Rapport d'audit
22 avril 2013
Numéro de projet : 80590-77
- Résumé
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Autorité
- Constatations, recommandations et réponses de la direction
- Environnement de contrôle pour la gestion de l'Accord
- Gérance des données
- Sécurité matérielle et des technologies de l'information (TI)
- Annexes
- Annexe A : Critères d'audit
- Annexe B : Acronymes
Résumé
Les accords de partage de données (APD) sont un processus opérationnel clé de Statistique Canada. Ces dernières années, le partage de données a pris de l'ampleur et sa gestion est devenue de plus en plus complexe. Assurer la confidentialité des données présente un défi. La Division de la statistique de la santé (DSS) conclut des APD avec des ministères provinciaux de la Santé en application de l'article 12 de la Loi sur la statistique. Les APD actuellement conclus avec le ministère de la Santé de la Colombie-Britannique (le Ministère) permettent le partage de données statistiques sur la santé tirées de l'Enquête sur la santé dans les collectivités canadiennes (ESCC) et de l'Enquête nationale sur la santé de la population (ENSP).
Statistique Canada est en train de remplacer ses APD existants par un accord général de partage des données (AGPD) qui régit la collecte et le partage, avec le Ministère, d'informations tirées de plusieurs enquêtes sélectionnées sur la santé. L'AGPD s'accompagne de modalités qui régissent l'utilisation, la confidentialité, l'accès, la surveillance et la conformité de l'information ainsi que la sécurité matérielle et des TI. Le présent audit a été réalisé tandis que le Ministère se préparait à appliquer les modalités de l'AGPD dans le but de déterminer dans quelle mesure les pratiques en place répondaient aux exigences énoncées dans l'AGPD.
L'objectif du présent audit est de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :
- les modalités de l'accord général de partage des données conclu entre Statistique Canada et le ministère de la Santé de la Colombie-Britannique sont respectées.
L'audit a été effectué par les Services de vérification interne en conformité avec la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
Les pouvoirs, responsabilités et obligations redditionnelles afférents à la gestion et à la manipulation de données d'enquêtes sur la santé de Statistique Canada sont séparés de la manière appropriée et sont formellement définis, documentés et communiqués au niveau de la haute direction du Ministère; cependant, du travail reste à faire pour s'assurer que les rôles et responsabilités fonctionnels sont documentés, communiqués et compris au niveau opérationnel.
Le Ministère a établi des protocoles internes appropriés qui répondent aux exigences énoncées dans l'AGPD. Le Ministère a transféré la responsabilité de la gestion des données d'enquêtes sur la santé de Statistique Canada hors de son secteur des programmes (à qui elle incombait auparavant) pour la confier à sa Division de la gestion de l'information et des technologies de l'information du secteur de la santé. Le Ministère a élaboré un ensemble de pratiques visant à assurer la protection et la bonne garde des données d'enquêtes sur la santé de Statistique Canada qui lui sont communiquées.
Il reste encore au Ministère à mettre en place des modèles révisés d'entente avec les tiers qui tiennent compte des exigences énoncées dans l'AGPD. C'est là une tâche importante que doit accomplir le Ministère pour s'assurer de la mise en place de mesures appropriées de protection pendant toute la durée du cycle de vie de l'information tirée des enquêtes sur la santé de Statistique Canada.
Des contrôles efficaces de l'accès physique aux locaux du Ministère et à ses espaces physiques d'entreposage et de stockage ont été mis au point. Le Manuel des politiques et procédures (Policies and Procedures Manual) du Ministère fournit des consignes et des directives concernant l'accès physique et électronique, les mesures de protection de l'identification et de l'authentification, l'entreposage/stockage et la transmission TI des données, la reproduction et la conservation de l'information ainsi que la gestion des dossiers afin de satisfaire aux exigences énoncées dans l'AGPD de Statistique Canada. Il importe de mentionner qu'au moment de l'audit, le Ministère était en train de répondre à ces exigences.
Conclusion générale
Statistique Canada est en train de remplacer ses APD existants par un accord général de partage des données (AGPD) qui régit la collecte et le partage, avec le ministère de la Santé de la Colombie-Britannique, de données tirées de plusieurs enquêtes sélectionnées sur la santé. L'AGPD comporte des modalités régissant l'utilisation, la confidentialité, l'accès, la surveillance et la conformité de l'information et de la sécurité matérielle et des TI.
À l'examen du caractère suffisant et, le cas échéant, de l'efficacité des processus et pratiques mis en place par le Ministère pour se conformer aux exigences énoncées dans l'AGPD, on a constaté que le Ministère avait pris des mesures pour concevoir des pratiques, des politiques et des procédures permettant de répondre aux exigences énoncées dans l'AGPD. Toutefois, du travail reste à faire sur deux fronts avant que l'on transmette au Ministère de l'information tirée d'enquêtes statistiques sur la santé : 1) les rôles et responsabilités fonctionnels afférents à la gestion et à la manipulation des données d'enquêtes sur la santé de Statistique Canada doivent être clairement définis et communiqués au personnel des opérations; 2) les modèles d'entente avec un tiers doivent tenir pleinement compte des exigences de l'AGPD qui est en train d'être conclu entre Statistique Canada et le ministère de la Santé de la Colombie-Britannique.
