Vérification des accords de partage de données :
Ministère de la Santé et des Soins de longue durée de l'Ontario

Rapport de vérification

Date du rapport : Mars 2012
Numéro de projet : 80590-68

  • Sommaire exécutif
    • Principales constatations
    • Conculsion générale
    • Conformité aux normes professionnelles
  • Introduction
    • Contexte
    • Objectifs de la vérification
    • Portée
    • Approche
    • Autorité
  • Constatations, recommandations et réponses de la direction
    • Environnement de contrôle pour la gestion des APD
    • Pratiques et procédures pour la protection et la sauvegarde des données confidentielles de Statistique Canada
    • Gérance des données
  • Annexe
    • Annexe A : Critères de vérification

Sommaire exécutif

Les APD sont un processus opérationnel clé. Ces dernières années, la gestion du partage des données a pris de l'ampleur et est devenue un domaine de plus en plus complexe à gérer. La protection de la confidentialité des données présente un défi. À l'heure actuelle, Statistique Canada a quatre APD portant sur des enquêtes sur la santé, en vertu de l'article 12 de la Loi sur la statistique, avec le Ministère de la Santé et des Soins de longue durée de l'Ontario (le Ministère). Le Ministère peut partager les données avec des tiers, comme les régions sociosanitaires relevant de sa compétence, des chercheurs dans des instituts ou des organismes de recherche reconnus au niveau provincial ou universitaire, l'Institut de recherche en services de santé de l'Ontario et Action Cancer Ontario.

Afin de protéger la confidentialité et la nature délicate des données recueillies, les APD comprennent des modalités et conditions pour veiller à ce que la confidentialité des données ne soit pas compromise.

Cette vérification vise à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :

  • les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.

La vérification a été effectuée par les Services de vérification interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Les rôles et responsabilités sont officiellement définis et communiqués et il existe une séparation efficace des fonctions pour la gestion des données confidentielles et des ententes contractuelles de Statistique Canada, tant à Statistique Canada qu'au Ministère. Une matrice de délégation des pouvoirs au Ministère précise le niveau de pouvoirs requis pour partager des données avec des tiers. Le Ministère inclut une clause de vérification dans tous les accords contractuels avec des tiers prévoyant le partage de données identifiables. Le Ministère prévoit entreprendre des vérifications des « processus » en 2012, afin d'évaluer la conformité aux exigences comprises dans ses accords. Des pratiques et des procédures officielles sont en place pour s'assurer que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite. Des contrôles efficaces de l'accès aux locaux et aux espaces d'entreposage du Ministère sont en place. Des contrôles d'accès logique et des pratiques efficaces conformes à la politique du Ministère concernant les mesures d'identification et d'authentification sont en place et fonctionnent comme prévu.

Une évaluation des privilèges d'accès électronique aux fichiers de données de Statistique Canada au Ministère a révélé qu'il existe des possibilités de raffermir les contrôles de l'accès, en fournissant des privilèges d'accès aux employés selon le principe du besoin de savoir. Un contrôle permanent doit être assuré par le Ministère pour veiller à ce que les privilèges d'accès aux fichiers de données de Statistique Canada soient à jour et accordés aux employés autorisés uniquement.

Conclusion générale

Statistique Canada a conclu des accords de partage de données statistiques avec le Ministère pour l'appuyez et contribuer à la planification des services de santé et à la prise de décisions. Le partenariat entre Statistique Canada et le Ministère fait en sorte que la confidentialité des données est assurée.

Le Ministère dispose de pouvoirs délégués clairs, de responsabilités définies et de voies de communication précises pour appuyer la gestion efficace des modalités et conditions des APD entre lui et Statistique Canada. Des pratiques et des procédures officielles pour la gestion des données et la gestion de l'information sont en place au Ministère, pour s'assurer que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite. Il existe des contrôles et des mesures de protection efficaces pour l'accès aux locaux et aux espaces d'entreposage du Ministère, l'identification et l'authentification, ainsi que l'entreposage et la transmission des TI, afin d'empêcher les pertes, vols, violations ou divulgations inappropriées.

Il existe des possibilités de resserrer les contrôles de l'accès électronique, par exemple : 1) fournir des privilèges d'accès aux fichiers de données de Statistique Canada aux employés, selon le principe du besoin de savoir, et 2) assurer un surveillance permanente des privilèges d'accès aux fichiers des données de Statistique Canada, pour veiller à ce qu'ils soient à jour et qu'ils soient accordés aux employés autorisés uniquement.

Conformité aux normes professionnelles

Cette mission de vérification est conforme aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes de vérification internes du gouvernement du Canada. Des tests suffisants ont été effectués pour appuyer les constatations et les recommandations connexes.

