Rapport de vérification
13 novembre 2012
Numéro de projet : 80590-72
- Sommaire
- Introduction
- Contexte
- Objectifs de la vérification
- Portée
- Approche et méthodologie
- Autorité
- Conclusions, recommandations et réponses de la direction
- Sécurité des technologies de l'information
- Sécurité matérielle
- Administration des contrats de recherche pour l'utilisation de microdonnées et contrôle de la confidentialité
- Annexes
- Annexe A : Critères de vérification
- Annexe B : Acronymes
Sommaire
Le Centre de données de recherche (CDR) de l'Université de l'Alberta est l'un des 24 CDR situés sur les campus d'universités à travers le Canada. Ces CDR ont été mis sur pied par Statistique Canada, le Conseil de recherches en sciences humaines du Canada, les Instituts de recherche en santé du Canada et des consortiums d'universités dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CDR de l'Université de l'Alberta faisait partie du groupe de neuf CDR qui ont ouvert leurs portes en 2001; il est situé au troisième étage de la bibliothèque Rutherford de l'Université de l'Alberta. En 2011, le nombre de contrats conclus par le CDR a connu une croissance de près de 44 %. Cette année-là, environ 59 chercheurs ont accédé en moyenne chaque mois à des données par l'entremise du CDR de l'Université de l'Alberta.
Les CDR sont dotés d'employés de Statistique Canada et sont exploités en vertu de la Loi sur la statistique. Ils doivent donc avoir en place des mesures de sécurité pour protéger la confidentialité des données dans la même mesure que si elles se trouvaient dans les locaux de Statistique Canada.
La vérification visait à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université de l'Alberta :
- respecte les politiques et normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services;
- dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
La vérification a été effectuée par les Services de vérification interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
Le centre de données de recherche (CDR) de l'Université de l'Alberta met en place des mesures de sécurité des TI et de sécurité matérielle efficaces pour assurer la protection de l'accès, de l'identification et de la confidentialité des renseignements statistiques de nature délicate. L'accès au CDR de l'Université de l'Alberta est limité au personnel autorisé, c'est-à-dire les personnes réputées être employées, les chercheurs ayant un contrat de recherche pour l'utilisation de microdonnées (CRM) valide et le personnel de soutien des TI de l'université.
La vérification a révélé qu'il pourrait encore être possible de renforcer l'environnement de contrôle des TI en s'assurant que la fonction de fermeture automatique de session des postes de travail des chercheurs soit activée afin de garantir l'efficacité de ce mécanisme de contrôle.
La vérification a aussi révélé que les documents décrivant les procédures relatives à l'utilisation des dispositifs électroniques personnels dans les CDR n'étaient pas cohérents. Plusieurs documents énonçaient des procédures différentes, allant d'une autorisation à une interdiction complète. La décision des mesures à appliquer revient au personnel du CDR.
Les rôles, les responsabilités et les obligations redditionnelles sont définis et communiqués dans les secteurs suivants : administration des contrats de recherche pour l'utilisation de microdonnées, contrôle de confidentialité, sécurité matérielle et sécurité des TI dans le CDR.
Les pouvoirs sont officiellement délégués au niveau du programme et des opérations. Des processus et des procédures sont en place pour le contrôle de confidentialité et les demandes de contrôle de confidentialité sont administrées et évaluées avec soin par l'analyste du CDR, afin de veiller à ce que la confidentialité des données ne soit pas compromise. Des mesures de sécurité matérielle et d'accès aux TI pertinentes, ainsi que des mesures de protection de l'identification et de l'authentification, sont en place et sont appliquées pour la sauvegarde et la protection des données confidentielles de Statistique Canada.
Conclusion générale
Les mesures de sécurité matérielle et d'accès aux TI, ainsi que les mesures de protection de l'identification et de l'authentification, sont conformes aux politiques et normes pertinentes du SCT et de Statistique Canada. Les contrats de recherche pour l'utilisation de microdonnées sont gérés comme il se doit et le processus de propositions de recherche est efficace. Les processus et procédures en matière de contrôle de confidentialité des produits en place sont appropriés et efficaces et permettent de garantir la confidentialité des renseignements statistiques de nature délicate.