Conformité aux normes professionnelles
L'audit a été effectué en conformité avec les Normes relatives à la vérification interne au sein du gouvernement du Canada, lesquelles comprennent les Normes internationales pour la pratique professionnelle de l'audit interne (NIPPAI) de l'Institute of Internal Auditors (IIA –Institut des auditeurs internes).
Introduction
Contexte
La Division de la statistique de la santé (DSS) de Statistique Canada a mandat de fournir des données exactes, à jour et pertinentes sur la santé des Canadiens. La DSS fournit de l'information statistique sur la santé de la population, les déterminants de la santé ainsi que la portée et l'utilisation des ressources en soins de santé au Canada. Cette information aide planificateurs et décideurs du secteur de la santé de tous ordres de gouvernement à soutenir la recherche démographique et épidémiologique et à rendre compte à la population canadienne de sa santé collective et du système de soins de santé. La DSS travaille en partenariat avec les registres provinciaux et territoriaux de la statistique de l'état civil et du cancer, de même qu'avec des fournisseurs et des utilisateurs de données aux niveaux fédéral (Santé Canada et l'Agence de la santé publique du Canada), provincial (ministères provinciaux de la Santé) et régional (régies régionales de la santé, autorités sanitaires, offices régionaux de la santé).
Pour s'acquitter de son mandat, Statistique Canada peut, en vertu de l'article 12 de la Loi sur la statistique (la Loi), conclure un accord portant sur la communication des renseignements recueillis d'un intéressé, et le statisticien en chef peut, en application de l'alinéa 17(2)a) de la Loi, révéler les renseignements recueillis par des personnes, des organisations ou des ministères, pour leur propre usage, et communiqués à Statistique Canada. Ces accords touchent la majorité des enquêtes-ménages et prévoient certaines exceptions concernant la diffusion des renseignements confidentiels sur les intéressés, à la condition que toutes les parties respectent les exigences légales en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité.
Statistique Canada est en train de remplacer ses APD conclus avec le ministère de la Santé de la Colombie-Britannique (le Ministère) par un accord général de partage des données (APGD) pour la collecte et la communication d'informations tirées du plusieurs enquêtes sélectionnées sur la santé, dont l'Enquête sur la santé dans les collectivités canadiennes (ESCC) et l'Enquête nationale sur la santé de la population (ENSP).
L'ESCC est une enquête transversale qui vise à recueillir des renseignements sur l'état de santé, l'utilisation des services de santé et les déterminants de la santé de la population canadienne. Elle est réalisée chaque année auprès d'un grand échantillon de répondants et est conçue pour fournir des estimations fiables à l'échelle de la région sociosanitaire. L'ESCC doit son caractère unique à la nature régionale de son contenu et de sa mise en œuvre. Ces aspects permettent d'analyser les données sur la santé au niveau régional, partout au Canada.
L'ENSP recueille des renseignements sur la santé de la population canadienne ainsi que des renseignements sociodémographiques connexes. Tous les deux ans, les mêmes personnes fournissent des renseignements à jour et détaillés sur leur état de santé physique et mentale, leur utilisation des services de santé, leurs activités physiques, leur vie au travail et leur environnement social. L'ENSP a maintenant été éliminée.
Les données recueillies au moyen de l'ESCC et de l'ENSP sont abondamment utilisées par la communauté des chercheurs et d'autres professionnels de la santé. Les ministères fédéraux et provinciaux de la Santé et des Ressources humaines, des organismes de services sociaux et d'autres agences gouvernementales utilisent l'information recueillie pour planifier, mettre en œuvre et évaluer des programmes visant à améliorer la santé des Canadiens et l'efficacité des services de santé. Des organisations sans but lucratif et des chercheurs universitaires utilisent l'information pour réaliser des travaux de recherche sur les façons d'améliorer la santé.
Objectifs de l'audit
L'objectif du présent audit est de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :
- les modalités de l'accord général de partage des données conclu entre Statistique Canada et le ministère de la Santé de la Colombie-Britannique sont respectées.
Portée
Aux termes de l'AGPD, le Ministère peut partager les données avec des tiers bénéficiaires, tels que les offices régionaux de la santé relevant de sa compétence, des organisations ou instituts de recherche provinciaux ou universitaires reconnus et des chercheurs qu'il a sous contrat. Pour protéger le caractère confidentiel et délicat des données recueillies par Statistique Canada, l'accord s'accompagne de modalités prévoyant que la confidentialité de l'information ne doit pas être compromise.
La portée de cet audit comprenait un examen du caractère adéquat et, le cas échéant, de l'efficacité des processus et pratiques mis en place par le Ministère pour respecter les exigences énoncées dans l'AGPD. L'audit a porté plus particulièrement sur les mesures de protection de la confidentialité et de sécurité (accès physique, stockage et transmission TI, entreposage physique, reproduction de l'information, conservation des données et gestion des dossiers) que le Ministère a mises en place pour assurer la protection et la confidentialité des données.
