27 novembre 2015
Numéro de projet : 80590-91
- Sommaire
- Introduction
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Pouvoirs
- Constatations, recommandations et réponse de la direction
- Environnement de contrôle pour la gestion de l'accord sur le partage de données
- Gérance des données
- Sécurité matérielle et sécurité des technologies de l'information
- Annexes
- Annexe A : Critères d'audit
- Annexe B : Acronymes
Sommaire
Les accords de partage de données (APD) sont un processus opérationnel clé de Statistique Canada. Ces dernières années, le partage de données a pris de l'ampleur et sa gestion est devenue de plus en plus complexe. De plus, il devient compliqué de protéger la confidentialité des données, alors que les processus opérationnels et les structures organisationnelles évoluent continuellement. La Division de la statistique de la santé (DSS) conclut des APD avec des ministères provinciaux de la Santé en application de l'article 12 de la Loi sur la statistique.
Le nouvel accord général conclu le 10 mars 2014 entre Statistique Canada et le ministère de la Santé du Nouveau-Brunswick permet la collecte et le partage de renseignements en provenance de plusieurs enquêtes sur la santé. En vertu de cet accord, les données statistiques sur la santé tirées de l'Enquête sur la santé dans les collectivités canadiennes (ESCC), de l'Enquête nationale sur la santé de la population (ENSP) et de l'Enquête sur les personnes ayant une maladie chronique au Canada (EPMCC) sont partagées avec le MSNB.
Afin de protéger la confidentialité et la nature délicate des renseignements recueillis, les APD comprennent des modalités permettant de s'assurer que la confidentialité des renseignements ne soit pas compromise.
L'objectif du présent audit consistait à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :
- les modalités de l'accord de partage de données conclu entre Statistique Canada et le ministère de la Santé du Nouveau-Brunswick sont respectées.
L'audit a été réalisé par la Division de la vérification interne conformément à la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
Le cadre de politique de Statistique Canada et l'accord général de partage de données énoncent clairement les rôles, les responsabilités et les pratiques nécessaires pour la gestion et la mise en œuvre de l'APD.
Au MSNB, les employés responsables de la gestion des données de Statistique Canada sont des employés de longue date qui comprennent leurs rôles et responsabilités en matière de réception, de stockage et de partage des données de Statistique Canada, toutefois il est nécessaire de renforcer les pratiques régissant l'administration et l'utilisation des renseignements confidentiels de Statistique Canada. Le processus d'octroi d'accès au réseau aux utilisateurs approuvés par l'administrateur de données, ainsi que le processus d'examen des rapports sur les données agrégées par les analystes avant leur distribution, sont des pratiques informelles qui ne comportent aucune preuve documentée des examens ni des approbations.
Des processus et procédures ont été établis et sont surveillés de manière à satisfaire aux exigences stipulées dans l'APD; cependant, l'administrateur de données ne s'acquitte pas de toutes les responsabilités stipulées dans l'APD en matière de gestion des données de Statistique Canada. Le document sur la confidentialité du MSNB n'a pas été actualisé de manière à refléter l'ensemble des modalités stipulées à l'Annexe C de l'APD, et par conséquent, les employés ne sont pas familiers avec les exigences de l'APD qui s'appliquent à eux. Au moment de l'audit, l'administrateur de données n'avait pas signé une entente de confidentialité. Le registre officiel des fichiers de données reçus de Statistique Canada et le Registre des accès aux fichiers de données ne sont pas tenus à jour comme il est stipulé à l'Annexe C de l'APD.
Il existe au MSNB des contrôles efficaces de l'accès physique à ses locaux et à ses espaces physiques de stockage à son centre de données hors site. Des contrôles d'accès logique et des pratiques efficaces qui respectent la politique du Ministère en matière de mesures de protection de l'identification et de l'authentification sont en place et fonctionnent comme prévu.
L'évaluation des privilèges d'accès électronique aux fichiers de données de Statistique Canada a révélé que les privilèges d'accès des employés sont seulement révoqués lorsqu'un employé quitte le MSNB ou change de poste. L'équipe d'audit a constaté qu'un utilisateur approuvé pouvait accéder aux données de Statistique Canada depuis sa résidence.
L'équipe de direction du MSNB définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques, surveille l'exposition aux risques et prend les mesures requises pour y remédier. L'accord général de partage des données et le modèle d'entente de partage des données avec des tiers du MSNB comportent une clause de surveillance. Au moment de l'audit, le MSNB n'avait aucun accord de partage avec des tiers.
Conclusion générale
Statistique Canada a conclu un accord de partage de données statistiques avec le MSNB le 10 mars 2014, afin de faciliter et d'appuyer la planification et la prise des décisions en matière de santé. L'AGPD s'accompagne de modalités qui régissent l'utilisation, la confidentialité, l'accès, la surveillance et la conformité de l'information ainsi que la sécurité matérielle et la sécurité des technologies de l'information (TI).