Les résultats de la vérification ont fait ressortir des possibilités d'amélioration des pratiques et des mécanismes en place pour que la confidentialité des données soit protégée dans la prestation des services. Les secteurs à améliorer sont les suivants : 1) assurance que la fonction de fermeture automatique de session des postes de travail inactifs est activée; 2) cohérence des procédures et des pratiques concernant l'utilisation de dispositifs électroniques personnels dans le CDR.
Conformité aux normes professionnelles
La vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, selon les résultats du Programme d'assurance et d'amélioration de la qualité.
Patrice Prud'homme
Dirigeant principal de la vérification
Introduction
Contexte
Les décideurs doivent avoir une compréhension à jour et approfondie de la société canadienne, non seulement pour répondre aux besoins de l'heure, mais aussi pour prévoir les besoins futurs. Cela entraîne une demande croissante à l'égard des produits analytiques découlant des riches sources de données recueillies par Statistique Canada.
En 1998, dans le cadre de l'Initiative canadienne sur les statistiques sociales, on a examiné les défis auxquels fait face la collectivité des chercheurs au Canada. Dans son rapport sur l'avancement de la recherche utilisant les statistiques sociales, le groupe de travail national recommandait notamment de créer des installations de recherche pour améliorer l'accès des chercheurs universitaires aux fichiers de microdonnées de Statistique Canada.
Les centres de données de recherche (CDR) font partie d'une initiative de Statistique Canada, du Conseil de recherches en sciences humaines (CRSH), des Instituts de recherche en santé du Canada (IRSC) et de consortiums d'universités dans le but de renforcer la capacité en recherche sociale du Canada et de soutenir le milieu de la recherche sur les politiques. Le CRSH est l'organisme fédéral qui assure la promotion et le soutien de la recherche universitaire et de la formation en sciences sociales et humaines. Les IRSC sont le principal organisme fédéral chargé du financement de la recherche en santé au Canada.
Au total, 24 CDR sont installés dans un environnement protégé sur les campus d'universités canadiennes et permettent aux chercheurs d'accéder à des microdonnées découlant d'enquêtes sur la population et auprès des ménages. Les chercheurs n'ont pas à se rendre à Ottawa pour accéder aux microdonnées de Statistique Canada. Un Centre fédéral de données de recherche (CFDR) situé à Ottawa permet aux chercheurs d'avoir accès aux microdonnées de ministères stratégiques fédéraux.
Les CDR permettent de donner une vue d'ensemble du paysage social canadien, d'offrir des installations de recherche en sciences sociales partout au pays dans les grandes collectivités comme dans les petites, de former une nouvelle génération de spécialistes canadiens dans le domaine de la recherche quantitative en sciences sociales et d'accroître la collaboration entre Statistique Canada et les intervenants – le CRSH, le Réseau canadien des centres de données de recherche (RCCDR), les IRSC et les chercheurs universitaires.
Les CDR sont dotés par des employés de Statistique Canada et sont exploités en vertu de la Loi sur la statistique; ils sont en outre tenus d'exercer leurs activités en conformité des règles et restrictions établies par Statistique Canada en matière de protection de la confidentialité et d'accès (p. ex., seuls des chercheurs dont le projet a été approuvé et ayant prêté serment à titre de « personnes réputées être employées » en vertu de la Loi sur la statistique peuvent avoir accès à un CDR).
L'accès aux microdonnées fait l'objet d'une demande croissante de la part des chercheurs universitaires et gouvernementaux de l'extérieur de Statistique Canada. La Division de l'accès aux microdonnées (DAM) offre un accès restreint à des microdonnées confidentielles par l'entremise des CDR des universités partout au pays et du CDR fédéral à Ottawa. Elle est aussi responsable de veiller à la confidentialité des renseignements fournis par les Canadiens.
En vertu du plan de vérification axé sur les risques de Statistique Canada, les Services de vérification interne doivent effectuer la vérification d'un CDR par année. En 2010, une vérification visant à examiner la gouvernance générale de tous les CDR a été menée; l'exercice comprenait une visite dans cinq CDR. En 2011, les centres de données de recherche des Prairies (Université de Calgary et Université de Lethbridge) ont fait l'objet d'une vérification. Le CDR de l'Université de l'Alberta est le deuxième à faire l'objet d'une vérification axée sur un CDR particulier. Cette vérification ajoutera de la valeur en veillant à ce que les mesures de protection de la confidentialité soient respectées et efficaces.
