Partage des données - Obligations et devoirs des organismes destinataires

Les organismes destinataires doivent se conformer à des modalités particulières, et reçoivent des pratiques exemplaires pour protéger les renseignements confidentiels.

Pour obtenir des directives supplémentaires, les organismes destinataires peuvent communiquer avec leur représentant de Statistique Canada ou consulter la Foire aux questions.

Les modèles pour se conformer à certaines obligations en matière de production de rapports sont également mis à la disposition des organismes destinataires.

Obligations et devoirs
Pratiques exemplaires pour protéger les fichiers de données provenant de Statistique Canada
Foire aux questions
Modèles pour les Administrateurs de données
Pour en savoir plus

Obligations et devoirs

Autorité
L’article 12 de la Loi sur la statistique décrit les dispositions en vertu desquelles Statistique Canada peut conclure des ententes de partage de renseignements avec les ministères et les gouvernements fédéraux et provinciaux, ainsi qu’avec les administrations municipales et d’autres sociétés.

    Organisme destinataire – Rôles

    Les organismes destinataires ont quatre rôles clés :

    • Signataires : Le sous-ministre, directeur général, ou l’équivalent, ou son délégué, qui signe l’entente de partage de données et accepte au nom de l’organisme de se conformer à l’entente.
    • Représentant : Le gestionnaire responsable ou cadre supérieur de l’organisme, délégué par le signataire pour gérer l’entente de partage des données et assurer la conformité permanente à ses modalités.
    • Administrateur de données : La personne désignée par le représentant pour recevoir les fichiers partagés de Statistique Canada et qui a la responsabilité opérationnelle au sein de l’organisme destinataire pour la sécurité des renseignements reçus.
    • Utilisateurs autorisés : Employés et entrepreneurs ayant reçu la permission d’accéder aux renseignements en cas de nécessité.

    Dans les grandes organisations, ces rôles seraient généralement assignés à des personnes différentes. Dans les petites organisations, une seule personne peut assumer plus d’un de ces rôles, auquel cas Statistique Canada devrait être informé

    Représentant – Obligations

    Confidentialité des renseignements

    • Assurer la confidentialité des renseignements.
    • Diffuser ou publier uniquement des données qui n’identifient pas, directement ou indirectement, une personne, une entreprise ou un organisme.
    • Ne diffuser aucune donnée que Statistique Canada a maintenue confidentielle.
    • Prendre toutes les mesures nécessaires pour protéger la confidentialité des renseignements, conformément aux exigences en matière de sécurité établies par Statistique Canada.
    • Consulter Statistique Canada avant de publier ou de partager des résultats en cas de préoccupations au sujet de la confidentialité.
    • Aviser immédiatement Statistique Canada si une demande est déposée en vertu d’une loi relative à l’accès à l’information, à la liberté de l’information ou à la protection des renseignements personnels.
    • Ne pas utiliser les renseignements à titre de preuve devant une cour ou un tribunal, que ce soit dans une déposition orale ou en les produisant.
    • Aviser immédiatement Statistique Canada si une cour ou un tribunal ordonne la divulgation des renseignements.

    Utilisation des renseignements

    • Utiliser les renseignements uniquement à des fins statistiques et de recherche.
    • Ne pas utiliser les renseignements à des fins administratives ou réglementaires, ou dans tout processus de prise de décision qui touche une personne, une entreprise ou un organisme.
    • Ne pas apparier les renseignements partagés sans identificateur à aucun document ou fichier de données, pour quelque raison que ce soit, y compris pour identifier une personne.

    Accès aux renseignements

    • Désigner un employé comme administrateur de données des renseignements, qui est responsable du contrôle de l’accès.
    • S’assurer que l’administrateur de données s’acquitte de ses fonctions.
    • S’assurer qu’il n’y ait aucune divulgation des renseignements à quelconque autre organisme, sauf dans les cas expressément autorisés dans l’entente avec Statistique Canada.

    Avis de violation

    • Informer Statistique Canada par écrit dès la prise de connaissance de toute violation d’une des dispositions de la présente entente.
    • Limiter la violation et informer Statistique Canada des mesures d’atténuation adoptées.
    • Informer Statistique Canada par écrit aussitôt informé de toute violation d’une des dispositions de la présente entente par un institut ou organisme de recherche provincial/territorial ou universitaire ayant conclu un contrat avec l’organisme destinataire.
    • Veiller à ce que Statistique Canada reçoive l’avis dans un délai de deux (2) jours ouvrables après son envoi.

    Documents

    • Documenter la gouvernance, les procédures, les rôles et les responsabilités liés à l’entente, de manière à ce que ses modalités soient systématiquement respectées.

