Divers membres de l'équipe de l'EMIM peuvent apporter des modifications aux données qui entrent, selon certaines modalités. Les chefs d'équipe et les chefs de sous section valident les changements manuels apportés pendant la production. Des listes de tâches et de vérification sont mises à la disposition du personnel d'enquête pour veiller à ce que les changements apportés ne compromettent pas la qualité ou l'exactitude des données.

Les estimations sont produites à partir des réponses d'un échantillon d'établissements manufacturiers, combinées à des données administratives relatives à une partie des établissements les plus petits. L'échantillonnage de l'enquête comprend une couverture totale des établissements manufacturiers importants de chaque industrie, selon la province, ainsi qu'une couverture partielle des petites et moyennes entreprises. À partir de 2004, on a commencé à utiliser les données de la TPS pour estimer les ventes de biens manufacturés pour certains établissements de moyenne et de petite tailles.

Dans le cadre du programme de l'EMIM , on publie des séries mensuelles sur les valeurs des livraisons, des stocks et des commandes des industries manufacturières, pour un nombre pouvant aller jusqu'à 325 industries au niveau national et selon la province/le territoire, avec des comparaisons avec les données des États Unis, dans les 45 jours ouvrables suivant le mois de référence.

Objectifs de la vérification

Cette vérification vise à fournir au statisticien en chef et au Comité ministériel de vérification l'assurance que :

• l'environnement de production de l'EMIM comporte un cadre solide de contrôle de la qualité, afin de veiller à ce que la qualité des données soit conforme à la composante de l'exactitude des Lignes directrices concernant la qualité de Statistique Canada.
• les contrôles manuels effectués par le personnel de l'EMIM pendant l'étape de la production de l'enquête sont documentés, autorisés et validés.

Portée

La portée de cette vérification englobait les procédures d'assurance de la qualité, avec un accent particulier sur l'exactitude, afin de veiller à ce que le cadre de contrôle de la qualité soit conforme aux Lignes directrices concernant la qualité de Statistique Canada. La portée comprenait un examen des contrôles manuels effectués pendant l'étape de la production du cycle de l'EMIM, afin d'assurer le maintien de la qualité des données. La vérification a englobé les données statistiques recueillies en 2011–2012.

Le processus de l'EMIM fait l'objet de changements à différentes étapes. Par exemple, l'échantillon doit être restratifié en 2012. Par ailleurs, le système de traitement automatisé de l'enquête pour l'EMIM a été remanié et devrait englober les quatre enquêtes essentielles au mandat de la Direction à la fin du printemps 2012. Par conséquent, l'examen de l'échantillon et le système de traitement automatisé n'ont pas été inclus dans la portée de cette vérification.

Approche

L'approche de la vérification a consisté à passer en revue les politiques, procédures et données pertinentes relatives à la qualité et à l'exactitude des données de l'Enquête mensuelle sur les industries manufacturières. On a procédé à des interviews auprès des employés et de la direction de l'EMIM, à un examen et à un essai des processus et des procédures en place pour l'EMIM, ainsi qu'à une validation des mécanismes d'assurance de la qualité liés aux contrôles manuels, à l'étape de la production de l'enquête.

La vérification a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI) et en conformité avec la Politique sur la vérification interne du SCT.

Autorité

La vérification a été menée en vertu des pouvoirs prévus dans le Plan pluriannuel de vérification axé sur les risques de Statistique Canada, pour 2011–2012 et 2013–2014, approuvé en mars 2011 par le Comité ministériel de vérification.

Constatations, recommandations et réponses de la direction

Champ d'enquête n^o 1 : L'environnement de production de l'EMIM comporte un cadre solide de contrôle de la qualité, afin de veiller à ce que la qualité des données soit conforme à la composante de l'exactitude des Lignes directrices concernant la qualité de Statistique Canada.

Environnement de gouvernance de la qualité de l'EMIM

Un bon environnement de gouvernance de la qualité doit comporter des rôles, des responsabilités et des obligations de reddition de comptes clairement définis, afin d'assurer la gestion efficace de la qualité. Des objectifs de qualité doivent être en place et faire l'objet d'une surveillance en fonction des résultats et des objectifs prévus.