Approche et méthodologie
Une visite sur place a été effectuée en décembre 2012 pour évaluer les processus et procédures que le Ministère a mis en place pour veiller au respect des modalités de l'AGPD conclu avec Statistique Canada en prévision de la réception de données confidentielles tirées d'enquêtes sur la santé de Statistique Canada. L'approche a consisté en des entrevues avec des cadres supérieurs et des membres du personnel clé et en un examen des processus, procédures et lignes directrices élaborés par le Ministère pour respecter les modalités de l'accord conclu avec Statistique Canada.
Cet audit a été effectué suivant les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA – Institut des auditeurs internes) et en conformité avec la Politique sur la vérification interne du SCT.
Autorité
Cet audit a été effectué à la suite d'une demande de la haute direction axée sur les risques.
Constatations, recommandations et réponses de la direction
Objectif : Les modalités de l'Accord de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.
Environnement de contrôle pour la gestion de l'Accord
Les pouvoirs, responsabilités et obligations redditionnelles afférents à la gestion et à la manipulation de données d'enquêtes sur la santé de Statistique Canada sont séparés de la manière appropriée et sont formellement définis, documentés et communiqués au niveau de la haute direction du Ministère; cependant, du travail reste à faire pour s'assurer que les rôles et responsabilités fonctionnels sont documentés, communiqués et compris au niveau opérationnel.
Pouvoirs, responsabilités et obligations redditionnelles doivent être clairement définis et compris à tous les niveaux pour appuyer une gestion efficace des modalités de l'AGPD. Un mécanisme de surveillance des pratiques, tel que le mentionnent les modalités de l'AGPD, devrait être en place pour repérer les erreurs ou erreurs potentielles qui, si on ne les rectifie pas, feraient augmenter les risques sur le plan opérationnel.
Autorité
Statistique Canada exerce son mandat qui consiste à conclure des accords de partage de données statistiques avec d'autres organisations aux termes des articles 11 et 12 de la Loi sur la statistique. Les données statistiques tirées d'enquêtes sur la santé qui sont transmises au Ministère l'aident à élaborer ses politiques, à évaluer ses programmes en vue d'améliorer la santé de la population et l'efficience des services de santé, ainsi qu'à soutenir la recherche démographique et épidémiologique.
En application de l'article 12 de la Loi sur la statistique, Statistique Canada procède au remplacement de ses APD conclus avec le Ministère par un accord général de partage des données en vue de la collecte et de la communication d'informations tirées de plusieurs enquêtes sélectionnées sur la santé.
Rôles et responsabilités
L'audit a permis de constater que les rôles et responsabilités afférents à la gestion et à la manipulation de l'information tirée des enquêtes sur la santé de Statistique Canada sont formellement définis dans deux documents clés, le CCHS Secure Lab Process (document sur le processus du laboratoire protégé pour les données de l'ESCC) et le Ministry of Health Statistique Canada Health Survey Information: Policies and Procedures Manual (Manuel des politiques et procédures du ministère de la Santé concernant les données d'enquêtes sur la santé de Statistique Canada).
Trois niveaux de pouvoir de signature ont été définis pour la manipulation de l'information des enquêtes sur la santé de Statistique Canada, soit ceux du sous-ministre adjoint, du coordonnateur en chef de la gérance des données et de l'administrateur de données.
Le coordonnateur en chef de la gérance des données et directeur exécutif, Gestion de l'information et services du savoir (GISS), à la Division de la gestion de l'information et des technologies de l'information du secteur de la santé (GITISS) du Ministère sera le représentant désigné de l'« organisation réceptrice », étant chargé de s'assurer que procédures et processus soient en place pour satisfaire aux exigences énoncées dans l'APD et de veiller à ce qu'il existe une protection adéquate pour assurer la sécurité des données d'enquêtes sur la santé.
Le directeur de l'accès et de la gérance des données, en tant qu'administrateur de données, sera responsable de la réception et de la distribution des données d'enquêtes sur la santé de Statistique Canada. Il assumera les responsabilités énoncées dans l'annexe C de l'AGPD pendant toute la durée du cycle de vie des données d'enquêtes sur la santé de Statistique Canada, soit la réception, la manipulation, le stockage/l'entreposage et la transmission des données. En outre, l'administrateur de données assumera les responsabilités énoncées dans les politiques, les procédures et les pratiques de gestion de l'information du Ministère.
Le groupe de l'accès et de la gérance des données est soutenu, dans la manipulation et la gestion de l'information d'enquêtes sur la santé de Statistique Canada, par les Opérations d'entrepôts de données. Le directeur des opérations d'entrepôts de données assure la relève de l'administrateur de données. Les Opérations d'entrepôts de données fournissent un soutien TI aux services GISS et fourniront un soutien pour le laboratoire protégé où sont hébergées les données d'enquêtes sur la santé de Statistique Canada. Ce soutien comprend l'aménagement physique du laboratoire protégé et des activités continues de traitement et de manipulation des données.