    Inspections, examens et vérifications

    • Dans les dix (10) jours ouvrables d’une demande présentée par Statistique Canada, remettre à Statistique Canada les documents sur la confidentialité, le registre des fichiers de données et le registres de l’accès aux données décrits dans les tâches de l’administrateur des données pour permettre à Statistique Canada d’évaluer la conformité à l’entente.
    • À la demande de Statistique Canada, préparer et envoyer un rapport indiquant tout changement en ce qui concerne les titulaires des postes suivants :
      • le signataire de l’entente;
      • le représentant;
      • l’administrateur de données.
    • Sur demande de Statistique Canada, fournir une autoévaluation, une inspection des lieux, un examen ou une vérification selon les dispositions de l’entente, en vue de l’examen de la conformité avec les modalités énoncées dans l’entente.
    • S’assurer que les conditions de l’entente relatives à l’utilisation, à la confidentialité, à la protection, à la sécurité des renseignements, ainsi qu’au droit de Statistique Canada d’exiger une évaluation, sont incluses dans toute entente ou tout arrangement conclu par l’organisme destinataire en vertu duquel une autre organisation aurait accès aux renseignements conformément à l’entente.

    Retour ou destruction des renseignements

    • En cas d’expiration ou de résiliation de l’entente, retourner à Statistique Canada, dans les délais convenus par écrit par les parties, tous les renseignements et n’en conserver ni copie ni partie; ou
    • Demander l’autorisation de Statistique Canada pour détruire tous les renseignements en conformité avec les exigences en matière de sécurité énoncées dans votre entente et fournir une confirmation écrite de la destruction à Statistique Canada dans les dix (10) jours ouvrables après la destruction.

    Administrateur de données – Tâches

    L’administrateur de données est désigné par l’organisme destinataire et mettra en œuvre les exigences suivantes :

    Document sur la confidentialité

    • Préparer un document sur la confidentialité pour utilisation par les employés et les entrepreneurs de l’organisme destinataire, décrivant les modalités régissant l’utilisation des renseignements, ainsi que les procédures pour transmettre, recevoir, traiter et conserver les renseignements. Le document sur la confidentialité énumère les exigences suivantes de l’entente :
      • confidentialité des renseignements;
      • utilisation des renseignements;
      • accès aux renseignements;
      • exigences en matière de sécurité;
      • fins statistiques et de recherche.

    L’administrateur des données peut utiliser le modèle du document sur la confidentialité de Statistique Canada ou préparer le sien pour fin d’utilisation par son organisme.

    Registre des donnée

    • Accuser réception de tous les fichiers de données reçus de Statistique Canada en vertu de l’entente, et tenir un registre de tous ces fichiers; le registre doit comprendre les renseignements suivants :
      • date de réception;
      • nom du fichier et période de référence (ou autre renseignement permettant de distinguer différents fichiers associés à une même enquête);
      • nom de l’employé ayant reçu le fichier de Statistique Canada;
      • nom de l’employé de Statistique Canada ayant envoyé le fichier;
      • nom de l’employé responsable de la garde du fichier;
      • date de la destruction ou du retour du fichier à Statistique Canada (le cas échéant).

    L’administrateur des données peut utiliser le modèle du registre de réception de fichiers de données de Statistique Canada ou préparer le sien pour fin d’utilisation par son organisme.

    Registre d’accès

    • Tenir un registre de toutes les personnes qui ont obtenu un droit d’accès aux fichiers de données fournis par Statistique Canada à l’organisme destinataire; le registre comprend les renseignements suivants :
      • nom du fichier et période de référence (ou autre renseignement permettant de distinguer différents fichiers associés à une même enquête);
      • nom de l’employé ou de la personne travaillant à forfait ayant obtenu un droit d’accès;
      • justification de l’accès;
      • nom du gestionnaire délégué ayant autorisé l’accès et date de l’autorisation;
      • dates du début et de la fin de la période pour laquelle l’accès est autorisé.

    L’administrateur des données peut utiliser le modèle du registre d’accès aux fichiers de données de Statistique Canada ou préparer le sien pour fin d’utilisation par son organisme.

    Octroi de l’accès

    • Donner aux employés l’accès aux renseignements seulement au besoin pour des fonctions liées au travail.
    • Avant l’octroi de l’accès, s’assurer que :
      • tout employé ou toute personne travaillant à forfait ayant accès aux renseignements s’est engagé, par écrit, à respecter les dispositions de l’entente et a signé à cette fin une attestation par laquelle il reconnaît avoir lu, compris et accepté de respecter les conditions de l’entente résumées dans le Document sur la confidentialité.