Patrice Prud'homme
Dirigeant principal de la vérification
Services de vérification interne, Statistique Canada

Introduction

Contexte

La Division de la statistique de la santé (DSS) à Statistique Canada a le mandat de fournir des données exactes, à jour et pertinentes concernant la santé des Canadiens. La DSS fournit des données statistiques au sujet de la santé de la population, des déterminants de la santé, ainsi que de la portée et de l'utilisation des ressources de soins de santé au Canada. Ces données servent à appuyer les planificateurs et les décideurs dans le domaine de la santé, à tous les niveaux de l'administration publique, à soutenir les recherches démographiques et épidémiologiques, et à rendre des comptes au public canadien au sujet du système de santé et des soins de santé collectifs. La DSS travaille en partenariat avec les registraires provinciaux et territoriaux de la statistique de l'état civil et les registres du cancer, ainsi que les fournisseurs et les utilisateurs de données au niveau fédéral (Santé Canada et Agence de la santé publique du Canada), au niveau provincial (ministères provinciaux de la Santé) et au niveau régional (régions sociosanitaires).

Pour mener à bien son mandat, la DSS conclut des accords de partage de données (APD) statistiques avec d'autres organisations, en vertu des articles 11 et 12 de la Loi sur la statistique. Ces accords englobent la presque totalité des enquêtes auprès des entreprises et une majorité d'enquêtes auprès des ménages, et font l'objet de certaines exceptions concernant la diffusion des renseignements confidentiels sur les répondants, avec ou sans leur consentement, à la condition que toutes les parties respectent les exigences prévues par la loi en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsqu'il entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage de données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.

Les APD sont un processus opérationnel clé. Ces dernières années, la gestion du partage des données a pris de l'ampleur et est devenue de plus en plus complexe. À l'heure actuelle, Statistique Canada a quatre APD portant sur des enquêtes sur la santé, en vertu de l'article 12 de la Loi sur la statistique, avec le Ministère de la Santé et de Soins de longue durée de l'Ontario (le Ministère). Il s'agit des suivantes :

  1. Enquête sur la santé dans les collectivités canadiennes (ESCC)
  2. Enquête sur la santé dans les collectivités canadiennes – Nutrition (ESCC Nutrition)
  3. Enquête nationale sur la santé de la population (ENSP)
  4. Enquête sur les personnes ayant une maladie chronique au Canada (EPMCC).

L'ESCC est une enquête transversale qui recueille des données concernant l'état de santé, l'utilisation des soins de santé et les déterminants de la santé de la population canadienne. Il s'agit d'une enquête annuelle qui dépend d'un vaste échantillon de répondants et qui est conçue pour fournir des estimations fiables au niveau de la région sociosanitaire. L'ESCC Nutrition est une enquête ponctuelle servant à recueillir des données au niveau provincial sur l'état nutritionnel global de la population canadienne. Son objectif premier est de fournir des renseignements fiables et à jour concernant l'apport alimentaire, le bien être nutritionnel et leurs déterminants clés, en vue d'éclairer et de guider les programmes, politiques et activités des gouvernements fédéral et provinciaux et des services de santé locaux. Le caractère unique de ces enquêtes vient de la nature régionale du contenu et de la mise en œuvre. Ces aspects permettent l'analyse des données sur la santé au niveau régional, dans l'ensemble du Canada.

L'ENSP est une enquête longitudinale qui fournit des renseignements uniques concernant la santé des Canadiens. Tous les deux ans, les mêmes personnes fournissent des données à jour et approfondies sur leur état de santé physique et mental, leur utilisation des services de soins de santé, leurs activités physiques, leur vie au travail et leur environnement social. L'enquête permet de recueillir des données sur la santé de la population canadienne et des données sociodémographiques connexes. Santé Canada, l'Agence de la santé publique du Canada et les ministères provinciaux utilisent les données longitudinales de l'ENSP pour la planification.

L'EPMCC est parrainée par l'Agence de la santé publique du Canada et vise à évaluer les répercussions du diabète et des problèmes respiratoires (asthme et bronchopneumopathie chronique obstructive) sur la qualité de vie, ainsi qu'à fournir plus de renseignements sur la façon dont les Canadiens gèrent leurs problèmes de santé chroniques. Des données ont été recueillies à l'automne 2010 et au printemps 2011, et environ 6 500 personnes dans les dix provinces ont été interviewées.

Les données sont utilisées de façon exhaustive par la collectivité des chercheurs et d'autres professionnels de la santé. Les ministères fédéraux et provinciaux de la santé et des ressources humaines, les organismes de services sociaux et d'autres types d'organismes gouvernementaux utilisent les données recueillies auprès des répondants pour planifier, mettre en œuvre et évaluer les programmes, en vue d'améliorer la santé et l'efficacité des services de santé. Des organismes de santé sans but lucratif et des chercheurs universitaires utilisent les données pour la recherche de façons d'améliorer la santé.