Au niveau opérationnel, la responsabilité de la gestion des contrats passés avec des tiers incombe au groupe de l'accès et de la gérance des données. Un chef d'équipe au sein de ce groupe s'occupera des instituts de recherche universitaires provinciaux et des offices régionaux de la santé de la Colombie-Britannique et un second chef d'équipe s'occupera des ententes de partage de renseignements pour les chercheurs dont les services sont retenus par les secteurs de programme. Les membres des équipes s'occuperont de toutes les demandes que le Ministère reçoit d'organisations ou d'instituts de recherche universitaires provinciaux reconnus, des offices régionaux de la santé et des chercheurs. L'équipe se prononcera sur les demandes de données, en collaboration avec des experts travaillant dans les secteurs de programme, pour déterminer si l'information sollicitée correspond bien aux seuls renseignements nécessaires pour accomplir le travail.
L'équipe d'audit a constaté que, si les rôles et responsabilités étaient définis et compris au niveau de la haute direction du Ministère, on n'observait pas le même degré de clarté et de compréhension au niveau opérationnel. Les rôles et responsabilités fonctionnels des chefs d'équipe et des membres d'équipe au sein du groupe de l'accès et de la gérance des données ne sont pas clairement définis et documentés. Les membres des équipes ne sont pas certains de la façon dont leurs rôles évolueront une fois en place l'AGPD et dont les données confidentielles d'enquêtes sur la santé de Statistique Canada seront reçues.
Des rôles et responsabilités fonctionnels qui ne sont pas assez clairement définis et documentés au niveau opérationnel pourraient se traduire par des modalités non respectées et de l'information confidentielle d'enquêtes sur la santé de Statistique Canada non suffisamment ou efficacement protégée.
Surveillance
Les clauses touchant la surveillance sont prescrites par Statistique Canada dans l'AGPD. Dans l'AGPD, il est stipulé que Statistique Canada sera « en droit, s'il le juge nécessaire, d'effectuer un examen de conformité au présent accord. » L'APD stipule aussi que les accords que le Ministère conclut avec des tiers
« doivent comporter une clause stipulant le droit de Statistique Canada ou du Ministère (l'organisation réceptrice) de vérifier la conformité aux modalités du présent accord. »
À l'audit, il a été constaté que le Ministère n'avait pas exercé de surveillance sur les accords conclus antérieurement avec des tiers.
Les entrevues ont révélé que le Ministère avait l'intention d'ajouter une clause touchant la surveillance des tiers au moment où il réviserait ses modèles d'entente avec un tiers. Toutefois, lors de l'audit, il n'avait pas encore procédé à ces révisions; ainsi, l'équipe d'audit n'a pu prendre connaissance des modèles d'entente avec un tiers pour vérifier s'il y avait ou non une clause de surveillance. (Cette constatation est abordée dans les recommandations formulées sous la rubrique « Gérance des données ».)
Recommandation :
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec le Ministère pour veiller à la mise en œuvre de ce qui suit :
- les rôles et responsabilités fonctionnels au niveau opérationnel liés à la manipulation de données d'enquêtes sur la santé de Statistique Canada sont définis, documentés et communiquées.
Réponse de la direction :
La direction souscrit à la recommandation formulée.
- Le directeur de la DSS demandera une liste de tous les employés précisant leurs rôles et responsabilités afférents à la manipulation des données d'enquêtes sur la santé de Statistique Canada.
Livrable et échéance : lettre au Ministère d'ici avril 2013. - Dans le cadre du processus de la statistique de la santé qui sera mis en œuvre pour la surveillance continue de l'accès, le Ministère sera tenu de produire une liste de ses employés ayant accès aux données d'enquêtes sur la santé de Statistique Canada dans laquelle sont précisés leurs rôles et responsabilités.
Livrable et échéance : une liste des employés ayant accès aux données d'enquêtes sur la santé de Statistique Canada, avec leurs rôles et responsabilités, tous les six mois.
Gérance des données
Le Ministère a établi des protocoles internes appropriés qui répondent aux exigences énoncées dans l'AGPD. Le Ministère a transféré la responsabilité de la gestion des données d'enquêtes sur la santé de Statistique Canada hors de son secteur des programmes (à qui elle incombait auparavant) pour la confier à sa Division de la gestion de l'information et des technologies de l'information du secteur de la santé. Le Ministère a élaboré un ensemble de pratiques visant à assurer la protection et la bonne garde des données d'enquêtes sur la santé de Statistique Canada qui lui sont communiquées.
Il reste encore au Ministère à mettre en place des modèles révisés d'entente avec les tiers qui tiennent compte des exigences énoncées dans l'AGPD. C'est là une tâche importante que doit accomplir le Ministère pour s'assurer de la mise en place de mesures appropriées de protection pendant toute la durée du cycle de vie de l'information tirée des enquêtes sur la santé de Statistique Canada.
Le Ministère a établi un cadre approprié de gestion des exigences énoncées dans l'AGPD. Des protocoles internes assurant la saine gestion des données doivent être en place pour assurer la protection et la bonne garde des données d'enquêtes sur la santé de Statistique Canada pendant toute la durée de leur cycle de vie.