    Avis de violation

    • Signaler immédiatement toute atteinte possible aux renseignements ou à la sécurité au représentant de l’organisme destinataire.

    Utilisateurs autorisés

    Les utilisateurs autorisés sont des employés de l’organisation destinataire (y compris les entrepreneurs) à qui l’administrateur de données a octroyé la permission d’accéder aux renseignements sur la base du besoin de savoir.

    • Signer une attestation comme quoi ils se conformeront aux dispositions énoncées dans le Document de confidentialité fourni par l’administrateur de données.
    • Se conformer aux modalités de l’entente conclue avec Statistique Canada.
    • Utiliser les renseignements uniquement aux fins de l’exécution des tâches liées au travail, et uniquement à des fins statistiques et de recherche.

    De plus amples renseignements quant à savoir qui peut avoir accès aux fichiers de données reçues de Statistique Canada et dans quelles conditions, se trouvent ci-dessousdans la section Utilisateurs autorisés – conditions d’accès.

    Exigences en matière de sécurité

    Le représentant de l’organisme destinataire doit veiller à ce qu’une protection adéquate soit en place pour assurer la sécurité des données reçues de Statistique Canada. Les exigences en matière de sécurité détaillées ci-dessous constituent les plus récentes exigences minimales auxquelles les organismes destinataires doivent se conformer.

    Accès physique

    1. L’accès aux données se fait dans un endroit sûr qui permet un accès non escorté limité aux employés et aux entrepreneurs de l’organisme destinataire. Tous les visiteurs circulant dans la zone sécuritaire doivent être escortés en tout temps par un utilisateur autorisé. La zone sécuritaire se trouve dans un groupe d’immeubles, dans l’ensemble d’un immeuble, dans l’ensemble d’un étage à l’intérieur d’un immeuble, ou dans une seule pièce. Une fois le périmètre de la zone sécuritaire défini, les procédures s’appliquent à tous les secteurs compris dans le périmètre. Lorsqu’il s’agit d’un groupe d’immeubles, le périmètre de sécurité est défini pour chaque immeuble.
    2. L’accès aux renseignements est limité aux utilisateurs autorisés. Les fonctions de l’administrateur de données comprennent le maintien d’une piste vérifiable portant sur l’accès aux renseignements par les utilisateurs autorisés.
    3. Les visiteurs escortés peuvent avoir accès à la zone sécuritaire. Toutefois, les visiteurs ne peuvent en aucun cas avoir accès aux renseignements.

    Le stockage et la transmission au moyen des technologies de l’information

    1. Tous les systèmes donnant accès aux renseignements utilisent des méthodes de contrôle d’accès logique, au niveau de l’appareil et du réseau.
    2. Lorsque les renseignements sont conservés sur des supports transportables, des mots de passe complexes avec chiffrement sont utilisés. Le niveau de chiffrement doit être conforme aux plus récentes normes du Centre de la sécurité des télécommunications. Cela s’applique également aux copies de sauvegarde des renseignements sur supports transportables.
    3. Les renseignements ne peuvent être transmis sous forme électronique, sauf de la façon décrite aux points 7 et 8. Cela comprend, sans s’y limiter, la transmission par télécopieur ou par courriel.
    4. Les serveurs servant à l’entreposage et à la transmission de données non chiffrées, lorsqu’ils sont utilisés, sont situés dans une zone sécuritaire à accès contrôlé, de préférence la même zone que celle où l’on a accès aux renseignements. Si les serveurs sont installés dans une zone distincte, des contrôles sont en place pour s’assurer que seuls les utilisateurs autorisés peuvent y accéder. À moins que les renseignements soient chiffrés en tout temps lorsqu’ils sortent de la zone sécuritaire, on utilise un conduit pour tout le câblage, et tous les secteurs de connexion transversale sont protégés physiquement.
    5. Des cloisons de protection et des règles d’accès au réseau empêchent l’accès aux renseignements par des personnes autres que des utilisateurs autorisés. Les renseignements peuvent être stockés ou transmis au moyen de réseaux qui ne respectent pas ces exigences, à condition d’être chiffrés, sauf lorsqu’ils sont au repos ou utilisés par un utilisateur autorisé. Les renseignements peuvent aussi être stockés dans un ordinateur autonome situé dans une zone sécuritaire, sans connexions externes, ou dans un réseau fermé situé dans la zone sécuritaire. Lorsque le réseau transmet des renseignements hors de la zone sécuritaire (par exemple, lorsqu’un groupe d’immeubles hébergent des employés d’une seule organisation) les renseignements sont chiffrés dès qu’ils se trouvent à l’extérieur de la zone sécuritaire.