Rôles, responsabilités et reddition de comptes
La vérification a permis de déterminer que les rôles et responsabilités liés à l'assurance de la qualité des données de l'EMIM sont officiellement définis, communiqués et mis en pratique. À l'intérieur de la sous section de l'EMIM, l'économiste principal est chargé de déterminer quand les données sont finalisées. Le directeur de la Division est responsable de la reddition de comptes générale en ce qui a trait à la qualité des données produites par la Division. Le Comité des politiques de Statistique Canada procède à un examen des produits finaux de l'EMIM, afin d'assurer la cohérence et la pertinence des données.

Pour chaque membre de l'équipe dans l'environnement de production de l'EMIM, il existe une liste de tâches à suivre. Ces listes résument les procédures, responsabilités et détails particuliers concernant le moment où les activités du processus doivent être menées à bien.

• Les agents spécialisés de l'EMIM sont responsables de vérifier, de valider et d'analyser les données pour les industries manufacturières qui leur sont affectées. Les tâches énoncées dans la liste de tâches des agents spécialisés a trait aux fonctions qui doivent être exécutées avant la finalisation des données pour le mois. Les tâches relatives à la qualité pour les agents spécialisés comprennent les suivantes : examen des cas problèmes courants pour l'industrie dont ils sont chargés et revue des médias liée aux industries manufacturières, afin de s'assurer que les données qui entrent rendent compte de la réalité. Au fur et à mesure que les données entrent dans l'environnement de l'EMIM, par suite de la collecte dans les bureaux régionaux, les agents spécialisés les passent en revue et les valident en examinant les rapports de diagnostic au niveau de chaque industrie. Ils analysent aussi les données relatives aux industries dont ils sont chargés aux niveaux provincial et national, afin de s'assurer qu'elles sont cohérentes et précises. L'examen et l'analyse du rapport de diagnostic se poursuivent tout au long du processus de production, jusqu'à ce que tous les problèmes de données en suspens aient été résolus.
• À l'intérieur de l'équipe de l'EMIM, on compte deux chefs d'équipe. Un est chargé des industries manufacturières regroupées en industries durables et l'autre, du regroupement des industries manufacturières non durables. Ils assurent aussi la validation des données pour les industries qui relèvent de leur domaine. Les chefs d'équipe passent en revue les industries et les établissements les plus importants relevant de leur domaine, pour s'assurer que les contrôles manuels ont été appliqués de façon appropriée. Les fichiers problèmes des agents spécialisés sont examinés et font l'objet d'un suivi, en vue de résoudre les problèmes en suspens. Les chefs d'équipe passent en revue les données pour les dix principales entreprises touchées dans chaque industrie, au chapitre des ventes, des stocks et des commandes non remplies, à plusieurs points de contrôle de la qualité pendant la production. Ils procèdent aussi à des examens des données provinciales pour les industries et donnent suite aux préoccupations en matière de qualité des données des agents spécialisés et de la Division des comptes des industries.
• Le chef de sous section (économiste principal) assure la validation finale des estimations au niveau de l'industrie et de la province et au niveau agrégé et est chargé de déterminer quand les données sont finales et de les autoriser. Le chef de la sous section des opérations fait en sorte que tous les rapports de diagnostic sont exécutés aux points de contrôle appropriés. Le chef de sous section est chargé d'examiner les dix principales entreprises touchées, de passer en revue les totaux nationaux non corrigés pour le secteur manufacturier, ainsi que les données désaisonnalisées et non désaisonnalisées pour les trois mois précédents, afin de déterminer si des révisions importantes ont eu lieu. Le chef de sous section examine, analyse et valide aussi les données provinciales, pour assurer la cohérence des données au niveau de l'industrie provinciale. Le chef de sous section doit aussi donner suite aux questions de qualité des données et valider le fait que tous les contrôles manuels requis ont été exécutés.

Dans le cadre de la vérification, on a tenu un essai pour s'assurer que les listes de tâches et les listes de vérification sont appliquées de façon uniforme par les employés. Un examen des approbations et une revue des rapports de production mensuels a révélé que le chef de la sous section des opérations de l'EMIM assure un suivi des rapports de diagnostic remplis et des points en suspens à chaque étape de l'estimation pour l'équipe de l'EMIM. Chaque mois, l'économiste principal prépare une approbation des listes de vérification, qui indique que les vérifications requises ont été effectuées à chaque étape de l'estimation au cours de la période de production des données.