Bien que l'équipe d'audit ait constaté que des processus et des procédures ont été établis afin de soutenir la gestion des modalités de l'AGPD, le MSNB doit les renforcer de manière à assurer une compréhension uniforme et une application efficiente des exigences stipulées dans l'APD, et à assurer la saine gestion des renseignements confidentiels de Statistique Canada. Le processus d'octroi d'accès au réseau aux utilisateurs approuvés par l'administrateur de données, ainsi que le processus d'examen des rapports sur les données agrégées par les analystes avant leur distribution, doivent être officialisés de manière à fournir des preuves documentées des approbations. Le document sur la confidentialité doit être actualisé de manière à refléter les exigences stipulées à l'Annexe C de l'APD. Le registre des fichiers de données reçus de Statistique Canada et le Registre des privilèges d'accès aux données de Statistique Canada doivent être tenus à jour.
Des contrôles de l'accès physique et logique efficaces sont en place afin de protéger les données de Statistique Canada, en conformité avec l'APD. Cependant, l'accès aux données de Statistique Canada doit être accordé aux employés au besoin seulement, et l'accès doit se faire uniquement à partir d'un emplacement sécurisé dans les bureaux du MSNB afin de prévenir toute divulgation non désirée des données de Statistique Canada. Les observations menées à l'occasion de l'audit n'ont révélé aucun élément probant suggérant que des renseignements confidentiels de Statistique Canada auraient été compromis.
Conformité aux normes professionnelles
L'audit a été réalisé conformément aux Normes de vérification du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).
L'application de procédures d'audit suffisantes et appropriées et la collecte des éléments de preuve appuient l'exactitude des constatations et conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.
Patrice Prud'homme
Dirigeant principal de la vérification
Introduction
Contexte
La Division de la statistique de la santé (DSS) de Statistique Canada a le mandat de fournir des données exactes, à jour et pertinentes sur la santé des Canadiens. La DSS fournit de l'information statistique sur la santé de la population, les déterminants de la santé ainsi que la portée et l'utilisation des ressources en soins de santé au Canada. Cette information aide planificateurs et décideurs du secteur de la santé de tous ordres de gouvernement à soutenir la recherche démographique et épidémiologique et à rendre compte à la population canadienne de sa santé collective et du système de soins de santé. La DSS travaille en partenariat avec les registres provinciaux et territoriaux de la statistique de l'état civil et du cancer, de même qu'avec des fournisseurs et des utilisateurs de données aux niveaux fédéral (Santé Canada et l'Agence de la santé publique du Canada), provincial (ministères provinciaux de la Santé) et régional (régions sociosanitaires).
Pour réaliser son mandat, la DSS conclut des accords de partage de données (APD) avec d'autres organisations en vertu des articles 11 et 12 de la Loi sur la statistique. Ces accords touchent presque toutes les enquêtes-entreprises ainsi que la majorité des enquêtes-ménages et prévoient certaines exceptions concernant la diffusion des renseignements confidentiels sur les répondants, avec ou sans leur consentement, à la condition que toutes les parties respectent les exigences prévues par la loi en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsque celui-ci entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage des données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.
Les APD constituent un processus opérationnel clé en raison des défis liés à la confidentialité et à la protection des données. Statistique Canada a conclu un accord général de partage de données couvrant les enquêtes sur la santé avec le ministère de la Santé du Nouveau-Brunswick (MSNB), en application de l'article 12 de la Loi sur la statistique. Les enquêtes sur la santé menées dans le cadre de l'Enquête sur la santé dans les collectivités canadiennes (ESCC), de l'Enquête nationale sur la santé de la population (ENSP) et de l'Enquête sur les personnes ayant une maladie chronique au Canada (EPMCC) sont visées par cet accord.
L'ESCC a pour objet de recueillir des renseignements sur l'état de santé, l'utilisation des soins de santé et les déterminants de la santé pour la population canadienne. Le premier volet de l'ESCC est une enquête annuelle (ESCC – Composante annuelle) réalisée auprès d'un vaste échantillon de répondants et conçue pour fournir des estimations fiables à l'échelle de la région sociosanitaire. Le deuxième volet est une enquête axée sur un sujet spécifique lié à la santé tel que la nutrition, la santé mentale ou le vieillissement en santé, qui est réalisée à peu près tous les trois ans. L'enquête annuelle doit son caractère unique à la nature régionale de son contenu et de sa mise en œuvre.
L'ENSP est une enquête longitudinale qui fournit des renseignements uniques sur la santé des Canadiens. Le cycle final de cette enquête couvrait la période de 2010 à 2011. Dans le cadre de cette enquête bisannuelle, les mêmes personnes fournissent des renseignements détaillés et à jour sur leur état de santé physique et mentale, leur utilisation des services de soins de santé, leurs activités physiques, leur vie au travail et leur environnement social. L'ENSP vise à recueillir des renseignements sur la santé de la population canadienne ainsi que des renseignements sociodémographiques connexes. La dernière édition permettra aux chercheurs d'accéder à neuf cycles de données longitudinales sur la santé afin d'examiner l'évolution de l'état de santé de la population canadienne entre 1994-1995 et 2010-2011.
L'EPMCC est une enquête transversale menée pour le compte de l'Agence de la santé publique du Canada qui permet de recueillir des renseignements sur l'expérience des Canadiens qui ont des problèmes de santé chroniques. L'EPMCC est produite tous les deux ou trois ans et couvre deux maladies chroniques par cycle d'enquête. Les objectifs de l'enquête consistent à : déterminer l'impact des problèmes de santé chroniques sur la qualité de vie; fournir plus de renseignements sur la façon dont les gens gèrent leurs problèmes de santé chroniques; déterminer les comportements influant sur la santé qui ont une incidence sur les effets de la maladie; identifier les obstacles à l'autogestion des problèmes de santé chroniques. La dernière enquête remonte à 2014.