Objectifs de la vérification
Les objectifs de la vérification sont de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que le CDR de l'Université de l'Alberta :
- respecte les politiques et normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services;
- dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
Portée
La vérification comprenait un examen détaillé des systèmes et des pratiques du CDR de l'Université de l'Alberta en matière de protection des données, d'utilisation des technologies et de sécurité matérielle.
La vérification a été axée sur l'analyse des risques de divulgation et le contrôle de confidentialité des données par les employés de Statistique Canada sur place, le statut de personne réputée être employée et les exigences en matière d'autorisation de sécurité pour l'accès aux microdonnées, le processus des propositions de recherche des CDR, l'administration des contrats de recherche pour l'utilisation de microdonnées (CRM), la sécurité matérielle dans les locaux du CDR conformément aux politiques et normes pertinentes du SCT et de Statistique Canada, et la protection des TI conformément aux politiques et normes pertinentes du SCT et de Statistique Canada.
Approche et méthodologie
Le travail sur le terrain a été exécuté en deux étapes, la première ayant consisté en la réalisation d'entrevues et en l'examen et l'évaluation des processus et procédures relatifs à la sécurité matérielle, à l'utilisation des technologies et à la protection des données. La deuxième étape a pris la forme d'une visite sur place au CDR de l'Université de l'Alberta afin de vérifier les contrôles de protection des fichiers de microdonnées, y compris l'accès logique et les contrôles de sécurité informatique, et de mener des tests de conformité des centres pour évaluer les mesures de sécurité matérielle en place. L'administration des CRM et le contrôle de confidentialité ont aussi été vérifiés pour s'assurer que des mécanismes de contrôle appropriés sont en place.
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes (IVI) et de la Politique sur la vérification interne du Conseil du Trésor.
Autorité
La vérification a été menée en vertu des pouvoirs prévus dans le Plan pluriannuel de vérification axé sur les risques pour 2012-2013 à 2014-2015 de Statistique Canada recommandé par le Comité ministériel de vérification en avril 2012 et approuvé ensuite par le statisticien en chef.
Conclusions, recommandations et réponses de la direction
Secteur d'intérêt n° 1 : Le CDR de l'Université de l'Alberta respecte les politiques et les normes du SCT et de Statistique Canada en vigueur en ce qui concerne la sécurité des technologies de l'information et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
Sécurité des technologies de l'information
Les rôles et responsabilités au niveau du programme et de la région sont définis et communiqués.
Des essais concernant les mesures de protection de l'accès, de l'identification et de l'authentification ont révélé que de telles mesures sont en place et sont efficaces.
L'évaluation des mesures de protection des systèmes et des communications a révélé qu'il existe des possibilités de renforcer l'environnement informatique en veillant à ce que la fonction de fermeture automatique de session soit activée sur tous les postes de travail des chercheurs du CDR.
La sécurité des technologies de l'information dans les CDR doit être conforme aux politiques pertinentes du SCT, comme les Normes de sécurité opérationnelle : Gestion de la sécurité des technologies de l'information et le Manuel des pratiques de sécurité de Statistique Canada. Les rôles, les responsabilités et les obligations redditionnelles doivent être clairement définis et communiqués. Dans le contexte des CDR, la sécurité des TI doit inclure la protection des systèmes et des communications : des contrôles de sécurité qui appuient la protection du système d'information proprement dit, ainsi que les communications avec ce système; le contrôle de l'accès : des contrôles de sécurité qui permettent d'accorder ou de refuser aux utilisateurs l'accès aux ressources d'un système d'information; et l'identification et l'authentification : des contrôles de sécurité qui appuient l'identification des utilisateurs et l'authentification de ces utilisateurs lorsqu'ils tentent d'accéder au système d'information.
Rôles et responsabilités
La vérification a révélé qu'au niveau du programme, les pouvoirs fonctionnels sont officiellement délégués au gestionnaire/directeur du Programme des CDR et, au niveau régional, à l'analyste du CDR. L'analyste du CDR de l'Université de l'Alberta relève du gestionnaire régional du CDR, qui se trouve à Winnipeg, alors que l'adjoint statistique relève de l'analyste à temps plein du CDR.
La Sécurité du Bureau (SB) et les Services de technologie informatique au bureau central de Statistique Canada prodiguent orientation et directives en matière de sécurité des TI et de sécurité matérielle. Ils réalisent les inspections de la sécurité matérielle et de la sécurité des TI dans les CDR et fournissent des recommandations au directeur/gestionnaire du Programme des CDR. La première inspection de la sécurité des TI et de la sécurité matérielle au CDR de l'Université de l'Alberta a eu lieu juste avant l'ouverture du centre en 2001. Une deuxième inspection a été faite en février 2011. Des inspections périodiques de chaque CDR sont prévues tous les quatre ans.