Des rôles, responsabilités et obligations de reddition de comptes clairement définies sont en place pour l'EMIM, afin d'assurer la gestion efficace de la qualité des données. Les tâches et responsabilités énoncées dans les listes de vérification sont menées à bien par le personnel de l'EMIM.

Surveillance
Un cadre de gestion de la qualité efficace nécessite que des objectifs de qualité et des mécanismes d'assurance de la qualité appropriés soient en place. Ces objectifs et mécanismes doivent faire l'objet d'une surveillance, et des rajustements doivent être apportés au besoin.

L'objectif principal des Lignes directrices concernant la qualité de Statistique Canada est de fournir une liste exhaustive des principes directeurs et des bonnes pratiques pour la conception des enquêtes. Ces lignes directrices font état des étapes et des processus d'enquête et comportent des stratégies d'assurance de la qualité pour maximiser les six éléments statiques de la qualité des données : pertinence, exactitude, actualité, accessibilité, intelligibilité et cohérence. Selon les Lignes directrices, des documents de procédures détaillés et à jour doivent être en place et la vérification des données doit être surveillée. Les indicateurs de qualité compris dans les lignes directrices comprennent des taux de vérification, la contribution des vérifications et variables clés, les taux d'imputation par variable, les taux de réponse pondérés et non pondérés et les coefficients de variation pour les estimations principales.

Dans l'environnement de l'EMIM, des documents de procédures sont en place et ont été élaborés sous forme de listes de tâches, qui déterminent efficacement les fonctions et responsabilités de chaque membre de l'équipe. Les tâches comportent une description détaillée des étapes nécessaires pour assurer la qualité des données pendant le traitement de l'enquête, conformément aux Lignes directrices concernant la qualité de Statistique Canada.

La direction de l'EMIM a déterminé plusieurs indicateurs de qualité pour usage interne, afin d'assurer la qualité des données aux étapes de la collecte et du traitement des données de l'EMIM. La vérification a permis de déterminer que les indicateurs de qualité suivants sont en place et efficaces; pendant la collecte, des indicateurs de qualité, comme les taux de contact et les taux de réponse, sont documentés et surveillés, afin de veiller à ce que la collecte se déroule à temps et que les unités prioritaires soient contactées. À l'intérieur du cycle de traitement des données, des rapports de diagnostic qui examinent les valeurs négatives, les valeurs aberrantes, les non déclarants, les principales entreprises touchées et les principaux contributeurs sont créés pour surveiller et valider l'exactitude des données pour les valeurs négatives, les valeurs aberrantes, les non répondants et les principales entreprises touchées.

Des mesures de qualité des données sont produites et font l'objet de rapports externes pour l'EMIM, conformément à la Politique visant à informer les utilisateurs, qui prescrit les quantités minimales d'information sur la qualité des données et la méthodologie qui doivent être fournies aux utilisateurs.

En ce qui a trait à l'exactitude, la Politique précise aussi que toutes les diffusions de données doivent s'accompagner d'information sur les trois sources les plus courantes d'erreurs : couverture, non réponse et erreur d'échantillonnage, ainsi que toute autre source importante d'erreurs (p. ex., erreurs de réponse, erreurs de traitement). La vérification a permis de déterminer que, pour l'EMIM, des données sur ces sources d'erreur sont produites mensuellement. Les mesures de la qualité produites comprennent les taux de réponse finals, les taux de contrôle et d'imputation et les coefficients de variation (c.v.) pour les estimations principales. Chaque mois, ces indicateurs de qualité, ainsi que des données sur les concepts, définitions, sources des données et méthodologie de l'enquête, sont publiés dans la Base de métadonnées intégrée (BMDI), qui relève de la Division des normes.