Gestion des données
Le ministère de la Santé de la Colombie-Britannique a transféré la responsabilité de la gestion des données d'enquêtes sur la santé de Statistique Canada de sa Division de la population et de la santé publique à sa Division de la gestion de l'information et des technologies de l'information du secteur de la santé (GITISS). Il s'agit là d'un contrôle clé, puisque c'est la Division de la GITISS qui, au Ministère, s'occupe de la gestion des données sur la santé, et non les utilisateurs finaux de ces données.
Au sein de la Division de la GITISS, la responsabilité de l'administration et de la gestion des données a été répartie de façon appropriée entre deux secteurs, soit celui de l'accès et de la gérance des données et celui des opérations d'entrepôts de données.
Tel que décrit dans l'Environnement de contrôle pour la gestion de l'APD, le directeur de l'accès et de la gérance des données sera l'administrateur de données désigné et destinataire et assurera la liaison entre Statistique Canada et le Ministère. Trois agents de recherche (AR) relevant de l'administrateur de données auront un accès autorisé aux locaux du laboratoire protégé pour utiliser les données confidentielles de Statistique Canada. Le rôle des AR comprendra le couplage initial des enregistrements pour les répondants à l'enquête ayant consenti au couplage des renseignements qu'ils ont fournis, le travail de validation, la mise à jour de l'information, la mise en œuvre des paramètres des études et le travail au laboratoire protégé pour préparer les dépouillements de travaux de recherche.
Trois analystes de base de données (ABD) relevant du directeur du groupe des opérations d'entrepôts de données auront un accès autorisé aux installations du laboratoire protégé où ils apporteront les compétences techniques nécessaires à la préparation des fichiers de données qu'utiliseront les AR.
Partage avec un tiers
Le Ministère peut fournir accès aux données confidentielles d'enquêtes sur la santé de Statistique Canada à :
- des chercheurs avec lesquels le Ministère sous-traite directement en vue d'obtenir un produit ou un service lié aux enquêtes dont lui seul sera le destinataire;
- des instituts de recherche universitaires ou provinciaux/territoriaux avec lesquels il sous-traite directement en vue d'obtenir un produit ou un service lié aux enquêtes dont il sera le seul destinataire;
- six offices régionaux de la santé (ORS) de la Colombie-Britannique. Toutefois, les données tirées d'enquêtes sur la santé de Statistique Canada ne peuvent être communiquées à des ORS que si les répondants ont été avisés que les réponses qu'ils ont fournies dans le cadre de l'enquête seraient transmises aux ORS ou régies régionales de la santé de leur province de résidence. Sinon, l'ORS peut uniquement travailler sous contrat pour le Ministère pour produire un produit ou service lié aux enquêtes dont seul le Ministère sera le destinataire.
Le Ministère a confirmé que les tiers destinataires susmentionnés auront uniquement accès aux données confidentielles d'enquêtes sur la santé de Statistique Canada dont les identificateurs personnels (c.-à-d. les nom, adresse et numéro de téléphone de l'intéressé ou d'autres moyens directs d'identifier une personne) ont été supprimés, comme le stipule l'accord général. Le Ministère a également confirmé que ces tiers n'auront pas accès aux installations de son laboratoire protégé où sont hébergées les données confidentielles sur la santé de Statistique Canada.
Si l'accès aux données d'enquêtes sur la santé de Statistique Canada est permis dans les locaux des instituts de recherche universitaires ou des ORS, le Ministère est alors tenu d'inclure dans les ententes qu'il a passées avec eux les mesures de sécurité matérielle et de sécurité des TI qui sont stipulées dans l'AGPD, à savoir que
« La partie réceptrice (le Ministère) doit veiller à ce que les modalités du présent accord concernant l'utilisation, la confidentialité, la protection et la sécurité de l'information soient incluses dans tous les arrangements et ententes qu'elle (le Ministère) conclut et en vertu desquelles toute autre organisation qui se voit accorder un accès à ladite information obtienne cet accès aux termes du paragraphe 6.2 du présent accord. »
Les entrevues ont révélé que le Ministère était en train de revoir ses modèles d'entente avec un tiers. Toutefois, au moment de l'audit, il n'avait pas encore terminé ses révisions. Ainsi, l'équipe d'audit n'a pu prendre connaissance des modèles d'entente avec un tiers pour obtenir confirmation de la présence ou de l'absence des exigences concernant l'utilisation, la confidentialité, la protection et la sécurité des données d'enquêtes sur la santé de Statistique Canada dans les modèles d'entente.
Recommandations :
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail, doit communiquer avec le Ministère pour s'assurer de ce qui suit :
- les modèles d'entente avec un tiers sont élaborés et renferment les exigences énoncées dans l'accord général de partage de données conclu avec Statistique Canada.
Réponse de la direction :
La direction souscrit à la recommandation.
- Le directeur de la DSS demandera au Ministère de lui produire ses modèles proposés d'entente avec un tiers pour s'assurer qu'ils renferment les exigences énoncées dans l'AGPD conclu avec Statistique Canada.
Livrable et échéance : le directeur de la DSS doit demander au ministère de la Santé de la Colombie-Britannique de lui produire ses modèles proposés d'entente avec un tiers d'ici avril 2013. - Le directeur de la DSS surveillera régulièrement les privilèges d'accès accordés aux tiers pour s'assurer que les modèles d'entente avec un tiers sont utilisés de façon appropriée.