Mesures de protection du système et des communications
L'environnement informatique au CDR de l'Université de l'Alberta a été récemment mis à niveau et le nouveau serveur utilise un système d'exploitation MAC. Il est situé dans une armoire protégée, dans le CDR. Le serveur est configuré en mode autonome avec Open Directory et fait appel à une liste de contrôle d'accès (norme ACL [Access Control List] de l'industrie) pour l'octroi des privilèges d'accès. Outre un lien au réseau étendu (RE), le serveur n'a pas de connexion externe. Il n'est donc pas possible d'accéder au serveur depuis l'extérieur du CDR. Les données qui se trouvent sur le serveur sont par ailleurs stockées en mode RAID (de l'anglais Redundant Array of Independent Disks, regroupement redondant de disques indépendants), une méthode de stockage en vertu de laquelle les données sont découpées en blocs et enregistrées sur plusieurs disques durs. Le mode RAID offre un niveau de sécurité supérieur; si un ou même plusieurs des disques durs du serveur étaient volés, il serait impossible de répliquer les données.
Huit postes de travail autonomes sont mis à la disposition des chercheurs. Ces postes ne sont pas reliés à l'Internet (seuls les employés du CDR ont accès à l'Internet, dans le bureau de l'analyste), et aucun système d'exploitation ou programme n'y est installé. Ces postes de travail font partie d'un système de clients lourds virtualisés. Au démarrage, le système BIOS (de l'anglais Basic Input/Output System, système élémentaire d'entrée/sortie) envoie une requête directement au serveur pour obtenir une image.
L'examen des configurations des postes de travail réalisé dans le cadre de la vérification a révélé que les ports USB sont désactivés et que les ports Ethernet sont configurés en fonction des numéros de série des postes de travail. Ainsi, si un autre dispositif est branché dans un port Ethernet, celui-ci est automatiquement désactivé et doit être rétabli manuellement. Les postes de travail des chercheurs ne sont pas configurés pour permettre l'impression, et les chercheurs ne peuvent pas changer les paramètres de configuration de l'imprimante car ils sont verrouillés.
La fermeture automatique de session des postes de travail était fixée à 10 minutes. Toutefois, la vérification a révélé que cette fonction de verrouillage ne fonctionnait pas; après 10 minutes, un écran de veille s'affichait mais la session de l'utilisateur ne se verrouillait pas. Il n'était donc pas nécessaire d'entrer un mot de passe pour réactiver la session, ce qui accroît le risque d'accès non autorisé aux microdonnées confidentielles de Statistique Canada à partir des postes de travail non occupés.
Mesures de protection de l'accès, de l'identification et de l'authentification
Les procédures précisent que des comptes d'utilisateurs doivent être créés uniquement lorsqu'un contrat est approuvé et devient actif; l'accès doit être supprimé si le compte est inactif. En outre, la configuration des mots de passe doit être conforme aux normes établies par Statistique Canada. La création de comptes d'utilisateur et l'octroi de l'accès aux fichiers de microdonnées étaient étayés par des contrats actifs approuvés pour tous les contrats échantillonnés.
L'analyste du CDR et le personnel de soutien des TI affecté au CDR détiennent les privilèges administratifs. À la demande de l'analyste, le personnel de soutien des TI crée des codes d'utilisateur et des comptes et définit les droits d'accès aux ensembles de données. L'analyste du CDR et le personnel de soutien des TI effectuent ensuite des essais pour s'assurer que les chercheurs peuvent accéder uniquement aux ensembles de données précisés dans le CRM. Les chercheurs ne peuvent pas consulter des données qui ne sont pas prévues dans leur CRM, et ne peuvent pas déplacer des fichiers d'un projet à l'autre. La configuration des mots de passe au CDR de l'Université de l'Alberta est conforme aux normes de Statistique Canada.
Dans le cadre de la vérification, les mesures de contrôle de l'accès ont été mises à l'essai par un examen des trois éléments suivants :
- les codes d'utilisateur;
- la liste de contrôle d'accès par enquête;
- la liste de contrôle d'accès par numéro de projet.