À l'intérieur des diverses étapes du processus de l'EMIM, il existe une gamme variée de stratégies d'assurance de la qualité, qui sont appliquées et efficaces. Les examens des microdonnées sont effectués par des agents spécialisés à chaque étape d'estimation du cycle de production de l'EMIM.^{Footnote 1} À chaque passage d'estimation, les agents spécialisés produisent des rapports de diagnostic sur des industries particulières, afin de veiller à ce que les données qui entrent soient valides et que les stratégies de contrôle et d'imputation soient appliquées de façon appropriée. Lorsque des anomalies sont notées dans les données, les agents spécialisés et les chefs d'équipe valident les changements et recréent des rapports de diagnostic pour s'assurer que les données sont cohérentes et exactes. L'économiste principal procède à un examen final, exécute des rapports de diagnostic au sujet des microdonnées et valide les tendances agrégées. Avant l'approbation des données, un examen externe des microdonnées est effectué par la Division des comptes des industries, afin d'assurer l'exactitude et la cohérence des données. Un examen final des données agrégées est assuré par les cadres supérieurs de la Division de la fabrication et de l'énergie (DFE) et au niveau de Statistique Canada.

Sur la base des processus de qualité existants, la vérification a permis de déterminer qu'un cadre efficace de gestion de la qualité est en place et que les objectifs de qualité et les mécanismes d'assurance de la qualité sont surveillés et sont efficaces.

Gestion des risques

L'existence de pratiques et de procédures officielles pour la gestion des risques liés à la qualité des données de l'EMIM fait en sorte que la direction détermine les risques au chapitre de l'exactitude et de la qualité des données d'enquête et y donne suite.

Cela comprend la détermination des risques, l'évaluation des contrôles en place pour atténuer les risques, la mise en œuvre de stratégies d'atténuation des risques et de plans d'action pour gérer les risques courants au chapitre de la qualité, ainsi qu'une réévaluation périodique des risques au chapitre de la pertinence et l'évaluation de l'efficacité des stratégies d'atténuation.

Gestion des risques à la Division
À la DFE, l'évaluation des risques pour l'EMIM a été effectuée dans le cadre de l'Examen de rendement de programme (2010) de la Division, ainsi que pendant l'Examen d'assurance de la qualité (2007). Au cours de ces exercices, les risques externes et internes pour la qualité des données de l'EMIM ont été déterminés, et des stratégies d'atténuation ont été élaborées. La direction de la DFE a noté que la détermination des risques est aussi un processus permanent qui se déroule de façon officieuse, au fur et à mesure que des problèmes se posent; toutefois, ces discussions n'ont pas été documentées.

La gestion des risques à la DFE fait l'objet d'un exercice officiel qui permet à la direction d'évaluer et de surveiller l'environnement interne (processus d'enquête) et l'environnement externe (secteur manufacturier en général), au chapitre des risques. La direction détermine, évalue et surveille de façon proactive les risques; des stratégies d'atténuation ont été élaborées pour réduire à des niveaux acceptables les risques clés déterminés. La direction réévalue les risques et l'environnement des risques de façon officielle, dans le cadre des examens de rendement de programme, et de façon informelle, sur une base permanente.

Dans l'ensemble, la Division de la fabrication et de l'énergie dispose d'un processus officiel efficace de détermination des risques pour l'EMIM, qui permet de surveiller les environnements interne et externe sur une base permanente. La direction détermine et surveille les contrôles en place pour gérer les risques pour la qualité, et les données d'entrée du contrôle d'assurance de la qualité des données de l'EMIM proviennent d'autres divisions de Statistique Canada.

Champ d'enquête n^o 2 : Les contrôles manuels effectués par le personnel de l'EMIM pendant l'étape de la production de l'enquête sont validés, documentés et autorisés.

Gérance des données

Les points de contrôle clés de la qualité devraient être appliqués de façon uniforme par le personnel de l'EMIM, et les activités relatives à la qualité dans les listes de tâches devraient être reliées aux six dimensions statiques de la qualité dont il est fait état dans les Lignes directrices concernant la qualité de Statistique Canada.

