Audit du Centre canadien d'élaboration de données et de recherche économique (CDRE)

Contexte

Aux termes de l'article 3 de la Loi sur la statistique, le mandat de Statistique Canada consiste notamment à « recueillir, compiler, analyser, dépouiller et publier des renseignements statistiques sur les activités commerciales, industrielles, financières, sociales, économiques et générales de la population et sur l'état de celle‑ci », de même qu'à « collaborer avec les ministères à la collecte, à la compilation et à la publication de renseignements statistiques ».

Le Centre canadien d'élaboration de données et de recherche économique (CDRE) a été mis sur pied dans le but d'encourager l'utilisation d'information et de données statistiques canadiennes dans le cadre d'initiatives de recherche. Fonctionnant entièrement en régime de recouvrement des coûts depuis 2011, le CDRE estime que les montants recouvrés sur une base annuelle se situeront entre 700 000 $ et 1,1 million de dollars. Le principal objectif visé par le programme du CDRE consiste à offrir aux chercheurs dont les projets ont été approuvés un accès sécurisé à des microdonnées sur les entreprises et à des microdonnées économiques à des fins de recherche analytique. Le CDRE est un entrepôt contenant à la fois des fichiers de microdonnées sur les entreprises et des fichiers de microdonnées économiques, tous ces fichiers étant suffisamment détaillés pour se prêter à des analyses complexes.

Lancé en décembre 2011, le programme du CDRE se limitait aux entités affiliées à l'administration publique fédérale. En octobre 2012, sa portée a été étendue à d'autres institutions. Jusqu'ici, plus de 60 projets ont été menés, et une centaine de chercheurs ont pu utiliser les installations du CDRE. Le programme du CDRE repose sur un modèle similaire à celui du Programme des CDR de la Division de l'accès aux microdonnées de Statistique Canada, qui comporte le traitement de microdonnées sociales confidentielles; le programme du CDRE fait de même avec des microdonnées sur les entreprises et des microdonnées économiques.

Le CDRE est situé au bureau central de Statistique Canada et relève de la Division de l'analyse économique (DAE). Il permet à Statistique Canada de combler certaines lacunes sur le plan des données et des capacités qui ont comme effet de limiter l'élaboration et l'analyse des microdonnées sur les entreprises et des microdonnées économiques. Plus précisément, le CDRE a été conçu de manière à permettre à des économistes et chercheurs hautement qualifiés de mener des travaux de recherche et d'analyse économiques portant sur des sujets d'intérêt stratégique, comme la productivité, le commerce international, les profils d'investissement et la dynamique des entreprises, et ce, tout en préservant la confidentialité et la sécurité des données utilisées. Le CDRE compte un seul emplacement.

Le chercheur souhaitant avoir accès aux données du CDRE doit soumettre un projet de recherche et être en mesure d'assumer tous les coûts reliés au projet. Le Comité de coordination de l'analyse (CCA) évalue les projets proposés en fonction de leur concordance avec le mandat de Statistique Canada. Le processus d'examen des projets comporte aussi une évaluation des résultats prévus du projet et de l'incidence de ce dernier sur la confidentialité des fournisseurs de données. Aucun projet de recherche ne sera accepté s'il est susceptible d'entraîner un manquement aux obligations de confidentialité à l'égard des fournisseurs de données.

Lorsqu'un projet de recherche est approuvé, seules les données requises pour le projet sont fournies aux chercheurs. D'abord, les données sont dépouillées de tout renseignement d'identification, comme les noms et les coordonnées, les numéros d'entreprise, la région géographique détaillée et l'industrie des fournisseurs de données, puis elles sont décalées de manière à créer une base de données synthétiques. On utilise également un mode de traitement par lots comportant un processus de contrôle exécuté par un analyste économique désigné de la DAE, dans le but de s'assurer que les chercheurs ne pourront pas identifier des observations individuelles dans leur base de données.