Le milieu de la recherche et d'autres professionnels de la santé font une grande utilisation de ces données. Les ministères fédéraux et provinciaux de la Santé et des Ressources humaines, les organismes de services sociaux et d'autres organismes gouvernementaux utilisent l'information recueillie auprès des répondants pour planifier, mettre en œuvre et évaluer les programmes visant à améliorer la santé de la population et l'efficacité des services de santé. Des organismes sans but lucratif et des chercheurs universitaires utilisent l'information pour réaliser des travaux de recherche sur les façons d'améliorer la santé.
Objectif de l'audit
L'objectif de l'audit consistait à fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que :
- les modalités de l'accord sur le partage de données conclu par Statistique Canada et le ministère de la Santé du Nouveau-Brunswick sont respectées.
Portée
La portée comportait un examen de la conformité aux modalités stipulées dans l'APD afin d'assurer la protection de la confidentialité et de la nature délicate des renseignements recueillis. L'audit a porté plus particulièrement sur les mesures de protection de la confidentialité et de la sécurité (accès physique, stockage et transmission des données électroniques, entreposage physique, copie et rétention de l'information et gestion des dossiers) au MSNB afin d'assurer la protection des données et le respect de la confidentialité.
Approche et méthodologie
Le travail d'audit comprenait un examen des documents, des entrevues avec des cadres supérieurs et des membres du personnel, et un examen de la conformité aux politiques et lignes directrices applicables (pour plus de détail, voir l'Annexe A - Critères d'audit).
Les travaux suivants sur le terrain ont été exécutés :
- un examen et une évaluation des processus et procédures décrits dans les modalités de l'APD conclu avec le MSNB, l'accent étant mis sur la présence et le respect des exigences de sécurité et sur le maintien de la confidentialité des données;
- la mise à l'essai des contrôles de l'application des systèmes et des procédures d'authentification et d'accès;
- un examen du modèle d'entente de partage des données avec des tiers.
L'audit s'est déroulé conformément aux Normes de vérification du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors.
Pouvoirs
L'audit a été mené en vertu des pouvoirs prévus dans le Plan intégré de vérification et d'évaluation fondé sur les risques pour 2015-2016 à 2019-2020, qui a été approuvé par Statistique Canada.
Constatations, recommandations et réponse de la direction
Environnement de contrôle pour la gestion de l'accord sur le partage de données
Les pouvoirs sont définis, et le Cadre des politiques de Statistique Canada énonce clairement les rôles, les responsabilités et les pratiques nécessaires pour la gestion et la mise en œuvre de l'APD.
Des processus et procédures ont été établis, et l'APD est géré par des employés de longue date qui comprennent leurs rôles et responsabilités. Cependant, il est nécessaire de renforcer les pratiques régissant l'administration et l'utilisation des renseignements confidentiels de Statistique Canada. Le processus d'octroi d'accès au réseau aux utilisateurs approuvés par l'administrateur de données, ainsi que le processus d'examen des rapports sur les données agrégées par les analystes avant leur distribution, sont des pratiques informelles qui ne comportent aucune preuve documentée des examens ni des approbations.
L'accord général de partage des données et le modèle d'entente de partage des données avec des tiers du MSNB comportent une clause de surveillance. Au moment de l'audit, le MSNB n'avait aucun accord de partage avec des tiers.
Les pouvoirs, responsabilités et obligations redditionnelles doivent être clairement définis et compris à tous les niveaux pour appuyer une gestion efficace des modalités de l'AGPD. Il faut mettre en place un mécanisme de surveillance des pratiques, comme le stipulent les modalités de l'AGPD, de manière à prévenir toute divulgation non désirée des données de Statistique Canada.
Les pouvoirs sont définis
Dans l'exercice de son mandat, Statistique Canada conclut des APD statistiques avec d'autres organisations aux termes des articles 11 et 12 de la Loi sur la statistique. Les rôles et responsabilités liés aux exigences en matière d'élaboration, de mise en œuvre et de surveillance des APD sont énoncés dans la Directive sur le partage des données en vertu des articles 11 et 12. Cette directive précise que la Division de la gestion de l'information (DGI), de concert avec les Services juridiques, rédige les APD à la demande des directeurs des programmes statistiques. La DGI doit également fournir le soutien nécessaire aux gestionnaires au moment de l'élaboration de nouveaux APD ou d'APD modifiés avec les destinataires, en application de l'article 12 de la Loi sur la statistique. Les divisions spécialisées sont chargées de communiquer avec les organisations destinataires durant les négociations et la rédaction des accords.
Des processus et des procédures pour la gestion de l'APD ont été établis au MSNB
Les données confidentielles de Statistique Canada sont gérées par deux directions du MSNB : la Direction de l'analytique assume la responsabilité du cycle de vie des données de Statistique Canada; la Direction des solutions de santé, d'affaires et de technologies fournit des services techniques liés aux données de Statistique Canada, comme les privilèges d'accès aux TI, le stockage de données électroniques, la maintenance et la sécurité ainsi que le processus de transmission des données électroniques utilisé pour recevoir les données de Statistique Canada. Les deux entités relèvent du sous-ministre adjoint (SMA) des Services ministériels, qui assume la responsabilité ultime des données tirées des enquêtes sur la santé de Statistique Canada.