Objectifs de la vérification

L'objectif de la vérification consiste à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) de Statistique Canada l'assurance que :

  • les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.

Portée

La portée de cette vérification comprend un examen des modalités et conditions prévues dans les quatre APD pour assurer la protection de la confidentialité et de la nature délicate des données recueillies. La vérification a été axée sur la protection de la confidentialité et de la sécurité (accès, entreposage et transmission des TI, espaces d'entreposage et copie, ainsi que conservation de l'information et gestion des dossiers) au Ministère, afin de veiller à ce que les données soient protégées et la confidentialité soit assurée.

Le Ministère peut partager les données avec des tiers, comme les régions sanitaires relevant de sa compétence, des chercheurs dans des instituts ou des organismes de recherche reconnus au niveau provincial ou universitaire, l'Institut de recherche en services de santé de l'Ontario et Action Cancer Ontario. Afin de protéger la confidentialité et la nature délicate des données recueillies, les APD comprennent des modalités pour veiller à ce que la confidentialité des données ne soit pas compromise.

Approche

Une visite a été effectuée au Ministère, afin d'évaluer les procédures en place pour faire en sorte que les modalités des APD entre Statistique Canada et le Ministère soient respectées. L'approche comprenait des entrevues avec les cadres supérieurs et le personnel clé, ainsi qu'un examen, une revue et une mise à l'essai des processus ou des procédures en place au Ministère, pour s'assurer que les modalités et conditions des APD entre Statistique Canada et le Ministère sont respectées, en mettant l'accent sur l'existence d'exigences en matière de sécurité, la conformité à ces exigences et le maintien de la confidentialité des données.

Autorité

La vérification a été menée en vertu des pouvoirs prévus dans le Plan pluriannuel de vérification axé sur les risques de Statistique Canada, pour 2011 – 2012 et 2013 – 2014, approuvé en mars 2011 par le Comité ministériel de vérification.

Constatations, recommandations et réponses de la direction

Champ d'enquête : Les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées.

Environnement de contrôle pour la gestion des APD

Les rôles et responsabilités sont officiellement définis, communiqués et mis en pratique. Il existe une séparation efficace des fonctions pour la gestion des données confidentielles et des ententes contractuelles de Statistique Canada, tant à Statistique Canada qu'au Ministère. Une matrice de délégation des pouvoirs au Ministère précise le niveau de pouvoirs requis pour partager des données avec des tiers. Le Ministère inclut une clause de vérification dans tous les accords prévoyant le partage de données identifiables. Le Ministère prévoit entreprendre des vérifications des « processus » en 2012, afin d'évaluer la conformité aux exigences comprises dans ses accords.

Des pouvoirs délégués clairs, des responsabilités définies et des voies de communication précises à l'appui de la gestion efficace des modalités et conditions des APD devraient exister pour assurer l'efficacité et l'efficience des opérations. Il devrait exister un contrôle du rendement opérationnel pour déceler les erreurs ou les erreurs possibles susceptibles de faire augmenter le risque opérationnel.

Pouvoirs
Statistique Canada exerce son mandat qui consiste à conclure des accords de partage de données (APD) statistiques avec d'autres organisations, en vertu des articles 11 et 12 de la Loi sur la statistique.

Le Ministère exerce son mandat qui consiste à conclure des accords contractuels pour les fichiers de données des enquêtes sur la santé de Statistique Canada avec des tiers compris dans les APD de Statistique Canada avec le Ministère (p. ex., 36 unités de santé publique (USP) en Ontario, 14 réseaux locaux d'intégration des services de santé (RLISS) de l'Ontario, l'Institut de recherche en services de santé (IRSS) de l'Ontario, Action Cancer Ontario (ACO), et des chercheurs indépendants d'instituts/d'organismes de recherche provinciaux et universitaires reconnus, en vertu des articles 29, 39 et 45 de la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario.

Rôles et responsabilités et séparation des fonctions
La vérification a permis de déterminer que les rôles et les responsabilités sont officiellement définis, communiqués et mis en pratique. Il existe une séparation efficace des fonctions pour la gestion des données confidentielles de Statistique Canada et des ententes contractuelles, tant à Statistique Canada qu'au Ministère.

À Statistique Canada, trois divisions ont la responsabilité fonctionnelle de l'administration et de la gestion des APD .