Outre les protocoles d'entente (PE) conclus avec d'autres ministères et organismes, tous les chercheurs doivent signer un contrat de recherche pour l'utilisation de microdonnées (CRM), qui énonce leurs responsabilités et leurs obligations redditionnelles ainsi que la nature des services fournis par Statistique Canada. Ces CRM précisent que les chercheurs ont le statut de personnes réputées être employées aux termes de la Loi sur la statistique, et qu'ils doivent se conformer à toutes les exigences de confidentialité applicables aux employés de Statistique Canada, ce qui comprend un processus d'enquête de sécurité, le serment de Statistique Canada et le respect du Code de valeurs et d'éthique de la fonction publique.

Objectifs de l'audit

Les objectifs de l'audit sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le programme du CDRE :

• a mis en place un cadre redditionnel approprié afin de préserver la confidentialité des renseignements et des données statistiques de nature délicate;
• a établi des mécanismes de contrôle efficaces pour préserver la confidentialité des sources de données et pour assurer la conformité aux politiques et lignes directrices du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada en matière de sécurité des technologies de l'information (TI) et de sécurité matérielle dans le contexte de la prestation de ses services.

Portée

L'audit a comporté un examen détaillé de la pertinence et de l'efficacité des systèmes et processus établis pour assurer la protection et la confidentialité des renseignements et des données statistiques de nature délicate détenus par le CDRE. Les points examinés comprennent ce qui suit :

• l'attribution des rôles, des responsabilités et des obligations redditionnelles, notamment ceux des chercheurs;
• les processus d'examen, d'évaluation et d'approbation des projets de recherche;
• la conclusion des contrats de recherche pour l'utilisation de microdonnées (CRM) et la procédure suivie pour obtenir les autorisations de sécurité requises à l'égard des chercheurs;
• les processus de masquage et de contrôle des données;
• les contrôles physiques et informatiques en place dans le cadre du programme du CDRE.

On a également évalué la conformité aux politiques et aux lignes directrices du SCT et de Statistique Canada en matière de sécurité et de confidentialité des données.

Approche et méthodologie

L'audit a englobé un examen de la documentation pertinente, des entrevues avec des cadres supérieurs et des employés clés, de même que des tests de contrôle détaillés de fichiers associés à des projets afin de s'assurer de la conformité aux politiques et aux lignes directrices applicables.

Le travail mené sur le terrain a aussi compris l'examen, l'évaluation et la mise à l'essai des contrôles de sécurité matérielle et des contrôles informatiques en place afin de garantir la sécurité et la confidentialité des renseignements et des données de nature délicate que détient le CDRE dans les locaux de ce dernier au bureau central de Statistique Canada.

Afin de tester l'efficacité et l'uniformité des principaux contrôles, on a sélectionné un échantillon de projets de recherche menés au cours des deux dernières années.

Cet audit a été mené conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Autorité

L'audit a été mené en vertu de l'autorité conférée par le Plan intégré de vérification et d'évaluation fondé sur les risques pour 2014‑2015 à 2018‑2019 de Statistique Canada.

Environnement de contrôle entourant l'administration du programme du CDRE

L'administration du programme du CDRE repose sur une combinaison de responsabilités et de procédures destinées à contrôler l'accès aux données mises à la disposition de chercheurs externes ainsi qu'à protéger la confidentialité de ces données. L'accès aux locaux doit être limité aux chercheurs détenant une autorisation de sécurité valide et ayant signé un contrat valide. Les chercheurs doivent avoir uniquement accès aux données dont l'utilisation a été approuvée aux termes de leur contrat.

Instruments habilitants

Le programme du CDRE mène ses activités en vertu des dispositions de la Loi sur la statistique et en conformité avec les règles et exigences de confidentialité qui régissent Statistique Canada. Seuls les chercheurs dont le projet a été approuvé et qui ont prêté serment à titre de personnes réputées être employées en application de la Loi sur la statistique peuvent avoir accès au programme.

Les rôles et les responsabilités du personnel clé du programme du CDRE ont été définis, ont été communiqués et sont compris comme il se doit.

Les rôles, les responsabilités, les procédures et les pratiques de gestion et d'exécution du CDRE sont définis et documentés dans la note du 23 juin 2015 énonçant les lignes directrices applicables au CDRE ainsi que dans la note décrivant chaque étape des tâches et fournissant des conseils sur les pratiques exemplaires à l'intention des analystes du CDRE, qui date également du 23 juin 2015.