On comptait 74 codes d'utilisateurs actifs au CDR de l'Université de l'Alberta; sept servaient à des fins administratives et les 67 autres ont été validés pour s'assurer qu'ils étaient associés à des contrats en vigueur. L'équipe de vérification a constaté que lorsqu'un même chercheur est associé à plus d'un projet de recherche, un code d'utilisateur distinct lui est attribué pour chaque projet.
Un sous-échantillon de 29 chercheurs a été établi à partir des 71 chercheurs dont les noms figuraient dans les 26 contrats échantillonnés afin de s'assurer que seuls des chercheurs ayant un contrat en vigueur ont un code d'utilisateur valide et qu'ils peuvent accéder uniquement aux données précisées dans leur CRM. La vérification a révélé que neuf codes d'utilisateur actifs étaient associés aux 26 contrats (huit codes d'utilisateur étaient associés aux ensembles de données figurant dans des CRM en vigueur et un code d'utilisateur avait été établi sans être associé à un ensemble de données, en attendant que le contrat final soit signé). Sept autres chercheurs du sous-échantillon avaient un contrat en vigueur dont le chercheur principal était rattaché à l'Université de l'Alberta, mais comme ils travaillaient depuis d'autres CDR, ils n'avaient pas de code d'utilisateur au CDR de l'Université de l'Alberta. Les 13 autres noms étaient associés à des contrats échus et n'avaient pas de code d'utilisateur actif.
Les listes de contrôle d'accès par enquête ont été examinées pour s'assurer que seuls des chercheurs ayant un CRM associé aux enquêtes en question étaient autorisés à accéder aux données. Deux enquêtes ont été sélectionnées pour la validation. Les listes de contrôle d'accès pour ces enquêtes indiquaient que l'accès était restreint aux codes d'utilisateur de chercheurs autorisés seulement.
Une dernière validation des listes de contrôle d'accès par numéro de projet a été effectuée pour déterminer si les projets avaient été configurés pour autoriser l'accès uniquement aux données associées au projet en question. Deux projets distincts et les codes d'utilisateurs qui y étaient associés ont été examinés dans le cadre de la vérification; cet examen a permis de confirmer que les utilisateurs ne pouvaient pas accéder à des données qui n'étaient pas associées à leur projet.
La vérification a permis de déterminer que des mesures de sécurité des TI pertinentes sont en place et sont appliquées pour la sauvegarde et la protection des données confidentielles de Statistique Canada. Des mesures de protection de l'accès, de l'identification et de l'authentification sont en place dans les CDR et fonctionnent comme prévu.
Recommandations :
Il est recommandé que le statisticien en chef adjoint, Statistique sociale, de la santé et du travail, s'assure que :
- la fonction de fermeture automatique de session sur les postes de travail des chercheurs dans tous les CDR est activée, afin de garantir la sécurité des renseignements statistiques de nature délicate.
Réponse de la direction :
La direction souscrit aux recommandations formulées.
- Le directeur, DAM, veillera à ce que tous les postes de travail soient reconfigurés de façon que la fonction de fermeture automatique de session soit activée.
Produit livrable et échéance : Validation de l'activation de la fonction de fermeture automatique de session sur tous les postes de travail. Cela a été fait. - Le directeur, DAM, veillera à ce que la liste de contrôle des TI fournie dans les lignes directrices sur la vérification de la sécurité des TI, qui fournissent des renseignements pertinents sur les paramètres de sécurité à vérifier et la façon de le faire dans le domaine, les serveurs et les postes de travail, soit mise à jour pour inclure la vérification de la fonction de fermeture automatique de session.
Produit livrable et échéance : La liste de contrôle des TI est mise à jour pour inclure la vérification de la fonction de fermeture automatique des postes de travail. Cela a été fait. Les éléments de la liste de contrôle feront l'objet d'une vérification une fois par session universitaire. - Le directeur, DAM, veillera à ce qu'une fonction de fermeture automatique de session après 10 minutes soit automatiquement activée sur les postes de travail des CDR qui ont migré vers le domaine principal unique par l'application d'un objet de stratégie de groupe à l'échelle du domaine.
Produit livrable et échéance : La gestion centralisée de la fermeture automatique de session sera achevée d'ici mars 2014.
Sécurité matérielle
Les rôles et responsabilités au niveau du programme et de la région sont définis et communiqués.