  • La Division de la gestion de l'information (DGI) (anciennement appelée Division des services d'accès et de contrôle des données (SACD)), de concert avec la Division des services juridiques, négocie et élabore les APD , afin de faire en sorte que les modalités et conditions englobent les dispositions requises en vertu de l'article 12 de la Loi sur la statistique et des articles 18.1 et 45 de la LPRPS de l'Ontario et s'y conforment.
  • Les Services à la clientèle de la DSS assurent la liaison entre le Ministère et Statistique Canada pour la préparation des fichiers de données d'enquêtes sur la santé, en vue de leur transmission au Ministère.
  • La Division des systèmes et de l'infrastructure de collecte (DSIC) supervise le processus de transfert électronique de fichiers, afin d'assurer le transfert sécuritaire des données chiffrées de Statistique Canada au Ministère.

Au Ministère, trois directions de la Division de la gestion de l'information et de l'investissement pour le système de santé ont la responsabilité fonctionnelle de l'administration et de la gestion des données des enquêtes sur la santé de Statistique Canada.

  • La Direction des stratégies et politiques de gestion de l'information (DSPGI), de concert avec la Direction des services juridiques, négocie, élabore et gère toutes les ententes contractuelles entre le Ministère et les tiers.
  • La Direction analytique en matière de santé (DAS) est chargée de recevoir tous les fichiers de données des enquêtes sur la santé de Statistique Canada, de les analyser et d'assurer le soutien de première ligne des services à la clientèle et aux USP, aux RLISS et à ACO .
  • La Direction des données sur la santé (DDS) est chargée de préparer tous les fichiers de données en vue de leur transmission à des tiers et d'assurer le soutien de première ligne des services à la clientèle à l'IRSS et aux chercheurs indépendants des instituts et organismes de recherche.

Délégation des pouvoirs
Le Ministère dispose d'une matrice de délégation des pouvoirs datée du 20 septembre 2010. Le sous ministre adjoint (SMA) doit approuver toutes les ententes avec des tiers comportant l'accès à des données identifiables, et les directeurs approuvent l'accès aux données non identifiables. La vérification a permis de sélectionner de façon aléatoire et de passer en revue 13 accords sur 36 avec les USP (36 %) et cinq accords sur 14 avec les RLISS (36 %), ainsi que chacun des accords avec l'IRSS et ACO, et a noté que tous les accords étaient approuvés par le SMA, Division de la gestion de l'information et de l'investissement pour le système de santé, et respectaient la délégation des pouvoirs.

Accords contractuels
Chaque type d'accord autorise le partage de données anonymes ou synonymes. Les données anonymes sont des données dont toutes les composantes identifiables ont été supprimées. Les données synonymes sont des données dont toutes les composantes identifiables ont été chiffrées avant le partage. Deux conseillers principaux à la DSPGI gèrent tous les accords contractuels entre le Ministère et les tiers. L'un d'eux est responsable des USP, des RLISS , de l'IRSS et d'ACO, et le deuxième, des chercheurs indépendants des instituts et organismes de recherche.

Les accords suivants sont en place entre le Ministère et des tiers pour les fichiers de données des enquêtes sur la santé de Statistique Canada :

  1. Accord sur la protection des données personnelles pour une entité déterminée (ED). Il existe un accord avec l'IRSS portant sur les données de l'ESCC et de l'ENSP et un accord avec ACO portant sur les données de l'ESCC, conformément aux APD de Statistique Canada avec le Ministère. L'ED doit avoir mis en place des pratiques et des procédures approuvées par le Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario, afin d'assurer la protection de la vie privée des personnes dont les données personnelles sur la santé sont reçues et de maintenir la confidentialité de ces données.
  2. Accords de partage de données. Des accords de partage de données sont en place avec chacune des 36 USP en Ontario et couvrent les données de l'ESCC, conformément aux APD de Statistique Canada avec le Ministère.
  3. Accord sur les données anonymes. Il existe un accord sur les données anonymes avec chacun des 14 RLISS en Ontario, qui couvre les données de l'ESCC, conformément aux APD de Statistique Canada avec le Ministère.

Des accords avec des tiers ont été passés en revue, afin d'assurer leur conformité aux modalités et conditions des APD de Statistique Canada, en mettant l'accent sur la gestion de la confidentialité et de la sécurité (accès, entreposage et transmission des TI, espaces d'entreposage et copie, ainsi que conservation de l'information et gestion des dossiers), grâce à la sélection aléatoire de 13 des 36 accords avec les USP (36 %), cinq des 14 accords avec les RLISS (36 %) et chacun des accords avec l'IRSS et ACO.

La vérification a permis de noter que les accords du Ministère avec les USP, les RLISS, l'IRSS et ACO sont conformes aux modalités des APD de Statistique Canada en ce qui a trait à la gestion de la confidentialité et de la sécurité.