Les données de Statistique Canada sont gérées par des employés de longue date qui comprennent leurs rôles et responsabilités en matière de réception, de stockage et de partage des données de Statistique Canada. L'administrateur de données occupe ce poste depuis 11 ans. Cependant, il a récemment été affecté à un autre projet dans un autre ministère et devra transférer ses responsabilités d'administrateur de données au directeur de la Direction de l'analytique au moment de son départ. En outre, les responsabilités de l'administrateur de données et les processus à utiliser pour satisfaire aux exigences stipulées dans l'APD n'ont pas été documentés. Bien qu'il ne s'agisse pas d'une exigence stipulée dans l'APD, le MSNB a convenu, comme bonne pratique de gestion, de documenter ces responsabilités et processus.
Les pratiques en matière d'administration et d'utilisation des renseignements confidentiels de Statistique Canada doivent être renforcées au MSNB
Au MSNB, six utilisateurs ont accès aux données de Statistique Canada data – deux analystes de programmes et quatre analystes statistiques à la Direction de l'analytique qui sont responsables de l'analyse des données et de la production de données agrégées pour le compte des programmes internes du MSNB et d'organisations externes.
Pendant les 11 dernières années, l'administrateur de données a exercé les fonctions associées à la gestion et au stockage des données de Statistique Canada et à l'approbation des accès à ces données. Les demandes d'accès formulées par les utilisateurs sont reçues par courriel ou par téléphone par l'administrateur de données, qui en retour communique avec le groupe des TI par courriel ou par téléphone afin d'accorder les privilèges d'accès à l'utilisateur approuvé. Il s'agit d'une pratique informelle qui ne comporte aucune preuve d'un processus documenté d'approbation, tel que stipulé dans les modalités de l'APD.
La section 5 de l'APD comporte des lignes directrices strictes régissant l'utilisation de l'information. Au MSNB, les analystes statistiques ont normalement accès aux données afin de pouvoir les analyser et de produire des données agrégées à l'interne à des fins de recherche statistique ou dans le cadre du mandat du MSNB qui doit réaliser des évaluations de la santé des collectivités. Le comité responsable de la gérance des données a élaboré un protocole pour l'examen des données du Ministère en fonction d'une liste d'identificateurs avant la diffusion ou la distribution de données agrégées. Les entrevues ont révélé que des examens informels peuvent être exécutés pour des rapports de données agrégées avant leur distribution, cependant ces examens ne sont pas appuyés par un processus document d'examen et d'approbation. Cette situation n'est pas conforme avec l'APD.
L'accord général de partage des données et le modèle d'entente de partage des données avec des tiers du MSNB comportent une clause de surveillance
Des clauses visant la surveillance sont prescrites dans l'AGPD conclu par Statistique Canada avec le MSNB. L'APD stipule de plus que les accords que le MSNB conclut avec de tierces parties « doivent comporter une clause stipulant le droit de Statistique Canada ou de l'organisation réceptrice de vérifier la conformité aux modalités du présent accord ».
Le MSNB exige des organisations externes avec lesquelles il partagera des données de Statistique Canada qu'elles signent un APD. Un examen du modèle d'APD utilisé par le MSNB a révélé qu'il inclut une clause d'audit stipulant que « Le sous-traitant donnera au MSNB ou à ses représentants un accès raisonnable au sous-traitant et à ses installations aux fins d'examen des mesures de sécurité et d'autres enregistrements ou renseignements afin de mener les audits et les examens de la sécurité jugés nécessaires par l'AG et pour vérifier le respecter par le sous-traitant des modalités du présent accord. »
L'administrateur de données approuve toutes les demandes de partage de données avec des tiers. Au moment de l'audit, le MSNB ne partageait pas de données sur la santé tirées d'enquêtes de Statistique Canada avec des régies régionales de la santé, des chercheurs liés par contrat, des instituts de recherche provinciaux, territoriaux ou universitaires ni aucune autre organisation.
Recommandations
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec le ministère de la Santé du Nouveau-Brunswick pour s'assurer de ce qui suit :
- le processus d'approbation des demandes d'accès aux données de Statistique Canada est officialisé de manière à fournir des preuves documentées des approbations;
- le MSNB met en œuvre un processus d'approbation en conformité avec les modalités de l'APD.
Réponse de la direction
La direction souscrit aux recommandations formulées.
- Le directeur de la Division de la statistique de la santé (DSS) préparera une lettre à l'intention du MSNB pour demander que le processus d'approbation des demandes d'accès aux données de Statistique Canada soit officialisé, et pour rappeler au MSNB de mettre en place un processus d'approbation en conformité avec les modalités de l'APD.
Produits livrables et échéancier : La DSS rédigera une lettre et l'enverra avant le 11 décembre 2015 et demandera une confirmation par écrit.
Gérance des données
Au MSNB, des processus sont en place et surveillés afin de satisfaire aux exigences stipulées dans l'APD; cependant, l'administrateur de données ne s'acquitte pas de toutes les responsabilités stipulées dans l'APD pour ce qui est de la gestion des données de Statistique Canada. Le document sur la confidentialité du MSNB n'a pas été actualisé de manière à refléter l'ensemble des modalités de l'Annexe C de l'APD et par conséquent, les employés ne sont pas familiers avec les exigences de l'APD qui s'appliquent à eux. Au moment de l'audit, l'administrateur de données n'avait pas signé une entente de confidentialité. Le registre officiel des fichiers de données reçus de Statistique Canada et le Registre des accès aux fichiers de données ne sont pas tenus à jour.