Livrable et échéance : obtenir tous les six mois du Ministère un rapport sur les privilèges d'accès accordés aux tiers.
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit s'assurer de ce qui suit :
- on a procédé à un examen des modèles d'entente avec un tiers pour s'assurer qu'ils renferment les modalités de l'AGPD touchant l'utilisation, la confidentialité, la protection et la sécurité de l'information ainsi que les clauses de surveillance avant que soient transmises au Ministère des données confidentielles d'enquêtes sur la santé de Statistique Canada.
Réponse de la direction :
La direction souscrit à la recommandation.
- Les données d'enquêtes sur la santé de Statistique Canada ne seront communiquées qu'une fois que le directeur de la DSS aura soigneusement examiné les modèles proposés d'entente avec un tiers et sera convaincu qu'ils respectent les modalités de l'AGPD.
Livrable et échéance : le directeur de la DSS informera le Ministère de toute lacune dans ses modèles et, une fois les modèles conformes et immédiatement après les avoir reçus, il en avisera la haute direction de Statistique Canada.
Sécurité matérielle et des technologies de l'information (TI)
Des contrôles efficaces de l'accès physique aux locaux du Ministère et à ses espaces physiques d'entreposage et de stockage ont été mis au point. Le Manuel des politiques et procédures (Policies and Procedures Manual) du Ministère fournit des consignes et des directives concernant l'accès physique et électronique, les mesures de protection de l'identification et de l'authentification, l'entreposage/stockage et la transmission TI des données, la reproduction et la conservation de l'information ainsi que la gestion des dossiers afin de satisfaire aux exigences énoncées dans l'AGPD de Statistique Canada. Il importe de mentionner qu'au moment de l'audit, le Ministère était en train de répondre à ces exigences.
Les données fournies au Ministère sont désignées comme de l'information « Protégée B », conformément à la définition qu'en donne la Politique sur la sécurité du gouvernement fédéral. Le Ministère doit veiller à ce que le contrôle et la protection des renseignements sous forme matérielle ou électronique soient assurés de façon à protéger contre la perte, le vol, la compromission ou la divulgation inappropriée.
Accès physique aux locaux et aux espaces physiques d'entreposage du Ministère
Une inspection physique des locaux du Ministère a été effectuée pendant l'étape d'examen de l'audit. L'équipe d'audit a remarqué que le Ministère avait pour politique de donner accès à ses locaux aux personnes munies d'une carte de visiteur non accompagné une fois qu'elles avaient signé le registre d'entrée dans l'immeuble, mais pas l'accès à sa salle de serveur ni au laboratoire protégé hébergeant les données d'enquêtes sur la santé de Statistique Canada. À la porte d'entrée de chaque zone sécurisée se trouve un scanneur de cartes. Les membres du personnel et les visiteurs doivent glisser leur carte d'accès dans le scanneur pour pénétrer dans la zone sécurisée.
Les données d'enquête sur la santé de Statistique Canada seront stockées, utilisées, couplées et analysées dans un laboratoire protégé situé dans les locaux de la Division de la GITISS du Ministère. Une caméra de sécurité sensible au mouvement, qui peut fonctionner sur une source d'alimentation sans interruption en cas de panne de courant, est pointée sur la porte d'entrée du laboratoire de manière à enregistrer toute activité devant la porte du laboratoire. Les services de gestion des installations sont responsables de la surveillance de cette caméra et seuls le coordonnateur en chef de la gérance des données et le directeur exécutif ont accès aux enregistrements vidéo.
Seules des personnes « identifiées » peuvent avoir accès au laboratoire protégé. Les personnes munies d'une carte de visiteur ne peuvent accéder seules au laboratoire. Les visiteurs du laboratoire doivent être accompagnés d'une personne « identifiée ». Les visiteurs qui se font accompagner pour accéder au laboratoire protégé doivent signer un registre des visiteurs en indiquant leur nom, la date ainsi que l'heure d'entrée et de sortie.
Lors de l'audit, on a vérifié si seules des personnes « identifiées » pouvaient effectivement accéder au laboratoire protégé. Nous avons demandé à trois employés n'étant pas censés avoir accès au laboratoire protégé de glisser leur carte d'accès dans le scanneur situé à l'entrée du laboratoire. L'accès au laboratoire leur a été interdit. Les auditeurs ont aussi testé leur carte de visiteur, et là non plus cette carte ne leur a pas donné accès aux locaux du laboratoire protégé.
On a aussi vérifié si la caméra de sécurité placée à l'extérieur de l'entrée du laboratoire fonctionnait comme elle était censée fonctionner. L'équipe d'audit a visionné l'enregistrement vidéo de l'activité des trois employés à qui elle avait demandé de tenter d'accéder au laboratoire. Elle a noté que la caméra de sécurité sensible au mouvement avait effectivement enregistré l'activité des trois employés à la porte du laboratoire.