Des pouvoirs délégués clairs, des responsabilités définies et des voies de communication à l'appui de la gestion efficace des modalités des APD sont en place et respectés et permettent des opérations efficientes et efficaces.

Surveillance
La surveillance est prescrite par Statistique Canada dans deux clauses de vérification comprises dans les APD. Les clauses sont les suivantes : « le droit d'examiner, à n'importe quel moment et à ses propres frais, la conformité du Ministère aux conditions établies dans le présent accord, au moyen d'une vérification ou d'un examen de programme » et demander au Ministère de vérifier les tiers « par suite d'une demande raisonnable de Statistique Canada ».

Le Ministère inclut une clause de vérification dans tous les accords prévoyant le partage de données identifiables.

Le Ministère prévoit entreprendre des vérifications des « processus » en 2012. Un document de processus a été élaboré et comprend des modèles de lettres, des listes de vérification, des questionnaires de vérification, etc. pour la tenue d'une vérification des « processus ». Même si les vérifications de « processus » n'ont pas commencé dans les faits, le Ministère a fait la démonstration de la mise en œuvre de contrôles compensatoires, par exemple, la formation de ses employés ou des tiers concernant les exigences en matière de sécurité, la communication d'un rappel concernant les exigences de sécurité avant la transmission d'un fichier de données, l'obtention du consentement requis par écrit de Statistique Canada, avant de conclure des accords avec des chercheurs des instituts et des organismes de recherche, et le maintien d'une collaboration permanente avec ses partenaires.

Le Ministère fait l'objet d'une supervision par le Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario, qui est autorisé à délivrer un pouvoir d'ordonnance exécutoire à la réception d'une plainte officielle en ce qui a trait aux données personnelles détenues par le gouvernement et par tous les praticiens et organisations de soins de santé. Le pouvoir d'ordonnance exécutoire prévoit la conformité à la LPRPS.

Les APD de Statistique Canada avec le Ministère comportent une disposition faisant état des exigences, pour le cas où un accès non autorisé se produirait. Aucun incident d'accès non autorisé n'a été signalé à Statistique Canada par le Ministère. Il existe une disposition similaire dans les accords contractuels du Ministère, et ce dernier a de la documentation décrivant le processus à suivre dans le cas d'une violation et détermine les rôles et responsabilités des principaux intervenants. Aucun incident d'accès non autorisé n'a été signalé au Ministère par des tiers.

Pratiques et procédures pour la protection et la sauvegarde des données confidentielles de Statistique Canada

Des pratiques et des procédures officielles sont en place pour s'assurer que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite.

L'existence de pratiques et de procédures officielles pour la gestion des risques liés à l'utilisation non autorisée, à la divulgation, à la perte ou au vol de données par le Ministère ferait en sorte que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite.

Gestion des données
Au niveau du programme, la DSS de Statistique Canada est responsable du transfert sécuritaire des fichiers de données des enquêtes sur la santé à une seule personne-ressource autorisée au Ministère. Les Services à la clientèle de la DSS préparent les fichiers de données et en assurent la protection au moyen d'un mot de passe, en vue de leur transmission par la DSIC au moyen du transfert électronique de fichiers. Après accusé de réception des fichiers de données par la personne-ressource autorisée, les Services à la clientèle de la DSS envoient le mot de passe par courriel ou par télécopieur. Un registre de contrôle est maintenu et comporte une liste des organisations, des noms des personnes-ressources, des fichiers de données et des dates d'envoi et de réception par le Ministère, ainsi que le mot de passe.

Au Ministère, les fichiers de données sont reçus et entreposés dans un répertoire « restreint » dans un serveur réservé, dont l'accès est limité aux employés autorités. Les fichiers de données sont par la suite entreposés dans un répertoire « partagé » dans le serveur réservé, en vue de leur utilisation par les employés autorisés. L'accès au répertoire et aux dossiers et fichiers connexes comprenant les données de Statistique Canada peut être accordé uniquement par la personne-ressource autorisée qui reçoit les fichiers de données de Statistique Canada et doit être approuvé par la DAS et la Direction du groupement TI pour les services de santé

La préparation et la distribution des fichiers de données à des tiers sont organisées et menées par deux directions du Ministère. La DAS prépare et distribue les fichiers aux USP, aux RLISS, à l'IRSS et à ACO, et la DDS prépare et distribue les fichiers pour les chercheurs des instituts et des organismes de recherche.