L'équipe de direction du MSNB définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques, surveille l'exposition aux risques et prend les mesures requises pour y remédier.
Des protocoles et contrôles internes pour une saine gestion des données doivent être en place afin d'assurer la protection des données tirées des enquêtes sur la santé de Statistique Canada pendant toute la durée du cycle de vie.
Des processus sont en place et surveillés afin de satisfaire aux exigences stipulées dans l'APD
Statistique Canada transmet les fichiers de données par voie électronique à l'administrateur de données du MSNB. Ces fichiers sont protégés par mot de passe et chiffrés durant le transfert. Lorsqu'un fichier de données est reçu de Statistique Canada, l'administrateur de données est avisé de la présence du fichier dans le coffre-fort électronique et demande un mot de passe à Statistique Canada afin de pouvoir accéder au fichier et le déchiffrer. Par la suite, il envoie un accusé de réception à Statistique Canada.
Le fichier de données est téléversé par l'administrateur de données sur son lecteur réseau personnel sécurisé, puis sauvegardé dans un dossier à accès restreint à l'intérieur d'un dossier Microsoft SharePoint, dans lequel toutes les données de Statistique Canada sont conservées et gérées. Après la sauvegarde du fichier dans SharePoint, l'administrateur de données supprime la copie du fichier sur son lecteur réseau personnel. Des essais ont révélé que les « fichiers de partage de données » reçus de Statistique Canada sont enregistrés dans un dossier SharePoint auquel peuvent accéder les employés autorisés à accéder aux données, tandis que les « fichiers de couplage » sont enregistrés dans un dossier SharePoint privé auquel seul l'administrateur de données peut accéder. L'administrateur de données est la seule personne qui peut approuver un accès au dossier SharePoint.
L'administrateur de données ne s'acquitte pas de toutes les responsabilités stipulées dans l'APD
Comme il est stipulé à l'Annexe C de l'APD, l'administrateur de données est responsable du respect de trois exigences clés : 1) préparer un document sur la confidentialité et s'assurer que toutes les personnes autorisées à accéder aux données de Statistique Canada signent ce document; 2) tenir à jour un registre officiel des fichiers de données reçus de Statistique Canada; et 3) tenir à jour le Registre des accès aux fichiers de données per toutes les personnes autorisées à accéder aux données de Statistique Canada.
Document sur la confidentialité
L'Annexe C stipule que l'administrateur de données doit « préparer un document à l'intention des employés et des sous-traitants de la partie destinataire dans lequel on décrit les modalités régissant l'usage des renseignements, ainsi que les procédures à respecter pour envoyer, recevoir, manipuler et stocker les renseignements (ci-après appelé le « document sur la confidentialité ») ». Avant d'accorder un accès à des renseignements de Statistique Canada, l'administrateur de données doit s'assurer que tous les employés et sous-traitants qui doivent accéder à ces renseignements ont convenu par écrit de respecter les modalités de l'APD, en reconnaissant par leur signature qu'ils ont lu et compris les modalités de l'APD telles qu'elles sont stipulées dans le document sur la confidentialité et qu'ils s'engagent à les respecter.
L'équipe d'audit a constaté que le document sur la confidentialité utilisé par le MSNB n'est pas à jour et n'a pas été actualisé de manière à refléter l'ensemble des exigences stipulées à l'Annexe C de l'accord général signé le 10 mars 2014, spécifiquement les sections 4, 5, 6 et 10, et celles stipulées à l'Annexe A et à l'Annexe B de l'APD. Par conséquent, les employés ne sont pas familiers avec les exigences stipulées dans ces sections. Tous les utilisateurs approuvés, à l'exception de l'administrateur de données, ont signé le document sur la confidentialité périmé.
Registre des fichiers de données
L'équipe d'audit a constaté que le registre des fichiers de données reçus de Statistique Canada n'a pas été tenu à jour, comme il est pourtant stipulé. Le MSNB avait supposé erronément que tous les renseignements nécessaires à tenir à jour étaient enregistrés dans le dossier SharePoint. Cependant, l'examen du site SharePoint a révélé que plusieurs renseignements étaient absents, notamment le nom de l'employé qui a reçu le fichier de Statistique Canada, le nom de la personne à Statistique Canada qui a envoyé le fichier ainsi que le nom de l'employé responsable de la garde du fichier.
Registre des accès aux fichiers de données
Le Registre des accès aux fichiers de données n'a pas non plus été tenu à jour, comme il est pourtant stipulé. Le MSNB a fourni la liste de tous les employés qui ont eu accès aux données de Statistique Canada dans le dossier SharePoint, toutefois la liste ne mentionne pas tous les renseignements requis, notamment le nom du fichier et la période de référence, le nom de l'employé ou du sous-traitant à qui un accès a été accordé, le nom de la personne qui a autorisé l'accès, la date d'autorisation ainsi que les dates de début et de fin de la période pour laquelle l'accès avait été autorisé.