Des mesures de sécurité matérielle conformes aux politiques et normes pertinentes du SCT et de Statistique Canada sont en place et appliquées pour la sauvegarde et la protection des données confidentielles.
L'évaluation des pratiques et des procédures relatives à l'utilisation, par les chercheurs, de dispositifs électroniques personnels dans les CDR a révélé qu'il existe des possibilités de renforcer l'environnement informatique en veillant à ce que les procédures documentées concernant l'utilisation d'un téléphone cellulaire dans les CDR soient claires et cohérentes.
La sécurité matérielle dans les CDR doit être conforme aux politiques pertinentes du SCT, comme la Politique sur la sécurité du gouvernement (PSG) et le Manuel des pratiques de sécurité de Statistique Canada. Les rôles, les responsabilités et les obligations redditionnelles doivent être clairement définis et communiqués. Dans le contexte des CDR, la sécurité matérielle doit inclure des contrôles concernant l'accès aux locaux, la détection des intrusions et les activités de suivi.
Rôles et responsabilités
La vérification a révélé qu'au niveau du programme, les pouvoirs fonctionnels sont officiellement délégués au gestionnaire/directeur du Programme des CDR et, au niveau régional, à l'analyste du CDR. L'analyste du CDR de l'Université de l'Alberta relève du gestionnaire régional du CDR, qui se trouve à Winnipeg, alors que l'adjoint statistique relève de l'analyste à temps plein du CDR. La Sécurité du Bureau (SB) et les Services de technologie informatique au bureau central de Statistique Canada prodiguent orientation et directives en matière de sécurité matérielle. Ils réalisent des inspections de sécurité matérielle dans les CDR et fournissent des recommandations au directeur/gestionnaire du Programme des CDR. La première inspection de de sécurité matérielle au CDR de l'Université de l'Alberta a eu lieu juste avant l'ouverture du centre en 2001. Une deuxième inspection a été faite en février 2011. Des inspections périodiques de chaque CDR sont prévues tous les quatre ans.
Contrôle de la sécurité du périmètre
Le CDR de l'Université de l'Alberta est situé au troisième étage de la bibliothèque Rutherford de l'Université de l'Alberta. La vérification a révélé que le centre est conforme aux exigences du SCT et de Statistique Canada en ce qui a trait à la sécurité du périmètre, pour ce qui est des « étages partagés », c'est-à-dire la séparation et la construction des murs, ainsi que des portes pleines en bois dotées de quincaillerie et d'accessoires robustes.
Contrôles de sécurité à l'entrée
L'accès au CDR de l'Université de l'Alberta se fait par un point d'entrée unique, afin de permettre un filtrage et des contrôles efficaces par le personnel du CDR. Chaque porte d'entrée est dotée d'une alarme électronique en cas d'intrusion et d'un cadenas dont seuls les membres du personnel du CDR et de la sécurité du campus ont les clés. Cela est conforme aux exigences du SCT et de Statistique Canada.
Contrôles de la sécurité de l'accès
Afin de respecter les exigences du SCT et de Statistique Canada, un système d'accès avec carte à bande magnétique, c'est-à-dire une carte d'identité renfermant des données électroniques permettant d'identifier le détenteur, est en place dans le CDR pour contrôler l'accès aux installations. Le système enregistre toutes les entrées, sorties et tentatives infructueuses, ainsi que le numéro de la carte utilisée, qui est associé à l'utilisateur. Le personnel du CDR peut, au besoin, consulter et imprimer un registre de tous les accès indiquant le numéro de la carte, l'heure et le résultat. Les visiteurs non autorisés ne peuvent pas aller au-delà de la porte d'entrée des installations du CDR. Le système a été mis à l'essai dans le cadre de la vérification et le registre des accès pour quatre jours distincts entre mai et juillet 2012 a été examiné; toutes les entrées, sorties et tentatives infructueuses ont été consignées et associées à des cartes d'accès spécifiques.
Contrôles du câblage de télécommunications et des zones à accès restreint
La vérification a montré que le câblage des TI passe dans les murs et les plafonds du CDR, dans des conduits protégés. Il y a une salle de serveur sécurisée, qui est toujours verrouillée, ainsi que des armoires verrouillées pour l'entreposage des disques compacts et des fichiers archivés des chercheurs, afin de protéger les données confidentielles, classifiées et protégées. L'accès au réseau B est disponible uniquement dans le bureau de l'analyste du CDR. Il y a une salle de réunion distincte à l'intention des chercheurs et du personnel du CDR. L'imprimante et le télécopieur-photocopieur du centre se trouvent dans une pièce distincte, dont la porte est fermée. Les fonctions de télécopie et de numérisation sont en outre limitées; pour les utiliser, il faut entrer un mot de passe que seuls l'analyste et l'adjoint statistique connaissent.