Les fichiers de données sont transmis à des tiers sur disques compacts (CD). Les CD sont envoyés uniquement après confirmation du nom de la personne-ressource chez les tiers. Ce n'est que sur réception de cette confirmation que le CD leur est envoyé par messager. Le mot de passe est envoyé à part par télécopieur ou par courriel, après confirmation de la réception du CD. Un registre de contrôle est maintenu et comprend le nom des personnes-ressources, la date d'envoi et de réception du CD et la date d'envoi du mot de passe, ainsi que la date d'accusé de réception par courriel. Les renseignements renvoyés au Ministère par des tiers doivent être chiffrés, zippés et mis sur CD.

Gestion de l'information
Les chercheurs indépendants dans un institut ou un organisme de recherche doivent remplir un formulaire de demande faisant état de leur projet de recherche, de ses objectifs et des besoins des données. Chaque demande doit être accompagnée d'un sceau d'approbation du Comité d'éthique et de la recherche (CER) de l'université. Chaque demande fait l'objet d'une analyse rigoureuse des données, afin de veiller à ce que seuls les renseignements répondant aux objectifs du programme ou du projet de recherche soient diffusés, et que seuls les renseignements concernant un projet autorisé en vertu du mandat du Ministère soient diffusés. L'accès aux données pour ces demandeurs est généralement limité à une période de trois ans. La vérification a permis de noter qu'à l'heure actuelle il n'existe pas d'accords contractuels avec des chercheurs indépendants dans des instituts ou des organismes de recherche en Ontario.

Les accords contractuels avec les USP et les RLISS ont été renouvelés sur une base annuelle jusqu'à l'an dernier. Les nouveaux accords signés en 2010 ne comportent pas de date d'expiration, afin de réduire le fardeau administratif. On dépend maintenant de la mise en place de voies de communication et de rapports bien établis au niveau opérationnel pour assurer la protection et la sauvegarde des données confidentielles.

La vérification comprenait une mise à l'essai des fichiers des répondants à l'ESCC de 2010 en Ontario distribués aux USP, aux RLISS, à l'IRSS et à ACO, en vue de vérifier leur conformité aux modalités des APD de Statistique Canada. Les tests menés dans le cadre de la vérification ont révélé ce qui suit :

  • La variable personnelle du jour de naissance du répondant et les identificateurs géographiques des petites régions compris dans le fichier de données préparé en vue de sa distribution aux RLISS ont été supprimés, afin que les répondants ne puissent être identifiés, et la colonne comportant une liste des numéros d'assurance-maladie a été chiffrée au moyen d'un identificateur séquentiel unique.
  • Le fichier de données préparé en vue de sa distribution aux USP comprenait aussi l'identificateur séquentiel unique, avec un numéro d'assurance-maladie chiffré. Les USP peuvent accéder aux données sans lien avec les noms, adresses, numéros de téléphone et numéros d'assurance-maladie.
  • Le fichier de données préparé pour ACO ne comprenait pas d'identificateurs personnels, une évaluation menée par le Ministère relativement aux besoins d'ACO ayant révélé qu'ils étaient inutiles.
  • Le fichier de couplage avec les identificateurs (numéros d'assurance-maladie) est uniquement envoyé à l'IRSS.

La vérification a permis de conclure que les fichiers des répondants à l'ESCC de 2010 en Ontario distribués aux USP, aux RLISS, à l'IRSS et à ACO étaient conformes aux modalités et conditions des APD de Statistique Canada.

Des pratiques et des procédures officielles pour la gestion des risques liés à l'utilisation non autorisée, à la divulgation, à la perte ou au vol de données sont en place, afin que la direction détermine les risques liés à la protection et à la sauvegarde des données confidentielles de Statistique Canada et y donne suite.

Gérance des données

Des contrôles efficaces de l'accès aux locaux et aux espaces d'entreposage du Ministère sont en place. Des contrôles d'accès logique et des pratiques efficaces conformes à la politique du Ministère concernant les mesures d'identification et d'authentification sont en place et fonctionnent comme prévu. Une évaluation des privilèges d'accès électronique aux fichiers de données de Statistique Canada au Ministère a révélé qu'il existe des possibilités de resserrer les contrôles de l'accès des employés, selon le principe du besoin de savoir des employés, et un contrôle permanent est assuré par le Ministère pour veiller à ce que les privilèges d'accès aux fichiers de données de Statistique Canada soient à jour et accordés uniquement aux employés autorisés.

Les données fournies au Ministère sont désignées comme des données « Protégées B », conformément à la définition de la Politique sur la sécurité du gouvernement fédéral. Le Ministère doit veiller à ce que le contrôle et la protection des renseignements matériels ou électroniques soit assuré de façon à protéger contre la perte, le vol, la violation ou la divulgation inappropriée. L'accès devrait être accordé uniquement aux employés selon le principe du besoin de savoir dans le cadre de leurs fonctions.