Le MSNB a mis en place un processus de gestion des risques afin de cerner et de surveiller les risques
L'équipe d'audit a constaté que les risques pour le ministère de la Santé du Nouveau-Brunswick (MSNB) sont gérés par l'entremise de son cadre de politique fondamental (Politique du ministère sur la vie privée; Guide sur la protection de la vie privée et la sécurité; Politique sur le cadre de sécurité de l'information), qui est fondé sur la Loi sur le droit à l'information et la protection de la vie privée et la Loi sur l'accès et la protection en matière de renseignements personnels, ainsi que sur la Politique sur la sécurité des systèmes d'information du gouvernement du Nouveau-Brunswick et les normes et directives connexes.
Le chef de la protection des renseignements personnels (CPRP) supervise le programme de gestion des renseignements personnels du MSNB, la composante responsable de la surveillance et de la gestion à l'échelle du Ministère des risques et des responsabilités du MSNB en matière de renseignements personnels. Un comité responsable de la gérance des données, présidé par le CPRP, est responsable des changements apportés aux politiques et des demandes d'accès à des volumes importants de données, et un groupe de travail est chargé d'évaluer les lacunes à l'échelle du Ministère et de s'assurer que les recommandations à l'égard de ces lacunes sont bien mises en œuvre.
Les employés doivent suivre la formation générale sur la Loi sur l'accès et la protection en matière de renseignements personnels au cours des six semaines suivant leur embauche et tous les ans par la suite; ils doivent également reconnaître par leur signature qu'ils ont lu et compris les politiques relatives à la protection des renseignements personnels et à l'accès à l'information, aux conflits d'intérêts et aux accès à Internet à l'occasion de leurs évaluations annuelles du rendement.
Des processus pour la déclaration des atteintes à la vie privée sont en place et sont régis par la Politique du ministère sur la vie privée administrée par le CPRP, qui fait enquête sur tous les incidents en matière de protection de la vie privée. Les entrevues et un examen du Rapport sur les incidents pour 2014 du MSNB n'ont révélé aucun incident en matière de protection de la vie privée touchant les données de Statistique Canada.
Recommandations
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec le ministère de la Santé du Nouveau-Brunswick pour s'assurer de ce qui suit :
- le document sur la confidentialité du MSNB est actualisé de manière à refléter les exigences stipulées à l'Annexe C, et est signé par l'administrateur de données et les utilisateurs approuvés;
- le MSNB tient à jour le registre officiel des fichiers de données reçus de Statistique Canada en inscrivant tous les renseignements requis en conformité avec l'Annexe C de l'APD;
- le MSNB tient à jour le Registre des privilèges d'accès aux données de Statistique Canada tel que stipulé à l'Annexe C de l'APD.
Réponse de la direction
La direction souscrit aux recommandations formulées.
- Le directeur de la Division de la statistique de la santé (DSS) préparera une lettre pour rappeler au MSNB d'actualiser le document sur la confidentialité de manière à refléter les exigences stipulées à l'Annexe C de l'APD et de le faire signer par l'administrateur de données et tous les utilisateurs approuvés; et tenir à jour le registre officiel des fichiers de données reçus de Statistique Canada et le Registre des privilèges d'accès en conformité avec l'Annexe C de l'APD.
Produits livrables et échéancier : La DSS rédigera une lettre et l'enverra avant le 11 décembre 2015 et demandera une confirmation par écrit ainsi que des copies des registres remplis.
Sécurité matérielle et sécurité des technologies de l'information
Il existe au MSNB des contrôles efficaces de l'accès physique à ses locaux et à ses espaces physiques de stockage à son centre de données hors site. Des contrôles d'accès logique et des pratiques efficaces en matière de mesures de protection de l'identification et de l'authentification sont en place et fonctionnent comme prévu.
L'évaluation des privilèges d'accès électronique aux fichiers de données de Statistique Canada a révélé que les privilèges d'accès des employés sont seulement révoqués lorsqu'un employé quitte le MSNB ou change de poste. L'équipe d'audit a constaté qu'un utilisateur approuvé pouvait accéder aux données de Statistique Canada depuis sa résidence.
Les renseignements, sur papier ou sous forme électronique, doivent être contrôlés et protégés contre les pertes, les vols, les incidents compromettants et les divulgations inappropriées. L'accès aux données doit uniquement être accordé aux employés ou aux sous-traitants au besoin pour produire un produit ou service lié à une enquête au seul bénéfice du MSNB et en application de son mandat.
Les accès physiques et les systèmes de stockage sont sécurisés
Les bureaux du MSNB sont situés au centre-ville de Fredericton, et son centre de données (où est hébergé le serveur de données de Statistique Canada) est situé hors site dans une installation appartenant au gouvernement du Nouveau-Brunswick qui est administrée par l'Agence des services d'information du Nouveau-Brunswick. Des contrôles rigoureux des accès physiques sont en place aux deux emplacements, notamment des portes verrouillées en tout temps et un système d'accès par carte utilisé à la fois pour l'ascenseur et pour le reste des installations. Aucun accès par carte n'est accordé aux invités, et les visiteurs doivent être escortés par une personne autorisée du MSNB en tout temps. Les entrevues ont révélé que les cartes d'accès sont régulièrement mises à jour afin de refléter les départs des employés.