Ces deux documents décrivent les rôles et les responsabilités des personnes suivantes : l'analyste de la DAE désigné à titre de responsable d'un chercheur au CDRE; le personnel administratif, le personnel responsable des TI et les gestionnaires du CDRE; les chercheurs (personnes réputées être employées); la division responsable des TI et les divisions spécialisées (autres que la DAE); les comités internes et externes. Également, ils traitent en détail des procédures et pratiques entourant la présentation, l'évaluation et l'approbation des projets de recherche, les enquêtes de sécurité, l'établissement des contrats, les modalités aux fins de devenir une personne réputée être employée, l'essai des systèmes, l'exécution des projets et la prolongation des contrats.

Les données recueillies lors des entrevues ont permis de confirmer que le personnel du programme du CDRE ainsi que les intervenants clés comprennent comme il se doit les rôles, les responsabilités et les modalités redditionnelles des principaux employés responsables du programme.

Les éléments composant la structure opérationnelle du CDRE et assurant la viabilité du programme n'ont pas entièrement été mis en place.

Le programme du CDRE est établi dans les locaux de la DAE. À titre de gestionnaire du programme, le directeur de la DAE est responsable de l'élaboration et du fonctionnement de ce dernier. Il compte sur l'aide d'un économiste à temps plein et de quatre analystes de la DAE, dont les multiples responsabilités comprennent le CDRE en plus des responsabilités fonctionnelles de leur poste au sein de la Division. Cela revient à dire que la gestion du programme est assurée par deux membres du personnel à temps plein.

Les entrevues ont révélé qu'il peut y avoir jusqu'à six chercheurs, ou même plus, qui utilisent les installations du programme lors des périodes de pointe. Un examen du profil de risque sectoriel pour la DAE nous apprend que l'un des risques a trait au roulement élevé du personnel, ce qui donne lieu à des lacunes au niveau des compétences requises au CDRE pour fournir les services aux clients.

Au fil de l'expansion du programme et à mesure que des infrastructures additionnelles deviennent nécessaires pour garantir la confidentialité et la sécurité des données fournies par le programme, il serait possible d'évaluer l'orientation stratégique de ce dernier, ses besoins opérationnels généraux et le partage de connaissances requis, de manière à en assurer la viabilité à long terme.

Les rôles, les responsabilités et les obligations redditionnelles des chercheurs ont été clairement définis et sont compris comme il se doit.

Les chercheurs sont des personnes réputées être employées aux termes de la Loi sur la statistique, ainsi que le prévoit le contrat de recherche pour l'utilisation de microdonnées (CRM) qu'ils ont conclu avec le programme. Une fois qu'un CRM est en vigueur, un processus est prévu afin de s'assurer que l'autorisation de sécurité requise (cote de fiabilité) a été attribuée à chaque chercheur par l'organisme gouvernemental ou non gouvernemental parrain, et ce, avant que le chercheur puisse avoir accès aux données du CDRE.

Le CRM énonce les rôles, les responsabilités et les obligations redditionnelles du chercheur ainsi que la nature des recherches devant être menées. Une fois le CRM signé, le chercheur doit participer à une séance d'orientation officielle du CDRE, qui porte sur le cadre réglementaire régissant le CDRE, sur les lignes directrices et les opérations du Centre ainsi que sur les responsabilités des personnes réputées être employées dans ce contexte. Bien que ces séances soient menées par un analyste de la DAE et ne se déroulent qu'à l'occasion, le gestionnaire du programme du CDRE fournira une orientation informelle aux nouveaux chercheurs jusqu'à ce qu'ils puissent assister à la séance officielle. Cette dernière réitère l'information communiquée de façon formelle au moyen du CRM et sert de rappel des obligations des chercheurs en application des politiques et des lignes directrices en vigueur, notamment la Politique sur la protection des renseignements personnels et la confidentialité et la Directive sur l'utilisation de personnes réputées être employées de Statistique Canada

Il ressort des entrevues menées auprès d'un échantillon de cinq chercheurs que les chercheurs sont informés de leurs rôles, de leurs responsabilités et de leurs obligations redditionnelles; l'audit a en outre confirmé que ces chercheurs avaient assisté à la séance d'orientation avant d'obtenir l'accès aux données.