    Stockage physique

    1. Lorsqu’ils ne sont pas utilisés, les supports transportables stockant les renseignements sont entreposés dans des contenants sécuritaires. Cela s’applique également aux copies de sauvegarde des renseignements.
    2. Les renseignements ne sont pas retirés de la zone protégée (tel que décrit au point 1, ci-dessus) dans tout format (p. ex., copies papier, médias transportables, etc.), sauf en conformité avec les dispositions de l’entente et tel que décrit aux points 7 et 8.
    3. Lorsqu’ils ne sont pas utilisés, les documents imprimés contenant les renseignements sont toujours entreposés dans des contenants sécuritaires.

    Reproduction et conservation des renseignements ainsi que la gestion des documents

    1. Des copies et des extraits des renseignements peuvent seulement être produits aux fins de l’exécution de travaux qui sont conformes à l’entente. Lorsqu’ils ne sont plus nécessaires, ces copies ou extraits sont détruits de façon sécuritaire (conformément aux points 13 et 14).
    2. Les documents sur papier comprenant les renseignements sont détruits (déchiquetés) de façon sécuritaire avant d’être éliminés. La destruction se fait dans la zone sécuritaire.
    3. Tous les supports d’entreposage électroniques utilisés pour le traitement des renseignements, y compris tous les supports de sauvegarde, les supports transportables, les photocopieurs et les autres supports électroniques où les renseignements ont été stockés électroniquement sont nettoyés ou détruits, conformément aux normes à jour du Centre de la sécurité des télécommunications pour les renseignements « Protégés B », une fois leur utilisation terminée ou lorsque l’organisme destinataire est tenu de retourner ou de détruire les renseignements, conformément aux dispositions de l’entente. Toute destruction se fait dans la zone sécuritaire.
    4. L’administrateur de données de l’organisme destinataire établit et maintient un inventaire de tous les fichiers de données reçus de Statistique Canada, comme il est indiqué sous la rubrique « Administrateur de données – Tâches ».
    5. Ces exigences en matière de sécurité sont communiquées à tous les utilisateurs autorisés avant qu’ils aient accès aux renseignements et ces exigences sont disponibles pour référence, au besoin.

    Utilisateurs autorisés – conditions d’accès

    L’administrateur de données peut accorder l’accès aux renseignements aux employés de son organisme, à des chercheurs travaillant en vertu d’un contrat, et à des instituts de recherche ou des organisations reconnus provinciaux/territoriaux ou universitaires au besoin, ainsi que des services de gestion des renseignements et de la technologie de l’information (GI-TI).

    Conditions

    Les employés de l’organisme destinataire peuvent se voir accorder l’accès si cela est nécessaire à l’exécution de tâches liées au travail. Ces employés doivent se conformer aux modalités de l’entente et doivent signer une attestation comme quoi ils se conformeront aux dispositions relatives à la confidentialité.

    Les chercheurs qui travaillent en vertu d’un contrat peuvent se voir accorder l’accès pour autant que :

    • le chercheur travaille à forfait directement pour l’organisme destinataire en vue de fournir un produit ou un service lié à l’enquête au seul bénéfice de la partie destinataire et en application de son mandat;
    • l’organisme destinataire enlève tous les identificateurs des renseignements auxquels le chercheur aura accès;
    • l’organisme destinataire veille à ce que le chercheur respecte les dispositions de l’entente;
    • l’accès a lieu dans les locaux de l’organisme destinataire où les mesures de sécurité sont en place pour protéger la confidentialité des renseignements.

    L’institut/organisme de recherche provincial, territorial ou universitaire peut se voir accorder l’accès pour autant que :

    • l’institut ou organisme de recherche appartient exclusivement à des intérêts canadiens, se trouve sous contrôle canadien exclusif et mène ses activités exclusivement en territoire canadien;
    • l’organisme destinataire enlève tous les identificateurs des renseignements auxquels le chercheur aura accès;
    • l’organisme destinataire informe Statistique Canada avant de conclure un contrat avec l’institut ou l’organisme;
    • l’institut ou l’organisme de recherche travaille à forfait directement pour l’organisme destinataire en vue de fournir un produit ou un service lié à l’enquête au seul bénéfice de la partie destinataire et en application de son mandat;
    • l’accès a lieu dans les locaux de l’organisme destinataire à moins qu’un contrat écrit ne soit en place afin que l’institut ou l’organisme :
      • respecte les dispositions de l’entente;
      • veille à ce que les renseignements demeurent au Canada et y soient exclusivement accessible en tout temps, et que les mêmes mesures de sécurité que celles prévues soient en place pour protéger la confidentialité des renseignements;
      • participe à l’examen ou à la vérification de la conformité en autorisant l’organisme destinataire, ou le vérificateur désigné par l’organisme destinataire, à accéder à ses locaux et à ses dossiers pendant les heures normales de travail, et s’assurer que les résultats de la vérification soient remis à Statistique Canada;
      • informe immédiatement l’organisme destinataire de toute forme d’utilisation, d’accès ou de divulgation non autorisés ou de la perte ou du vol des renseignements;
      • retourne les renseignements à l’organisme destinataire ou les détruits de manière sûre lorsque les renseignements ne sont plus nécessaires ou lorsque l’organisme destinataire est tenu de les retourner ou de les détruire, selon la première éventualité.