Accès aux locaux et aux espaces d'entreposage du Ministère
Une inspection des locaux a été menée dans deux emplacements du Ministère au cours de l'étape de l'examen de la vérification. La vérification a permis de noter que les locaux sont protégés par des portes fermées à clé. Un lecteur de cartes se trouve à l'extérieur de chaque série de portes et l'accès est limité au personnel autorisé doté de cartes d'identité personnelles d'accès. Les toilettes sont situées à l'intérieur de l'aire de bureaux sécurisée et les visiteurs sont escortés par une personne autorisée en tout temps.

Les locaux sont sécuritaires, chaque poste de travail disposant de classeurs dotés de cadenas fonctionnels pour l'entreposage des données confidentielles.

Accès électronique aux fichiers de données
L'accès des employés aux fichiers des enquêtes sur la santé de Statistique Canada est limité selon le principe du besoin de savoir. C'est le cas pour toutes les données de nature très délicate qui sont traitées par le Ministère. À l'heure actuelle, le Ministère compte environ 100 ensembles de données qui comprennent des données de Statistique Canada.

Les fichiers d'enquête originaux reçus de Statistique Canada sont entreposés dans un répertoire « restreint » et leur accès est limité à quelques analystes de la DAS. Les fichiers de données sont copiés et entreposés dans un répertoire « partagé » dans le serveur réservé et l'accès est accordé uniquement aux employés autorisés. Un registre de contrôle comprenant les noms des lecteurs et des dossiers et fichiers connexes, ainsi que les noms des employés qui sont autorisés à y accéder, sert à assurer le suivi de l'accès aux fichiers de données des enquêtes sur la santé de Statistique Canada.

Dans le cadre de la vérification, on a vérifié si ce sont les employés figurant dans le registre de contrôle qui avaient l'accès au lecteur « restreint ». Les noms des employés figurant dans un rapport des TI de la Direction du groupement TI pour les services de santé ont été comparés aux noms des employés du registre de contrôle. Tous les noms des employés correspondaient, sauf un. L'enquête a révélé qu'il existait de la documentation de soutien pour la demande de changement, mais que le registre de contrôle n'avait pas été mis à jour pour rendre compte du changement.

Dans le cadre de la vérification, on a vérifié les privilèges d'accès au répertoire « restreint » et au répertoire « partagé » pour trois employés de la DSPGI , étant donné que cette dernière ne figurait pas parmi les directions ayant des privilèges d'accès. Dans le cadre de la vérification, on a souligné que les trois employés n'avaient pas accès au répertoire « restreint » mais avaient accès au répertoire « partagé » et à tous les dossiers connexes du répertoire. Toutefois, étant donné qu'aucun de ces employés n'avait d'application SAS ou SPSS à son ordinateur personnel, ils ne pouvaient pas ouvrir les fichiers.

Mesures d'identification et d'authentification, entreposage et transmission des TI
Dans le cadre de la vérification, on a vérifié les contrôles d'accès logique, les délais de fermeture automatique et l'entreposage des fichiers de données dans les ordinateurs personnels de deux employés. Des contrôles d'accès logique et des pratiques efficaces conformes à la politique sur les mesures d'identification et d'authentification au Ministère sont en place et fonctionnent comme prévu. L'examen des lecteurs des ordinateurs personnels des deux employés ont révélé qu'aucun fichier de données n'y était entreposé.

La politique du Ministère ne recommande pas l'entreposage ou la transmission de données de nature très délicate au moyen de supports d'information amovibles, comme des CD et des clés de mémoire. La transmission au moyen de supports d'information amovibles est autorisée en cas d'urgence seulement, et des instructions détaillées sont fournies dans la politique sur la transmission de données de nature très délicate sur supports d'information amovibles. La transmission par courriel n'est pas recommandée non plus, mais si elle se produit, les fichiers doivent être zippés et protégés au moyen d'un mot de passe. On a souligné que, compte tenu de la taille des fichiers de données, la transmission par courriel ne serait pas possible. On utilise un réseau privé virtuel (RPV) pour chiffrer et transférer de façon sécuritaire les données sur Internet.

Les fichiers de données sont zippés, protégés au moyen d'un mot de passe et copiés sur des CD. On utilise un mot de passe différent pour les fichiers de données de l'ESCC et ceux de l'ENSP, chaque fois qu'ils sont distribués. Un nouveau mot de passe est créé pour chaque nouveau projet de chercheur indépendant dans un institut ou un organisme de recherche. Le mot de passe est envoyé par télécopieur ou par courriel à la personne-ressource sur accusé de réception du CD. Les employés du Ministère doivent entreposer tous les fichiers de données dans le serveur désigné, et non pas dans leurs ordinateurs personnels, et ils ne peuvent sortir de fichiers du bureau.