Un processus robuste d'examen et d'approbation de projets ainsi que des mécanismes de gouvernance ont été établis, mais ils n'étaient pas toujours étayés par une documentation complète.

Le processus d'examen, d'évaluation et d'approbation des projets comprend les quatre éléments suivants, décrits dans le document de juin 2015 qui portait sur les projets du CDRE et l'examen du processus d'approbation et qui est intitulé Projects in CDER - Review of approval process – June 2015 : (1) une évaluation de la faisabilité et des coûts du projet; (2) un examen par les pairs ou un autre type d'examen professionnel afin d'évaluer la valeur du projet sur le plan professionnel ainsi que les qualifications du chercheur; (3) une évaluation de la concordance du projet avec le mandat de Statistique Canada; (4) une procédure d'approbation officielle.

Dans le cadre de l'audit, on a examiné un échantillon de 11 des 65 CRM conclus de juillet 2013 à juillet 2015. Le choix de ces projets, dont cinq étaient en cours et six étaient terminés, a reposé sur le jugement professionnel. Parmi les cinq projets en cours, deux ont été soumis par des institutions affiliées à une administration publique et les trois autres, par des institutions sans affiliation à une administration publique. Cet échantillon a servi à évaluer la conformité au processus d'évaluation des projets de recherche en vigueur, le respect des exigences du programme du CDRE et l'obtention des approbations requises de la part des organes de gouvernance compétents.

Les tests effectués ont montré que le processus en vigueur était respecté dans l'ensemble, mais qu'il y avait un manque d'uniformité en ce qui concerne la documentation du déroulement et des résultats du processus d'examen et d'approbation des projets. Plus précisément, on disposait d'une documentation limitée à l'appui de l'examen des coûts et de la faisabilité des projets ainsi que de l'examen par les pairs et de l'examen institutionnel.

Les processus de renouvellement et d'approbation des projets étaient appliqués de façon uniforme, et les approbations requises étaient obtenues.

Conformément aux exigences de sécurité en vigueur à Statistique Canada, un CRM valide est requis pour qu'un chercheur obtienne un droit d'accès. De plus, les chercheurs, à titre de personnes réputées être employées, doivent se conformer aux modalités d'accès aux microdonnées qui sont énoncées dans la Politique sur l'accès aux microdonnées.

Il arrive à l'occasion que des projets soient prolongés et qu'une modification doive être apportée à des contrats. Dans un tel cas, le personnel du CDRE reçoit une demande de prolongation de la part du chercheur et vérifie si ce dernier demeure affilié à son parrain et détient une autorisation de sécurité valide pour l'ensemble de la période visée par la prolongation.

Le processus d'examen et d'approbation des demandes de prolongation de projets était appliqué de façon uniforme. Une demande de prolongation avait été présentée à l'égard de trois des cinq projets en cours ayant fait l'objet d'un examen. Dans les trois cas, malgré la présence d'écarts entre la date de fin de contrat et la date de modification du contrat, on disposait de documents démontrant que la prolongation avait été accordée conformément au processus approprié, et que les approbations requises avaient été obtenues. Les laissez‑passer des chercheurs concernés ont été suspendus lors des périodes correspondant aux écarts.

On a aussi constaté qu'un chercheur international avait pris part à l'un des trois projets examinés où une prolongation avait été demandée. L'examen de la documentation a révélé que l'information aux fins d'autorisation de sécurité de ce chercheur n'avait pas été confirmée par le programme pour la période de prolongation. L'enquête effectuée durant l'audit a confirmé que le chercheur disposait bien d'une autorisation de sécurité valide pour la période de prolongation du contrat.

Gérance des données, contrôle de confidentialité et couplage de données

Des protocoles internes et des contrôles assurant la saine gestion des données doivent être en place pour assurer la protection des données de Statistique Canada pendant l'ensemble de leur cycle de vie.

Gérance des données

Des processus efficaces ont été établis pour compiler et créer des bases de données synthétiques, mais ces processus ne sont pas documentés, et l'on ne procède pas à des examens formels.