Accès physique et électronique aux fichiers de données d'enquêtes sur la santé
Il existe au Ministère une procédure officielle selon laquelle une personne voulant accéder au laboratoire protégé doit en faire la demande à l'administrateur de données. Chaque personne « identifiée » doit remplir et signer un formulaire de demande d'accès à une zone sécurisée, puis faire signer ce formulaire par l'administrateur de données pour obtenir l'autorisation d'accéder au laboratoire protégé.
En outre, la personne « identifiée » doit confirmer par écrit qu'elle respectera les modalités de l'APD en signant une attestation. Dans cette attestation, il est indiqué que la personne a lu, compris et accepté de respecter les modalités de l'APD conclu entre le Ministère et Statistique Canada, conformément à ce qui est souligné dans le Manuel des politiques etprocédures du Ministère, et la personne doit également signer une « Entente de protection des données confidentielles pour les employés du ministère de la Santé », comme l'exige l'annexe C de l'APD. Le Ministère a déclaré que la lecture de son Manuel des politiques et procédures serait obligatoire pour toutes les personnes « identifiées ».
Le laboratoire protégé a été configuré comme un réseau isolé doté d'un serveur autonome Oracle sur un ordinateur de bureau et deux postes de travail qui sont reliés au serveur par un port de communication et un câble Ethernet. Il n'y a pas d'accès Internet, comme l'exige l'annexe A de l'ADP, et les câbles électriques sont les seuls câbles extérieurs au laboratoire. Les données de Statistique Canada seront stockées sur le serveur Oracle et seules les personnes « identifiées » pourront y accéder à partir du serveur ou des deux postes de travail.
Dans une armoire sécurisée munie d'une serrure qui se trouve dans le laboratoire sont entreposés les supports transportables et impressions des données d'enquêtes sur la santé de Statistique Canada. C'est l'administrateur de données qui a la clé de cette armoire.
Mesures d'identification et d'authentification, entreposage et transmission TI
Le serveur autonome Oracle qui héberge les données d'enquêtes sur la santé de Statistique Canada ainsi que les deux ordinateurs de bureau auront des « comptes d'utilisateurs personnels » pour chaque personne « identifiée ». Les personnes « identifiées » seront tenues d'entrer leur numéro d'identification de compte d'utilisateur personnel et numéro d'utilisateur d'Oracle, de même qu'un mot de passe complexe (comportant au moins huit caractères alphanumériques avec au moins une lettre majuscule, une lettre minuscule et un chiffre) pour ouvrir une séance et accéder aux données d'enquêtes sur la santé de Statistique Canada.
Le scanneur de cartes situé à l'entrée du laboratoire et le registre des visiteurs créeront une piste d'audit des accès physiques au laboratoire. En outre, le numéro de compte d'utilisateur personnel et l'ID d'utilisateur d'Oracle seront enregistrés pour produire une piste d'audit sur les deux ordinateurs de bureau et le serveur.
Dans le Manuel des politiques et procédures du Ministère, il est indiqué que les fichiers de données d'enquêtes sur la santé que Statistique Canada transmet au Ministère par TEF (transfert électronique de fichiers) seront téléchargés sur un disque dur portatif par l'administrateur de données, puis sauvegardés sur le serveur Oracle dans le laboratoire protégé. Aucun autre type de support transportable, comme des clés USB, des ordinateurs portatifs, etc., ne sera utilisé pour transporter les fichiers téléchargés. Un chiffrement complet et un mot de passe devront être utilisés pour accéder au disque dur portatif. Une fois le transport effectué, le contenu du disque dur portatif sera écrasé de façon sécuritaire afin d'empêcher toute personne non autorisée de tenter de récupérer le contenu. Le disque dur portatif ne servira pas à stocker des données d'enquêtes sur la santé de Statistique Canada. Lorsqu'il n'est pas utilisé, le disque dur sera entreposé dans l'armoire sécurisée.
Si des fichiers de données d'enquêtes sont transportés sur des CD, leur contenu sera téléchargé sur le serveur, puis les CD seront remisés dans l'armoire à serrure qui se trouve dans le laboratoire protégé. Dans le manuel des politiques et procédures du Ministère, il est précisé qu'aucune sauvegarde du serveur Oracle n'est effectuée. Au cas où les lecteurs du serveur seraient endommagés lors d'un incident et que leur contenu ne serait pas récupérable, le Ministère devrait demander de nouvelles données à Statistique Canada. De plus, la transmission électronique de données par télécopieur ou par courriel n'est pas autorisée.
Reproduction et conservation des données et gestion des documents
Le Manuel des politiques et procédures du Ministère interdit la reproduction sur support papier ou électronique d'extraits de données d'enquêtes sur la santé de Statistique Canada. Lors de l'audit, il n'y avait aucune imprimante dans le laboratoire protégé. L'impression hors du laboratoire protégé ne sera pas permise. La politique d'utilisation d'une imprimante sera affichée bien en évidence dans le laboratoire et communiquée aux personnes « identifiées » à qui l'on aura accordé un privilège d'accès. Les données de Statistique Canada ne sortiront pas du laboratoire protégé et leur transmission ou leur transport n'importe où ailleurs ne seront pas permis. La transmission électronique de données par télécopieur ou par courriel ne sera pas non plus autorisée.