La vérification a permis de déterminer que les points de contrôle clés de la qualité ont été intégrés dans le processus de l'EMIM et sont appliqués de façon uniforme. Les points de contrôle clés de la qualité du processus de l'EMIM correspondent à chaque passage d'estimation de la production des données. Les résultats de la visite du chef de la sous section des opérations et l'essai d'approbation des listes de vérification remplies par l'économiste principal ont montré que les rapports de diagnostic requis étaient créés et surveillés à chaque passage d'estimation. L'économiste principal a validé le fait que les vérifications requises étaient effectuées à chaque point de contrôle et appliquées de façon uniforme.

Les Lignes directrices concernant la qualité de Statistique Canada indiquent que des documents de procédures détaillés et à jour devraient exister. Ces lignes directrices soulignent aussi que Statistique Canada considère la qualité comme multidimensionnelle et la définit selon six dimensions, celles ci pouvant être liées au processus d'enquête. Les listes de tâches pour l'EMIM servent de documents de procédures et sont détaillées et efficaces. Même si les listes de tâches de l'EMIM pour les agents spécialisés, les chefs d'équipe et le chef de sous section ne font pas référence de façon particulière aux six dimensions de la qualité, l'équipe de vérification a examiné les listes de tâches et les lignes directrices et a déterminé que les processus et les tâches détaillés pour chaque employé de production de l'EMIM peuvent être clairement reliés aux six éléments de la qualité.

L'efficacité des contrôles manuels devrait inclure un ensemble équilibré de contrôles de prévention et de détection et devrait être validée, documentée et autorisée. Les contrôles manuels devraient faire l'objet d'une vérification d'efficacité sur une base périodique, et un processus officiel de remise en question des hypothèses d'enquête devrait être en place.

Le système de traitement de l'EMIM utilise à la fois des contrôles manuels et automatisés pour la production des estimations mensuelles de l'EMIM. Les contrôles automatisés dans un environnement d'enquête font en sorte que les processus sont mis en œuvre de façon uniforme. Par exemple, des contrôles automatisés sont utilisés pour mettre en œuvre des révisions des données récurrentes sur une base permanente, comme la calendrialisation des données pour les répondants qui ne peuvent produire de déclarations mensuelles, le fractionnement permanent des données entre les établissements et les calculs des ventes aux fins de la TPS.

L'EMIM comporte un ensemble fonctionnel de contrôles manuels de prévention et de détection intégrés dans l'environnement de production. Les agents spécialisés tiennent une liste permanente des établissements pour lesquels une validation ou une révision manuelle des données est nécessaire. Parmi les exemples de contrôles manuels de prévention figure la conversion des données d'entrée en devises canadiennes, afin d'assurer l'exactitude des données, des nouvelles structures de déclaration pour un établissement, qui n'ont pas été programmées dans le système, ou dans les cas où il existe des dispositions préalables avec un établissement important et complexe comportant plusieurs emplacements pour que le siège social recueille les données. Ces contrôles de prévention permettent les calculs et les répartitions des données appropriés.

Les contrôles manuels de détection servent lorsque les rapports de diagnostic montrent des anomalies dans les données. Par exemple, les non déclarants, les valeurs négatives, les enregistrements en blanc, les principales entreprises touchées et les entreprises les plus importantes à l'intérieur de chaque industrie particulière susciteraient tous un examen manuel des données pour ces établissements. Les tests de vérification ont déterminé que lorsqu'un établissement figure dans un rapport de diagnostic, les données font l'objet d'un examen et d'une validation, afin que la cause des anomalies soit justifiée.

Des essais ont été menés dans le cadre de la vérification pour confirmer que les contrôles manuels étaient documentés, validés et autorisés. L'essai comprenait la vérification de la documentation de justification des contrôles manuels dans le système de traitement de l'EMIM. On a choisi un échantillon de 22 établissements nécessitant des contrôles manuels.

Dans l'échantillon de la vérification, une grande entreprise nécessitait une conversion de devises. Les essais de vérification ont confirmé que le taux de conversion utilisé pour la conversion des devises correspondait aux taux prescrit dans les listes des tâches et de vérification pour l'industrie, pour les périodes de référence de l'enquête de septembre et novembre 2011. Pour 11 cas dans l'échantillon choisi, les données ont dû être fractionnées pour faire en sorte que les ventes, les stocks et/ou les commandes appropriés soient affectés aux emplacements appropriés de l'entreprise. La vérification a confirmé que ces fractionnements ont été effectués avec succès et documentés dans le système.