Pour protéger la confidentialité des données, on ne communique jamais de microdonnées réelles aux chercheurs; ceux‑ci reçoivent uniquement des données synthétiques. Un analyste de la DAE compile les bases de données dont les chercheurs ont besoin une fois que leur projet est approuvé.

Les données synthétiques sont créées au moyen d'un algorithme élaboré par le directeur du programme du CDRE : on examine d'abord les données réelles afin de repérer tout problème possible sur le plan de la confidentialité et de déterminer quelles variables doivent être préservées. Tous les renseignements d'identification sont supprimés des bases de données, et les caractéristiques d'une société donnée sont réarrangées. Le nom du fichier de données synthétiques se termine par « _syn.dat ». Il s'agit de l'identificateur clé permettant de savoir que les données ont été converties. Toutes les données synthétiques sont considérées comme étant confidentielles, et elles ne peuvent être consultées que dans les locaux du programme du CDRE. Ce processus constitue un contrôle clé dans le cadre du programme pour protéger les sources de données et éviter tout problème de confidentialité.

Lors de l'audit, on a constaté que le processus de création de données synthétiques n'a pas été documenté en bonne et due forme, et que le directeur et l'employé affecté à temps plein au programme sont les seuls à connaître la méthodologie permettant d'utiliser l'algorithme. Étant donné le nombre restreint de personnes pouvant se servir de l'algorithme, il existe un risque de perte de connaissances concernant ce contrôle clé si les employés en question quittent la division ou l'organisation.

On a aussi noté l'absence d'examen formel des fichiers de données synthétiques dans le but de vérifier, non seulement que les données ont été suffisamment décalées afin de protéger la confidentialité de leurs fournisseurs, mais qu'elles ont été associées au code d'utilisateur correspondant au chercheur conformément au CRM approuvé.

Contrôle de confidentialité

Le contrôle de confidentialité est le processus de filtrage des produits de recherche, de fichiers de syntaxe ou de documents se rapportant à des données confidentielles pour évaluer le risque de divulgation non autorisée. Pour ce faire, on analyse s'il est possible d'inférer ou de déduire des données d'identification évidentes de cas particuliers ou des renseignements concernant des cas particuliers à partir des produits statistiques.

Le programme du CDRE est un entrepôt de fichiers de microdonnées sur les entreprises et de microdonnées économiques auxquels ont accès les chercheurs dont le projet a été approuvé. Il faut prévoir et appliquer des processus et des procédures efficaces et appropriés aux fins de contrôle de confidentialité afin de réduire les risques de divulgation non désirée. Le contrôle de confidentialité doit être exécuté soigneusement par l'analyste du programme, conformément aux protocoles établis, afin de veiller à ce que la confidentialité des données ne soit pas compromise.

Des pratiques et des procédures de contrôle de confidentialité sont mises en œuvre, mais elles n'ont pas été documentées. Il n'y a pas d'exigence d'examen formel et d'approbation des résultats de ce processus de contrôle de confidentialité des données.

Les chercheurs examinent et analysent leurs données synthétiques, puis ils demandent l'autorisation du programme du CDRE pour diffuser leurs travaux de recherche à l'extérieur de Statistique Canada. Ces travaux comprennent des analyses effectuées à partir des données synthétiques sous forme agrégée.

Préalablement à toute diffusion de données, le personnel du CDRE exécute un processus de contrôle de confidentialité. C'est à l'analyste désigné de la DAE qu'il incombe de déceler les situations où il existe un risque que la confidentialité des données soit compromise lors du traitement. Ces considérations relatives à la confidentialité sont intégrées dans un outil automatisé de contrôle de la divulgation mis au point à Statistique Canada et appelé G‑Confid. Cet outil assure le degré de protection approprié à l'égard des tableaux de données confidentielles tout en réduisant les pertes de données synthétisées. La formation et la documentation d'orientation destinées aux analystes se limitent à la façon d'utiliser G‑Confid. Or, le processus de contrôle de confidentialité fait intervenir un élément de subjectivité important, selon la complexité des travaux de recherche.