    Les services de gestion de l’information et de technologie de l’information peuvent se voir accorder l’accès pour autant que :

    • ce soit uniquement pour des fins de soutien de gestion de l’information ou de technologie de l’information;
    • les employés proviennent d’autres ministères de gouvernements provinciaux ou territoriaux spécifiques;
    • si le fournisseur de services n’est pas un ministère mandaté par la loi pour fournir le service de GI ou de TI :
      • le fournisseur de services doit être exclusivement de propriété canadienne et sous contrôle canadien et doit mener ses activités exclusivement en territoire canadien;
      • l’organisme destinataire conclut un contrat avec le fournisseur de services selon lequel le fournisseur de services s’engage à respecter les conditions de l’entente;
    • les renseignements demeurent au Canada et y sont exclusivement accessibles;
    • les mêmes mesures de sécurité que celles prévues dans l’entente sont en place pour protéger la confidentialité des renseignements;
    • le fournisseur de services informera immédiatement l’organisme destinataire de toute forme d’utilisation, d’accès ou de divulgation non autorisés ou de la perte ou du vol des renseignements;
    • le fournisseur de services retournera les renseignements à l’organisme destinataire ou les détruira de manière sûre, comme le décrit l’entente, dès que les renseignements ne sont plus nécessaires ou lorsque l’organisme destinataire est tenu de les retourner ou de les détruire, selon la première éventualité.

        Pratiques exemplaires pour protéger les fichiers de données provenant de Statistique Canada

        Les représentants, les administrateurs de données et les utilisateurs autorisés ont le devoir de protéger les fichiers de données confidentiels de Statistique Canada, en conformité avec l’engagement de Statistique Canada à protéger les renseignements de ses répondants.

        • Stockez les fichiers de données de Statistique Canada dans des dossiers sécurisés à accès restreint.
        • Retirez tous les identificateurs et conservez-les dans un fichier distinct.
        • Sécurisez tous les fichiers de données de Statistique Canada à la fin de chaque journée de travail.
        • Assurez-vous que les employés ont des contenants sûrs pour entreposer les documents imprimés (p. ex. classeur avec serrure).
        • Verrouillez votre poste de travail chaque fois que vous vous en éloignez.
        • Utilisez des ordinateurs portables cryptés.
        • Sécurisez votre ordinateur portatif et vos appareils lorsque vous ne les utilisez pas.
        • Ne partagez pas les mots de passe ou ne laissez pas les autres utiliser votre compte.
        • Mettez à jour vos mots de passe régulièrement et utilisez toujours une combinaison de majuscules, de minuscules, de chiffres et de symboles.
        • Avant d’accéder aux renseignements, assurez-vous que vous, ou la personne qui demande d’y avoir accès, a un besoin de savoir et a signé le Document sur la confidentialité fourni par l’administrateur de données.
        • Ne sortez jamais des fichiers de données de Statistique Canada du milieu de travail.
        • N’entreposez pas de renseignements de Statistique Canada sur des appareils personnels.
        • N’envoyez pas de fichiers de données de Statistique Canada par courriel. Utilisez des liens vers des dossiers accessibles uniquement à des utilisateurs autorisés.
        • Détruisez les documents imprimés contenant des informations protégées en utilisant des méthodes sécuritaires comme des déchiqueteuses. Ne mettez pas ces documents imprimés dans des bacs de recyclage.
        • Conservez les données de Statistique Canada à l’écart de tout renseignement utilisé dans un processus de prise de décisions au sujet de toute personne, entreprise ou organisation.
        • Signalez immédiatement toute atteinte possible à la sécurité.
        • Faites valoir la sécurité en tant que priorité et sensibilisez les employés à la confidentialité.
        • Effectuez régulièrement des vérifications de sécurité.
        • Posez vos questions à l’administrateur de données ou au représentant qui peut communiquer avec Statistique Canada au besoin.

        Foire aux questions

        • Gestion des ententes

          Qui est le représentant de l’organisme destinataire?