La visite du centre de données a révélé que les entrées du bâtiment sont équipées de caméras de sécurité. Il est nécessaire d'obtenir une autorisation au préalable pour visiter le centre de données, et à la signature du registre des visiteurs à la réception, les visiteurs doivent aussi signer un document de non-divulgation. Un audit du registre des visiteurs est exécuté chaque année et le registre est comparé aux billets d'accès remis aux visiteurs. Tous les serveurs et équipements sont installés dans des armoires verrouillées, et des caméras de sécurité sont installées le long de certains rangs de serveurs. La salle des serveurs comporte un système d'extinction des incendies, des systèmes de refroidissement et un générateur électrique de secours. L'aire physique où sont hébergés les serveurs est protégée par des murs, des plafonds et des planchers en béton.
Des clauses régissant l'élimination et le retour ou la destruction des données partagées qui ne sont plus utilisées sont incluses dans l'APD. Avant la mise en œuvre du processus de transmission des données électroniques, les fichiers de Statistique Canada files étaient transmis au MSNB par l'entremise de CD-ROM chiffrés. Bien que toutes les données de Statistique Canada reçues sur CD-ROM ou par transmission électronique soient encore utilisées et stockées sur le réseau du MSNB, l'administrateur de données a indiqué que les CD-ROM avaient été détruits.
Des mesures de sécurité efficaces sont en place pour les mesures d'identification et d'authentification, les systèmes TI de stockage et la transmission des données électroniques
Les essais des contrôles d'accès logique menés avec l'administrateur de données et d'autres employés du groupe d'études analytiques a révélé que seuls les employés à qui on avait accordé un accès aux données de Statistique Canada peuvent accéder au dossier SharePoint dans lequel les données de Statistique Canada sont hébergées, et que seul l'administrateur de données a accès à son dossier SharePoint seuls les employés dans lequel les fichiers couplés de Statistique Canada sont hébergés. Un mot de passe est nécessaire pour accéder au réseau du MSNB, qui permet un accès automatique au dossier SharePoint. L'accès aux données de Statistique Canada dans SharePoint est restreint aux seuls employés approuvés par l'administrateur de données. Seuls l'administrateur de données et le directeur de la Direction de l'analytique ont des privilèges d'accès en mode lecture-écriture aux données stockées dans les dossiers SharePoint. Les six autres utilisateurs ont seulement des privilèges d'accès en mode lecture. Les analystes téléchargent une copie du fichier voulu sur leur lecteur personnel sécurisé pour travailler sur les données aux fins statistiques ou de recherche; ils ont confirmé qu'une fois leur analyse achevée, ils suppriment le fichier de leur lecteur personnel.
L'accès réseau aux fichiers de données de Statistique Canada ne respecte pas les modalités de l'APD
Les modalités de l'APD stipulent que l'accès aux renseignements confidentiels de Statistique Canada au MSNB doit être accordé aux employés au besoin pour produire un produit ou service lié à une enquête au seul bénéfice du MSNB et en application de son mandat. L'équipe d'audit a testé cette exigence en vérifiant quels employés avaient des privilèges d'accès au dossier dans lequel sont conservés les fichiers de données de Statistique Canada, ainsi que l'objet et la fréquence de ces accès. L'équipe d'audit a constaté qu'une fois que des privilèges d'accès sont accordés à un employé, ces privilèges sont seulement révoqués lorsqu'ils changent de poste ou quittent le MSNB. Les privilèges d'accès ne sont pas réexaminés périodiquement.
La section 1 de l'Annexe A de l'APD stipule que « L'accès aux renseignements partagés doit se faire uniquement dans un emplacement sécurisé accessible uniquement à des personnes autorisées. » Les entrevues ont révélé qu'un utilisateur approuvé des données de Statistique Canada peut accéder à ces données à distance depuis sa résidence. L'administrateur de données a informé l'équipe d'audit qu'on avait avisé verbalement l'utilisateur de cesser d'accéder aux données de Statistique Canada à distance. L'employé a affirmé qu'il n'avait pas accédé aux données de Statistique Canada, ni travaillé sur de telles données, au cours des trois ou quatre dernières années, mais qu'il était toujours en mesure d'accéder aux données depuis sa résidence. Cette situation ne respecte pas les exigences de l'APD et pourrait permettre un accès et une utilisation non autorisés des données, ainsi que la compromission de renseignements confidentiels.
De saines mesures de sécurité sont en place pour la copie et la rétention des renseignements et la gestion des enregistrements
Les renseignements conservés sur les serveurs de bases de données sont sauvegardés quotidiennement sur des bandes chiffrées qui sont elles-mêmes conservées hors-site dans un immeuble sécurisé. L'examen du Cadre de la politique de sécurité du MSNB a révélé que sa politique sur la sécurité interdit la transmission de données par télécopieur ou par courriel, ainsi que le stockage des données sur des dispositifs transportables (CD-ROM, clé USB, disque dur, ordinateur portable). Les données ne doivent quitter pas les locaux du Ministère ni être copiées. Les employés doivent s'assurer que les renseignements confidentiels sont placés dans des bacs verrouillés de documents à déchiqueter, dont le contenu est géré par une entreprise privée de déchiquetage.
Recommandations
Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec le ministère de la Santé du Nouveau-Brunswick pour s'assurer de ce qui suit :
- les privilèges d'accès aux données de Statistique Canada sont réexaminés périodiquement, et l'accès est uniquement accordé aux employés en conformité avec les modalités de l'APD;
- les employés accèdent aux données de Statistique Canada uniquement dans un emplacement sécurisé dans les bureaux du MSNB en conformité avec les modalités de l'APD.