Les résultats des entrevues ont confirmé que l'on procède bien au contrôle de confidentialité des données; cependant, les tests ont révélé qu'il n'y avait pas à l'heure actuelle de documentation exposant les étapes à suivre pour procéder à ce contrôle, entre autres les hypothèses et les situations dont doit tenir compte l'analyste de la DAE. Il n'y avait pas de preuve documentaire de contrôle de confidentialité pour les cinq projets en cours qui ont été examinés et concernant lesquels l'équipe d'audit a demandé des données. On a aussi établi qu'il n'y avait pas d'information permettant d'établir que le gestionnaire du programme du CDRE avait approuvé officiellement les résultats du contrôle de confidentialité des données dans le cas de ces cinq projets.

L'équipe d'audit a été informée du fait que le CDRE élabore des lignes directrices ainsi qu'une liste de vérification à remplir par les analystes lors du contrôle de confidentialité des produits de données.

Couplage de données

Un processus de couplage de données robuste est en vigueur et est appliqué de façon uniforme.

Il arrive à l'occasion que des chercheurs présentent une demande de couplage de données. Le programme doit alors soumettre un formulaire de couplage d'enregistrements fournissant des renseignements détaillés sur le couplage proposé, et notamment sur les mesures de sécurité prévues afin de protéger la confidentialité des données couplées. Ces demandes sont préparées à la suite de consultations auprès du chercheur et du secteur de programme concerné de Statistique Canada. Les demandes sont ensuite examinées par le directeur du secteur de programme afin d'en évaluer l'incidence sur la confidentialité des sources de données. Le processus d'approbation des demandes fait intervenir la Division de la gestion de l'information (DGI) de Statistique Canada, le statisticien en chef adjoint (SCA) responsable du secteur de programme et, ultimement, le Conseil exécutif de gestion (CEG), soit l'étape où le statisticien en chef donne son consentement. Ce processus ainsi que les responsabilités des secteurs de programme concernés de Statistique Canada sont énoncés dans la Directive sur le couplage d'enregistrements, disponible sur le Réseau de communications internes (RCI) de Statistique Canada.

Dans l'un des cinq projets en cours qui ont été examinés, une demande de couplage a été présentée. L'équipe d'audit a demandé le formulaire de demande de couplage de données dans le cadre de ce projet, et elle a pu constater que la demande avait été approuvée par le SCA de la division et par le statisticien en chef avant que l'accès aux données soit accordé.

Dans l'ensemble, l'audit a permis de constater qu'un processus robuste est en vigueur et est appliqué de façon uniforme afin de vérifier que les demandes de couplage de données ne soulèvent pas de risque que des sources de données soient révélées; on a aussi observé que le processus d'approbation était respecté à l'égard des demandes émanant du programme du CDRE.

Sécurité matérielle et sécurité des technologies de l'information (TI)

Les contrôles physiques et informatiques à l'intérieur du programme du CDRE doivent être conformes aux politiques et aux lignes directrices applicables du Conseil du Trésor et de Statistique Canada.

L'accès physique aux locaux de Statistique Canada est protégé, mais les chercheurs présents ne font pas toujours l'objet d'une surveillance active par le personnel du CDRE.

Une fois qu'un CRM a été signé, le chercheur participant au programme du CDRE reçoit, à titre de personne réputée être employée de Statistique Canada, une carte d'identité avec photo qui lui donne accès aux locaux du programme du CDRE; ces locaux font partie de la DAE de Statistique Canada, à l'immeuble R.-H.-Coats.

L'audit a révélé que, malgré le fait que le programme du CDRE mène ses activités dans le même environnement de sécurité matérielle que les programmes réguliers, il ne dispose pas de son propre espace désigné à titre de zone à accès physique restreint. Les postes de travail réservés aux chercheurs sont aménagés dans des cubicules ouverts; certains de ces postes de travail sont regroupés, tandis que d'autres sont isolés ou sont mélangés à ceux d'employés de la DAE travaillant sur le même étage.

Les entrevues ont permis d'apprendre que les chercheurs doivent être supervisés par l'analyste désigné de la DAE lorsqu'ils se trouvent dans les locaux du CDRE entre 8 h et 18 h du lundi au vendredi. Les lignes directrices actuelles ne traitent pas de la surveillance des activités des chercheurs. Il ressort des entrevues avec des analystes de la DAE et avec un échantillon de chercheurs que la plupart des analystes finissent de travailler entre 16 h et 18 h, mais qu'ils ne vérifient pas si le chercheur qui leur a été confié est encore dans les locaux avant de partir, et que les chercheurs vont parfois rester sur place sans supervision jusqu'à 18 h.