La vérification a permis d'examiner 11 principales entreprises visées parmi les trois plus grands secteurs de l'industrie manufacturière au Canada. La vérification a confirmé que, pour l'ensemble des principales entreprises visées, le personnel de l'EMIM a confirmé que le changement majeur était le résultat d'un événement économique qui était documenté. Dans les cas où aucune justification n'a pu être fournie pour un changement majeur, il existait une stratégie à court terme documentée pour la situation, qui a aussi fait en sorte que l'établissement a été placé dans le fichier des problèmes pour faire l'objet d'une surveillance. Aucune autorisation officielle n'était en évidence pour les modifications manuelles des données. Le personnel de l'EMIM a indiqué que les autorisations des révisions majeures se font verbalement, mais ne sont pas documentées. Les autorisations informelles non documentées augmentent le risque que les obligations de reddition de comptes ne soient pas bien définies et que la justification des révisions manuelles des données se perde au fil du temps.

L'échantillon comprenait un cas où les données pour un répondant avaient été tirées des fichiers de la TPS et avaient été déclarées comme égales à zéro pour les ventes pour le mois de novembre. Après examen des commentaires figurant dans le système, on a noté que les ventes du secteur manufacturier étaient imputées à partir des données fiscales. Les fichiers de données fiscales ont par la suite été examinés, et l'équipe de vérification a déterminé que, même si les ventes étaient égales à zéro aux fins de la TPS, les données fiscales indiquaient que des ventes avaient été déclarées pour l'unité et avaient servi à estimer les ventes du secteur manufacturier pour le mois. On a noté que les données de la TPS ne devraient pas comporter de valeur de zéro. Cela a incité les agents spécialisés à examiner le RE, dans lequel l'unité était classée comme unité manufacturière. Toutefois, après examen du fichier de l'impôt des sociétés, on a déterminé que l'unité était classée comme un grossiste, ce qui fait qu'elle ne devait pas figurer dans l'échantillon et pouvait avoir des répercussions sur l'industrie manufacturière en question. Par conséquent, l'agent spécialisé a envoyé une demande aux responsables du RE pour valider le type d'industrie de l'unité.

L'examen des commentaires dans le système de production et dans les fichiers de problèmes courants pour les trois plus grandes industries manufacturières a montré que les contrôles manuels de prévention et de détection étaient documentés dans les faits. Le système comprend aussi une piste de vérification qui rend compte de tous les changements apportés aux données, de la date des changements et de l'utilisateur qui les a effectués.

La validation des contrôles manuels se fait de façon permanente, tout au long du processus de l'EMIM. Les agents spécialisés, les chefs d'équipe et l'économiste principal de l'EMIM exécutent à nouveau les rapports de diagnostic à chaque passage d'estimation, procèdent à la validation et remettent en question les contrôles manuels effectués pendant le mois.

À l'étape de l'essai, l'équipe de vérification a trouvé deux cas dans l'échantillon où les contrôles manuels annulaient les contrôles automatisés distincts. De façon plus particulière, le système de production a été programmé pour calendrialiser automatiquement les données d'entrée pour ces établissements, parce que leurs périodes de déclaration ne sont pas mensuelles. Par suite de l'entrée manuelle de données, les contrôles automatisés ont été annulés. Cette situation n'a pas été décelée jusqu'en juillet 2011, date à laquelle un nouvel agent spécialisé a noté que le contrôle automatisé n'était pas appliqué. La calendrialisation de ces deux établissements est maintenant calculée manuellement. Même si cette situation a été corrigée par le personnel de l'EMIM, il n'y a pas de procédure établie à l'intérieur du processus de l'EMIM pour veiller à ce que les contrôles manuels n'aient pas de répercussions sur les contrôles automatisés.

L'équipe de vérification a déterminé que des contrôles manuels de détection et de prévention étaient en place et que les contrôles manuels étaient validés et documentés dans les faits. Il existe des possibilités de s'assurer que les contrôles manuels sont autorisés officiellement. L'évaluation des contrôles manuels à l'intérieur du système de production de l'EMIM ont montré que le cadre de contrôle devrait être raffermi, afin que les contrôles manuels n'annulent pas accidentellement les autres contrôles automatisés.