Réponse de la direction
La direction souscrit aux recommandations formulées.
- Le statisticien en chef a demandé que le MSNB adopte des mesures pour éliminer la possibilité d'accéder aux données de Statistique Canada de l'extérieur d'un emplacement sécurisé.
Produits livrables et échéancier : La lettre a été transmise le 2 novembre 2015 et une confirmation écrite a été demandée. - Le directeur de la Division de la statistique de la santé (DSS) préparera une lettre pour rappeler au MSNB les modalités stipulant l'approbation des accès aux données de Statistique Canada ainsi que les exigences relatives aux accès physiques stipulées dans l'APD.
Produits livrables et échéancier : La DSS rédigera une lettre et l'enverra avant le 11 décembre 2015.
Annexes
Annexe A : Critères d'audit
| Objectif du contrôle / contrôles de base / critères | Sous-critères | Instrument de politique |
|---|---|---|
| Les modalités de l'accord sur le partage de données conclu entre Statistique Canada et le ministère de la Santé du Nouveau‑Brunswick sont respectées. | ||
| 1.1 Les pouvoirs, responsabilités et obligations redditionnelles sont définis et communiqués, et la séparation des tâches est établie de manière appropriée. | 1.1.1 Les responsabilités sont officiellement définies et clairement communiquées. 1.1.2 Les pouvoirs sont officiellement délégués et alignés sur les responsabilités individuelles. Le cas échéant, les fonctions incompatibles ne sont pas combinées. |
Loi sur la statistique Guide de la Loi sur la statistique Statistique Canada – Directive sur le partage des données en vertu des articles 11 et 12 Statistique Canada – Politique sur la diffusion officielle Statistique Canada – Manuel des pratiques de sécurité Statistique Canada – Politique sur la sécurité des renseignements statistiques de nature délicate Statistique Canada – Politique d'évaluation des facteurs relatifs à la vie privée Statistique Canada – Politique d'information des répondants aux enquêtes Statistique Canada – Politique sur la diffusion des microdonnées Statistique Canada – Politique sur la révélation discrétionnaire et lignes directrices connexes Secrétariat du Conseil du Trésor (SCT) – Politique sur la sécurité du gouvernement SCT – Norme sur la sécurité matérielle SCT – Directive sur la gestion de la sécurité ministérielle SCT – Contrôles de gestion de base Accord général de partage de données conclu entre Statistique Canada et le MSNB |
| 1.2 Le MSNB a établi un cadre approprié de gestion des exigences énoncées dans l'APD. | 1.2.1 Des processus ont été mis en place afin de satisfaire aux exigences établies dans l'APD. 1.2.2 Les processus sont compris et suivis. 1.2.3 Le respect des processus est surveillé. |
|
| 2.1 L'équipe de direction du MSNB définit les contrôles existants et en évalue la pertinence de manière à gérer efficacement ses risques, et elle s'attaque aux risques pouvant nuire à la réalisation de ses objectifs. | 2.1.1 Les risques sont cernés. 2.1.2 Il existe des processus et des lignes directrices officiels afin d'évaluer l'efficacité des contrôles en place pour gérer les risques repérés. 2.1.3 L'équipe de direction surveille l'exposition aux risques et prend des mesures pour atténuer les risques. |
|
| 3.1 Les biens sont protégés au MSNB. | 3.1.1 L'accès aux données est limité aux personnes autorisées et fait l'objet de contrôles de sécurité appropriés en conformité avec l'APD. 3.1.2 L'accès est assujetti à des restrictions matérielles. 3.1.3 Il existe des procédures pour sauvegarder les données partagées en cas de résiliation d'un accord. 3.1.4 Il existe des procédures pour prévenir l'utilisation abusive ou frauduleuse des données. |
|
| 3.2 Il existe des contrôles appropriés des applications système au MSNB. | 3.2.1 Il existe des contrôles d'accès logiques pour que seuls les utilisateurs autorisés aient accès aux systèmes et aux données, p. ex. les utilisateurs doivent entrer un nom d'utilisateur unique et un mot de passe pour ouvrir une session. 3.2.2 Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées. |
|
| 4.1 L'équipe de direction surveille le rendement réel par rapport aux résultats escomptés et modifie son plan d'action au besoin pour mieux répondre aux exigences et besoins du programme. | 4.1.1 La responsabilité de surveillance est claire et communiquée, et les résultats sont transmis aux niveaux d'autorisation requis. 4.1.2 Une surveillance active est manifeste. |
|
Annexe B : Acronymes
| Acronyme | Description |
|---|---|
| APD | Accord de partage de données |
| DGI | Division de la gestion de l'information |
| DSS | Division de la statistique de la santé |
| ENSP | Enquête nationale sur la santé de la population |
| EPMCC | Enquête sur les personnes ayant une maladie chronique au Canada |
| ESCC | Enquête sur la santé dans les collectivités canadiennes |
| IIA | Institute of Internal Auditors |
| MSNB | Ministère de la Santé du Nouveau-Brunswick |
| SCT | Secrétariat du Conseil du Trésor |
| SMA | Sous-ministre adjoint |
| TI | Technologies de l'information |