          Le représentant représente l’organisme destinataire, et est responsable, comme il est indiqué dans l’entente, de veiller à la conformité avec les modalités de l’entente.

          Qui est l’administrateur de données?

          L’administrateur de données est un employé de l’organisme destinataire, qui est désigné par le représentant de l’organisme destinataire, tel que requis par l’entente, pour assumer des responsabilités en ce qui concerne la confidentialité des renseignements et l’accès aux renseignements, et pour le maintien des registres des fichiers reçus, tel qu’énoncé dans l’entente.

          Voir Tâches de l’administrateur de données.

          Qui sont les utilisateurs autorisés?

          Les utilisateurs autorisés sont des membres du personnel, y compris les entrepreneurs, de l’organisme destinataire, dont les responsabilités actuelles liées au travail exigent un accès aux fichiers de données de Statistique Canada, à des fins statistiques et de recherche seulement.

          Pourquoi les ententes sont-elles signées par le chef de l’organisation – cette tâche peut-elle être déléguée?

          Le signataire pour Statistique Canada est le statisticien en chef du Canada. Il s’agit d’une obligation légale de la Loi sur la statistique et elle ne peut être déléguée.

          Le signataire pour l’organisme destinataire est l’équivalent du statisticien en chef, comme le chef de la direction, le président ou un autre niveau semblable. Toute exception à ce niveau équivalent du signataire de l’organisme destinataire exige l’approbation du statisticien en chef.

          Les deux signatures doivent être faites devant témoin, qui signe pour attester avoir été témoin de la signature. Il n’y a pas de restriction quant aux personnes qui peuvent être témoins des signatures, même s’il s’agit habituellement du chef de cabinet pour Statistique Canada.

          Pourquoi Statistique Canada n’accepte-t-il pas de modifications aux modalités de l’entente?

          Les conditions des ententes de partage des données de Statistique Canada ont été examinées par des conseillers juridiques du gouvernement du Canada pour assurer la conformité avec les dispositions de la Loi sur la statistique pour le partage et la protection des données confidentielles, et elles ont été approuvées par le statisticien en chef du Canada.

          Ces conditions établies assurent l’uniformité pour toutes les organisations qui reçoivent des données confidentielles de Statistique Canada.

          Pourquoi les nouvelles ententes sont-elles d’une durée de six ans?

          Les nouvelles ententes ont une durée de vie de six ans pour assurer le maintien des connaissances de l’entente et de son contenu, et le respect continu des conditions.

          Avant l’expiration de l’entente, l’organisme destinataire peut déterminer qu’il a encore besoin des renseignements et décider de demander de renouveler pour une autre période de six ans.

          Les conditions fixes de l’entente de six ans offrent également l’occasion de déterminer de nouveaux besoins en matière de données.

          L’une ou l’autre partie peut opter pour une résiliation anticipée.

        • Accès et utilisation des données

          Qui peut avoir accès aux fichiers de données reçues de Statistique Canada et dans quelles conditions?

          Tout employé de l’organisme destinataire ayant un besoin de savoir lié à ses fonctions peut avoir accès aux données pour utilisation à des fins statistiques. Tous les employés doivent signer un Document sur la confidentialité dans lequel ils acceptent de se conformer aux conditions relatives à la protection, l’accès et l’utilisation des renseignements.

          En vertu de conditions spécifiques, l’administrateur de données peut également accorder l’accès aux renseignements à des chercheurs ainsi qu’à des instituts ou organismes de recherche provinciaux, territoriaux ou universitaires, sur une base contractuelle, à des fins statistiques, ainsi qu’à des services de gestion de l’information et de technologie de l’information (GI-TI), à des fins de soutien en GI-TI.

          Que sont les travaux à des fins statistiques et de recherche?

          Les données reçues de Statistique Canada en vertu d’une entente de partage des données ne peuvent servir qu’à des fins statistiques et de recherche.
          Le travail à des fins de statistiques et de recherche peut être décrit en quatre étapes.

          1. Production de produits statistiques : Utiliser des renseignements et mettre en œuvre de spécifications détaillées pour produire des produits statistiques tels que des totalisations de données ou des coefficients de régression.
          2. Analyse statistique visant à déterminer si les produits sont utilisables : Déterminer, d’un point de vue statistique, si le produit statistique est approprié compte tenu de ses utilisations prévues.
          3. Détermination de l’état du produit au regard de la confidentialité : Déterminer si le produit statistique peut, pris isolément ou en combinaison avec des publications de Statistique Canada et/ou d’autres renseignements publics, permettre d’identifier une personne ou révéler des renseignements à son sujet. Les produits statistiques sont classés comme étant de nature confidentielle ou non confidentielle.
          4. Utilisation des produits statistiques : Tout produit statistique défini comme étant confidentiel ne peut être divulgué ou utilisé à des fins administratives ou réglementaires. Aucune restriction n’est imposée en ce qui concerne l’utilisation des produits statistiques définis comme non confidentiels. Ces produits peuvent donc être utilisés, entre autres, à des fins d’élaboration et d’évaluation de politique, de même qu’à des fins de surveillance et de réglementation. Les produits statistiques non confidentiels peuvent être publiés ou distribués par l’organisme destinataire.