À titre de mesure de contrôle compensatoire, on procédait à la fermeture automatique des ordinateurs à 18 h, de sorte que les chercheurs ne pouvaient avoir accès aux données après les heures d'activité du CDRE. Toutefois, par suite d'une migration entre systèmes au cours de l'exercice 2015‑2016, cette fonctionnalité a été désactivée et n'a pas été réactivée. Les chercheurs pourraient donc rester sur place et poursuivre leurs travaux de recherche après les heures d'activité du programme sans être supervisés.

Les chercheurs ne sont pas autorisés à utiliser des téléphones cellulaires, mais les employés du CDRE ont indiqué lors des entrevues qu'ils n'imposaient pas le respect de cette règle et qu'ils n'exerçaient pas de surveillance à cet égard.

Des contrôles d'accès et des mesures d'identification et d'authentification efficaces sont en place.

Le programme du CDRE compte sur un processus aux termes duquel un compte peut être créé pour un chercheur uniquement lorsqu'un CRM est approuvé et entre en vigueur. À la date d'expiration du CRM, le compte informatique d'utilisateur du chercheur est supprimé; il peut être rétabli uniquement si le directeur de la DAE autorise la prolongation du CRM.

L'établissement d'un compte informatique d'utilisateur assorti d'un mot de passe permet au chercheur d'avoir accès au répertoire de son projet de recherche sur le serveur du CDRE. Ce répertoire contient les ensembles de données approuvés et créés spécialement pour le projet par l'analyste désigné de la DAE. Les opérations exécutées sur le serveur du programme font l'objet de vérifications au hasard à l'aide d'un système de répertoires actifs dans Microsoft.

Pour confirmer que les chercheurs ont accès uniquement aux ensembles de données approuvés ainsi que cela est prévu dans leur CRM, l'équipe d'audit a effectué une sélection discrétionnaire et a examiné les privilèges d'utilisateurs de cinq chercheurs à partir de 65 CRM conclus de juillet 2013 à juillet 2015. Les résultats confirment que les chercheurs n'avaient accès qu'au répertoire de leur projet de recherche, et que les ensembles de données conservés dans le répertoire de leur projet concordaient avec leur CRM. Les tentatives en vue de consulter les répertoires d'autres projets de recherche sur le serveur en utilisant leur compte d'utilisateur et leur mot de passe n'ont pas fonctionné.

Une piste d'audit a été établie dans le cadre du système d'envoi par lots aux fins de consigner les activités des chercheurs lorsqu'ils ont accès à des microdonnées réelles. Une fois les données mises à la disposition des chercheurs, les membres du personnel de la DAE affectés au programme du CDRE ont comme tâche de surveiller l'accès des chercheurs aux microdonnées; cependant, il n'y a pas encore de protocole officiel établissant la manière dont cette surveillance doit être exercée et dont les résultats doivent être documentés.

Les mécanismes de protection des systèmes de TI fonctionnent comme prévu.

Les tests menés ont montré que les postes de travail des chercheurs ne permettent pas d'accéder à l'Internet ni aux imprimantes de la DAE. Il y a seulement un poste de travail désigné, situé dans un endroit isolé, qui offre l'accès à l'Internet. Les ports USB sont désactivés, et les postes de travail ne sont pas munis de claviers ni de souris sans fil.

On n'a pas effectué d'évaluation des contrôles informatiques en place pour le programme.

Il ressort des entrevues qu'aucune évaluation de la menace et des risques (EMR) n'a été menée à l'égard de la sécurité des TI avant le lancement du programme du CDRE, et qu'il n'y a pas eu d'inspections périodiques du programme. En l'absence d'EMR et d'inspections périodiques portant sur la sécurité, il est difficile d'évaluer ou d'atténuer les vulnérabilités découlant de la surveillance inadéquate des chercheurs, ce qui fait entrave à la saine gestion et à la protection de la confidentialité des renseignements du CDRE.

Annexe A – Critères d'audit

Annexe B – Acronymes