En vertu de l'APD, l'administrateur de données doit tenir un registre de tous les fichiers de données reçus de Statistique Canada. Au moment de l'audit, cette tâche figurait dans la liste des responsabilités de l'administrateur de données dressée dans le Manuel despolitiques et procédures. L'équipe d'audit a corroboré cela lors de l'entrevue avec l'administrateur de données.
Il existe, au Ministère, des contrôles efficaces de l'accès physique à ses locaux et à ses espaces physiques d'entreposage et de stockage. Le Manuel des politiques et procédures (Policies and Procedures Manual) du Ministère fournit des consignes et des directives concernant l'accès physique et électronique, les mesures de protection de l'identification et de l'authentification, l'entreposage/stockage et la transmission TI des données, la reproduction et la conservation de l'information ainsi que la gestion des dossiers afin de satisfaire aux exigences énoncées dans l'AGPD de Statistique Canada. Il importe de mentionner qu'au moment de l'audit, le Ministère était en train de répondre à ces exigences.
Recommandation :
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail, doit s'assurer de ce qui suit :
- s'il y a eu signature du nouvel accord général de partage de données, un audit de suivi a été effectué à la conclusion de cet accord et les données ont été partagées avec le Ministère.
Réponse de la direction :
La direction souscrit à la recommandation.
- Une fois l'AGPD signé et les données partagées avec le Ministère, le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail en informera le Comité des politiques de Statistique Canada.
Livrable et échéance : les membres du Comité des politiques se prononceront sur la nécessité éventuelle et la date d'un audit de suivi.
Annexes
Annexe A : Critères d'audit
(Le tableau de l'Annexe A identifie les critères de vérification, les sous-critères et les instruments de politiques qui ont servit de source pour les critères.)
| Objectif/contrôles clés/critères | Sous-critères | Instrument de politique |
|---|---|---|
| 1.1 Les pouvoirs, responsabilités et obligations redditionnelles sont définis et communiqués, et la séparation des tâches est faite de la manière appropriée. | 1.1.1 Les responsabilités sont officiellement définies et clairement communiquées, et les pouvoirs sont délégués en fonction des responsabilités de chacun. 1.1.2 Les pouvoirs sont officiellement délégués, en fonction des responsabilités de chacun. Le cas échéant, les fonctions incompatibles ne sont pas combinées. |
Contrôles de gestion de base du SCT Accord général de partage des données |
| 1.2 L'équipe de direction du Ministère définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques, et elle s'attaque aux risques pouvant nuire à la réalisation de ses objectifs. | 1.2.1 Les risques sont déterminés aux niveaux des programmes et des régions respectivement, et ils tiennent compte des environnements interne et externe du Programme des CRD. 1.2.2 Il existe des processus et des lignes directrices officiels touchant l'évaluation des contrôles en place pour gérer les risques déterminés. |
|
| 1.3 Les biens/actifs sont protégés au Ministère. | 1.3.1 Seules les personnes autorisées ont accès aux données, et cet accès est dûment sécurisé en conformité avec la législation sur la protection des renseignements personnels. 1.3.2 L'accès physique est limité. 1.3.3 Lorsque les tâches d'un employé sont modifiées, des procédures de protection des données partagées existent et sont suivies. 1.3.4 Des procédures existent pour prévenir l'utilisation abusive ou frauduleuse des données. 1.3.5 Des contrôles d'accès logiques existent pour veiller à ce que seuls des utilisateurs autorisés aient accès aux systèmes et aux données, p. ex., le système exige un nom d'utilisateur et un mot de passe uniques pour ouvrir une session. 1.3.6 Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées. |
|
| 1.4 La direction surveille le rendement réel par rapport aux résultats escomptés et modifie au besoin son plan d'action pour mieux répondre aux exigences et besoins du programme | 1.4.1 La responsabilité de la surveillance est clairement établie et communiquée et les résultats sont communiqués aux niveaux d'autorisation requis. 1.4.2 La surveillance active est manifeste. |
Annexe B : Acronymes
| Acronyme | Description |
|---|---|
| ABD | analyste de bases de données |
| APD | Accord de partage de données |
| AR | agent(s) de recherche |
| CD | disque(s) compact(s) |
| CMV | Comité ministériel de vérification |
| CRD | centre(s) de données de recherche |
| DSS | Division de la statistique de la santé |
| ENSP | Enquête nationale sur la santé de la population |
| EPD | entente de partage de données |
| ESCC | Enquête sur la santé dans les collectivités canadiennes |
| GISS | Gestion de l'information et services du savoir |
| GITISS | Division de la gestion de l'information et des technologies de l'information du secteur de la santé du Ministère |
| ID | Identificateur ou numéro d'identification |
| IIA | Institute of Internal Auditors (organisme international) |
| ORS | office(s) régional(aux) de la santé (aussi appelés autorités sanitaires) |
| SC | statisticien en chef |
| SCA | statisticien en chef adjoint |
| SCT | Secrétariat du Conseil du Trésor |
| TEF | transfert électronique de fichiers |
| TI | technologie(s) de l'information |