          Les organismes destinataires peuvent consulter Statistique Canada pour s’assurer qu’aucun renseignement confidentiel ne sera diffusé ou utilisé à des fins administratives ou réglementaires.

          Qu’entend-on par fins administratives ou réglementaires?

          Les données reçues de Statistique Canada en vertu d’une entente de partage des données ne peuvent être utilisées à des fins administratives ou réglementaires.

          Une fin administrative ou réglementaire est l’utilisation de toutes les formes de renseignements au sujet d’une personne, d’une entreprise ou d’une organisation dans un processus décisionnel qui touche directement cette personne, cette entreprise ou cette organisation. Cela comprend, sans s’y limiter, toute utilisation des renseignements en vue de confirmer l’identité (c.-à-d. à des fins d’authentification et de vérification), de déterminer l’admissibilité d’une personne à un programme, ainsi qu’à des fins de poursuite et d’imposition de pénalité. Les organismes destinataires ne sont pas autorisés à utiliser les renseignements à des fins administratives ou réglementaires. Ils ne peuvent communiquer avec une personne pour régler toute question cernée à partir des renseignements fournis en vertu de la présente entente. Cela comprend les communications susceptibles d’être bénéfiques pour une personne, par exemple pour l’informer de prestations ou de programmes auxquels elle pourrait avoir droit, ou les communications visant l’application d’une disposition à l’encontre de la personne, par exemple pour effectuer une vérification ou supprimer des prestations touchées par la personne à partir des renseignements.

          Les renseignements peuvent-ils être partagés avec d’autres organismes dans le cadre d’un projet mutuel ou d’une initiative mutuelle?

          L’organisme destinataire peut permettre l’accès aux renseignements transmis par Statistique Canada à un autre organisme, pour autant que :

          • chacun ait conclu une entente de partage des données avec Statistique Canada pour la même enquête et pour la même période de référence, comme ce qui est précisé dans l’entente, et que l’entente soit toujours en vigueur;
          • les renseignements ne contiennent pas de réponses à l’enquête de répondants qui se sont opposés au partage de données avec l’autre organisme;
          • l’autre organisme répond aux mêmes exigences juridiques et contractuelles que la partie qui les reçoit.
        • Données et confidentialité

          Qu’est-ce que le Document sur la confidentialité?

          Le Document sur la confidentialité, préparé par l’administrateur de données pour utilisation par les utilisateurs autorisés, présente les conditions régissant l’utilisation des renseignements transmis par Statistique Canada, ainsi que les procédures pour transmettre, recevoir, traiter et conserver les renseignements. Tous les utilisateurs autorisés doivent signer le Document sur la confidentialité avant d’accéder aux renseignements.

          Quelles données peuvent être partagées en vertu d’une entente de partage de données?

          Seules les données et les paradonnées des enquêtes énumérées dans l’entente, pour la période de référence précisée, peuvent être partagées avec l’organisme destinataire. Conformément aux dispositions de la Loi sur la statistique, les répondants doivent avoir été informés du partage de leurs renseignements et doivent avoir eu la possibilité de s’y opposer. En raison de cette obligation juridique, il se peut que l’organisme ne reçoive pas tous les renseignements recueillis par Statistique Canada pour l’enquête en question.

          Les données historiques peuvent-elles être fournies en vertu d’une entente de partage des données?

          Les données historiques ne peuvent pas être fournies si les répondants à ces enquêtes n’ont pas été avisés du partage des données et n’ont pas eu la possibilité de s’opposer au partage de leurs renseignements. Statistique Canada peut uniquement partager les données et les paradonnées provenant des enquêtes énumérées dans l’entente, pour la période de référence précisée, et ne peut partager les données des répondants qui se sont opposés au partage de leurs renseignements.

          Qu’est-ce que les données administratives, et peuvent-elles être partagées?

          Les données administratives comprennent toute forme de renseignements figurant dans des documents ou archives conservés dans un ministère ou dans un bureau municipal, une personne morale, entreprise ou organisation et fournis à Statistique Canada dans le cadre de son mandat en application de la Loi sur la statistique. Les données administratives peuvent être partagées avec les organismes destinataires seulement lorsque le statisticien en chef et l’organisation les ayant recueillis à l’origine ont autorisé une telle divulgation, conformément à la Loi sur la statistique.