Conservation de l'information et gestion des dossiers
La responsabilité globale de la conservation de l'information et de la gestion des dossiers pour le Ministère relève du Bureau du directeur général de l'information et de la protection de la vie privée. Le Ministère gère un calendrier de conservation des dossiers à ses propres fins pour les fonds de données particuliers qu'il crée et dont il est responsable, par exemple, OHIP. Il n'a pas de calendrier similaire pour les données qu'il reçoit de Statistique Canada, ni de politique sur la conservation de l'information et la gestion des dossiers.

Il n'y a pas d'exigence pour la conservation de l'information dans les APD de Statistique Canada avec le Ministère. La DSS à Statistique Canada appuie la conservation des données jusqu'à la « fin de leur utilisation ».

Le Ministère conserve tous les CD et tous les fichiers originaux reçus de Statistique Canada, pour pouvoir s'y reporter.

Des contrôles efficaces de l'accès aux locaux et aux espaces d'entreposage du Ministère sont en place. Une gestion efficace conforme à la politique du Ministère concernant les mesures d'identification et d'authentification est en place et fonctionne comme prévu. Toutefois, il existe des possibilités de raffermir les contrôles de l'accès électronique des employés, selon le principe du besoin de savoir, et un contrôle permanent doit être assuré par le Ministère pour veiller à ce que l'accès électronique soit accordé aux employés autorisés uniquement.

Recommandations

Le statisticien en chef adjoint (SCA), Secteur de la statistique sociale, de la santé et du travail, devrait communiquer avec le Ministère pour assurer la mise en œuvre des éléments suivants :

  • l'accès des employés aux fichiers de données de Statistique Canada dans les répertoires « partagés » est limité selon le principe du besoin de savoir;
  • le contrôle permanent des privilèges d'accès aux fichiers de données de Statistique Canada dans le répertoire « partagé » est à jour et accordé aux employés autorisés uniquement.

Réponse de la direction

La direction est d'accord avec les recommandations.

  • Tous les six mois, le directeur de la DSS demandera au Ministère de fournir un rapport faisant état des employés qui ont accès au lecteur partagé et attestant que ces employés ont légitimement besoin de prendre connaissance de ces données.
    Produits livrables et échéance : Rapport du Ministère tous les six mois.

Annexe

Annexe A : Critères de vérification
Champ d’enquête/
Contrôle clé
Critère
Les modalités et conditions des accords de partage de données (APD) entre Statistique Canada et le Ministère sont respectées, avec un accent sur la confidentialité des données.
Reddition de comptes
  1. Les responsabilités sont officiellement définies et clairement communiquées.
  2. Les pouvoirs sont officiellement délégués, en fonction des responsabilités de chacun. Au besoin, les fonctions incompatibles ne sont pas combinées.
Gestion des risques
  1. Les risques sont déterminés, tant au niveau du programme que de la région, et tiennent compte des environnements interne et externe du Programme des CDR.
  2. Des processus et des lignes directrices officiels existent, afin de faciliter l'évaluation des contrôles en place pour gérer les risques déterminés.
Services axés sur les citoyens
  1. Il existe des mécanismes de communication officiels pour appuyer le partage des données, ainsi que des procédures de suivi pour favoriser les idées et les commentaires.
  2. Les dossiers, renseignements et données sont dûment protégés, conformément aux dispositions législatives sur la protection des renseignements personnels.
Gérance
  1. L'accès aux données est limité aux personnes autorisées et fait l'objet de contrôles de sécurité appropriés, en conformité avec les dispositions législatives sur la protection de la vie privée.
  2. L'accès est limité.
  3. Des procédures pour sauvegarder les données partagées, par suite de changements dans les fonctions d'un employé, existent et sont respectées.
  4. Il existe des procédures pour protéger l'utilisation des données contre les abus ou les fraudes.
  5. Il existe des contrôles d'accès logique pour faire en sorte que l'accès aux systèmes et aux données soit limité aux utilisateurs autorisés, par exemple, le système exige un mot de passe et un code d'utilisateur pour ouvrir une session.
  6. Il existe des procédures pour assurer l'efficacité des mécanismes d'authentification et d'accès et elles sont appliquées.
  7. La responsabilité en matière de rapports est claire et elle est communiquée et appliquée en conséquence.
  8. Des rapports complets, précis, pertinents et à jour sont produits au besoin.
  9. Les processus sont compris et respectés.
  10. Dans le cas des services fournis par des tiers, le Ministère a mis en œuvre un programme pour contrôler leurs activités.
Résultats et rendement
  1. La responsabilité du contrôle est claire et communiquée et les résultats sont communiqués aux niveaux d'autorisation requis.
  2. Une surveillance active est démontrée.
Date de modification :