Recommandations

Il est recommandé que le statisticien en chef adjoint, Secteur de la statistique du commerce et des entreprises, s'assure :

• que les contrôles manuels sont autorisés officiellement, au besoin, lorsque des révisions majeures des données sont requises;
• qu'une surveillance permanente de l'environnement de contrôle est effectuée pour s'assurer que les contrôles manuels n'annulent pas accidentellement les autres contrôles automatisés.

Réponse de la direction

La direction est d'accord avec les recommandations.

• Le chef de la DFE assurera l'élaboration et la mise en œuvre d'une fiche de contrôle pour enregistrer les événements et les approbations, lorsque des contrôles manuels sont appliqués à l'égard des données de l'EMIM, et il s'assurera que ces nouvelles exigences de rapports sont communiquées à tous les employés de l'EMIM et intégrées dans les documents de procédures existants pour les agents spécialisés. Une surveillance sera assurée pour faire en sorte que les fiches de contrôle soient utilisées de façon appropriée.
  Produits livrables et échéance : Élaboration et mise en œuvre de la fiche de contrôle d'ici octobre 2012. La surveillance sera permanente à partir d'octobre 2012.
• Le gestionnaire du Projet d'intégration du système d'enquêtes mensuelles de la Direction de la statistique de l'industrie (PISEMDSI) de la DFE s'assurera que la mise en œuvre du système de production de ce projet est assurée, ce qui réduira la nécessité d'interventions manuelles et permettra des commentaires et des notes améliorés dans le système.
  Produits livrables et échéance : Mise en œuvre du système de production du PISEMDSI d'ici juin 2012.
• Le chef de la DFE assurera la restratification de l'échantillon, ce qui réduira la nécessité de contrôles manuels correctifs dans l'environnement de production de l'EMIM.
  Produits livrables et échéance : La restratification de l'échantillon de l'EMIM sera terminée d'ici mars 2013.
• Le chef de la DFE s'assurera que les autres employés de l'EMIM et les utilisateurs des données de Statistique Canada sont au courant des contrôles manuels appliqués aux données pour réduire les risques d'annuler les autres contrôles.
  Produits livrables et échéance : Plan visant à faire en sorte que les contrôles manuels appliqués soient communiqués aux autres employés de l'EMIM et aux utilisateurs des données de façon permanente.
• Le chef de la DFE s'assurera qu'un registre des dossiers nécessitant des contrôles manuels est produit chaque mois et que ces unités font l'objet d'une surveillance pour s'assurer que les contrôles automatisés n'ont pas été annulés accidentellement.
  Produits livrables et échéance : Mise en œuvre d'un registre de contrôle manuel d'ici octobre 2012. Surveillance permanente pour faire en sorte que les contrôles manuels n'annulent pas accidentellement les autres contrôles automatisés.

Annexe

Annexe A : Critères de vérification

Champ d’enquête/ Contrôle clé	Critère
L'environnement de production de l'EMIM comporte un cadre solide de contrôle de la qualité, afin de veiller à ce que la qualité des données soit conforme à la composante de l'exactitude des Lignes directrices concernant la qualité de Statistique Canada.
Reddition de comptes	Les pouvoirs, les responsabilités et la reddition de comptes en matière de qualité sont clairs et bien communiqués.
Résultats et rendement	La direction a déterminé des mesures appropriées d'évaluation du rendement par rapport aux résultats escomptés. La direction surveille le rendement réel en fonction des résultats escomptés et modifie son plan d'action au besoin.
Gestion des risques	La direction définit les risques qui pourraient entraver l'atteinte de ses objectifs. La direction détermine et évalue les contrôles en place pour gérer les risques.
Les contrôles manuels effectués par le personnel de l'EMIM pendant l'étape de la production de l'enquête sont validés, documentés et autorisés.
Gérance	Les activités nécessaires pour atteindre les objectifs de qualité ont été intégrées dans le processus de contrôle de la qualité de l'EMIM. Un processus officiel est en place pour remettre en question les hypothèses d'enquête et les contrôles manuels de qualité connexes.

Note