          Que sont les paradonnées?

          Les paradonnées sont les renseignements relatifs au processus de collecte ou de production des données de l’enquête qui sont liés à un répondant, ce qui comprend sans s’y limiter l’indication qu’une personne, une entreprise ou un organisme a été sélectionné ou non dans un échantillon, le poids d’échantillonnage attribué à chacun, l’indication qu’ils ont répondu ou non à l’enquête, ou qu’ils aient consenti au partage des données ou au couplage des enregistrements ou s’y soit opposé. Les paradonnées sont fournies uniquement pour les répondants qui ne se sont pas opposés à la communication de leurs renseignements.

          Que sont des réponses à l’enquête?

          Les réponses à l’enquête sont les réponses individuelles à l’enquête fournies par chaque répondant, avec ou sans identificateurs et réponses imputées ne provenant pas d’autres enquêtes ou de sources de données administratives confidentielles. Les identificateurs sont communiqués s’ils sont requis pour répondre aux objectifs statistiques de l’organisme destinataire.

          Qu’est-ce qu’un identificateur?

          Un identificateur est le nom, l’adresse, le numéro de téléphone ou tout autre moyen permettant d’identifier directement une personne.

        • Sécurité

          Quelles sont les exigences en matière de sécurité requises à l’organisme destinataire?

          Statistique Canada est tenu de protéger les renseignements conformément à la Politique sur la sécurité du gouvernement. Ainsi, Statistique Canada veille au respect de mesures de sécurité matérielle conformes aux spécifications de la Gendarmerie royale du Canada et de mesures de sécurité de la TI conformes aux spécifications du Centre de la sécurité des télécommunications Canada .

          L’organisme destinataire doit fournir une protection semblable aux fichiers de données de Statistique Canada, et doit répondre aux exigences minimales en matière de sécurité.

          Qu’est-ce que le Service de transfert électronique de fichiers (STEF)?

          Ce service permet à Statistique Canada d’échanger des fichiers électroniques avec les organismes destinataires par l’intermédiaire d’une connexion Internet sécurisée. Le système lui-même est sécuritaire, grâce à un chiffrement des renseignements au sein du STEF. Lorsque Statistique Canada transfère des fichiers à l’organisme destinataire, une couche supplémentaire de chiffrement est ajoutée (c.-à-d. double chiffrement) afin de s’assurer que l’administrateur de données est le seul qui puisse ouvrir les fichiers partagés en vertu de leur entente et y avoir accès.

          Que sont les Méthodes de contrôle d’accès logique?

          Dans le cadre de ses exigences en matière de sécurité minimale, Statistique Canada exige que des Méthodes de contrôle d’accès logique soient utilisées pour imposer un niveau suffisant d’identification, d’authentification et de responsabilité en ce qui a trait à

          l’accès à un système informatique. Les Méthodes de contrôle d’accès logique comprennent :

          • des comptes d’utilisateurs individuels;
          • des mots de passe complexes (minimum de huit (8) caractères, minuscules et majuscules, chiffres, caractères spéciaux);
          • un accès en fonction du rôle (privilégié ou non privilégié);
          • de la vérification.

          Que sont des systèmes?

          Des systèmes sont des appareils informatiques uniques, une composante d’un tel appareil ou un groupe d’appareils informatiques pouvant servir à recevoir, à stocker, à traiter ou à transmettre des renseignements. Il peut s’agir entre autres d’ordinateurs personnels, de serveurs, d’ordinateurs portatifs, de tablettes, de téléphones intelligents, d’ordinateurs virtuels et de systèmes en nuage. Tous les systèmes donnant accès aux renseignements utilisent des Méthodes de contrôle d’accès logique, au niveau de l’appareil et du réseau.

          Qu’est-ce qu’un support transportable?

          Un support transportable est tout type de support transportable sur lequel des données peuvent être sauvegardées, y compris sans s’y limiter, les ordinateurs portatifs, les CD-ROM, les clés USB, les supports de sauvegarde et les disques durs amovibles. Lorsque les renseignements sont conservés sur des supports transportables, des mots de passe complexes avec chiffrement conforme aux normes à jour du Centre de la sécurité des télécommunications doivent être utilisés.

        Modèles pour les Administrateurs de données

        Document sur la confidentialité
        Registre de réception de fichiers de données
        Registre d’accès aux fichiers de données

        Pour en savoir plus

        Courriel : statcan.statisticsactloisurlastatistique.statcan@canada.ca

        Date de modification :