Contrôles de la détection des intrusions et des activités de suivi
Les responsables de la sécurité du campus assurent un contrôle 24 heures sur 24 et sept jours sur sept des installations du CDR. Ces responsables ont une carte d'accès et un code de sécurité pour le système d'alarme. Un système de détection de mouvement est également installé pour améliorer la sécurité. Ce système est en fonction entre 18 h et 7 h. Si l'alarme ou le système de détection de mouvement est déclenché, les responsables de la sécurité du campus en sont informés à titre de premiers répondants. L'analyste du CDR et le directeur universitaire sont ensuite informés.
Les CDR ne peuvent être laissés sans surveillance. Si l'analyste du CDR ou l'adjoint statistique doivent quitter le CDR pendant les heures d'ouverture normales, les chercheurs doivent aussi le faire, la porte doit être fermée à clé et une affiche doit être placée sur la porte.
L'inspection physique du CDR de l'Université de l'Alberta a permis de déterminer que des mesures pertinentes de sécurité matérielle sont en place et sont respectées pour la sauvegarde et la protection des données confidentielles de Statistique Canada et que l'accès au CDR est limité au personnel autorisé, c'est-à-dire les personnes réputées être employées, comme les chercheurs et le personnel de soutien des TI de l'université.
Contrôles des activités de nettoyage et d'entretien
En conformité des exigences du SCT et de Statistique Canada, l'équipe de vérification a confirmé auprès du personnel du CDR que les membres du personnel d'entretien et de nettoyage n'ont pas de carte d'accès au CDR. Le personnel de nettoyage peut accéder au CDR uniquement pendant les heures d'ouverture normales et est escorté par le personnel du CDR.
Utilisation de dispositifs électroniques dans les CDR
La vérification a révélé que la documentation préparée par le CDR concernant l'utilisation de dispositifs électroniques personnels (téléphones cellulaires, assistants numériques personnels, ordinateurs portatifs) dans le CDR n'est pas cohérente. Un document intitulé Security in the RDC (La sécurité au CDR) précise que « les chercheurs ne sont pas autorisés à apporter quelque dispositif électronique personnel que ce soit dans les locaux du centre [traduction libre] ». Le document interne intitulé Description of security measures to protect data (Description des mesures de sécurité visant à protéger les données) indique qu'« il est interdit aux chercheurs d'apporter des dispositifs électroniques à un poste de travail [traduction libre] ». Enfin, le Guide à l'intention des chercheurs remis à tous les chercheurs ayant un CRM signé stipule ce qui suit : « Les chercheurs peuvent apporter des appareils électroniques dans le CDR. Toutefois, ils ne sont pas autorisés à utiliser un appareil de traitement de texte, de messagerie ou de saisie d'images/de texte […] au poste de travail ou dans la zone sécuritaire du CDR. […]. En cas d'urgence, le chercheur peut laisser son téléphone cellulaire ouvert (de préférence en mode de vibration) pendant qu'il est dans le centre. Pour répondre à un appel, le chercheur doit s'éloigner du poste de travail et mener la conversation à l'extérieur de la zone sécuritaire du CDR. »
Les lignes directrices concernant l'utilisation de dispositifs électroniques par les chercheurs dans le CDR auraient avantage à être cohérentes et claires en ce qui concerne les téléphones cellulaires et les autres dispositifs électroniques. La confusion quant au traitement approprié des dispositifs électroniques personnels peut accroître le risque pour la confidentialité des renseignements détenus dans le CDR.
Recommandations :
Il est recommandé que le statisticien en chef adjoint, Statistique sociale, de la santé et du travail, s'assure que :
- les politiques et directives concernant l'utilisation de téléphones cellulaires et d'autres dispositifs électroniques dans les CDR sont cohérentes et définissent clairement les pratiques approuvées.
Réponse de la direction :
La direction souscrit aux recommandations formulées.
- Le directeur, DAM, veillera à ce que les versions plus anciennes des documents des CDR soient mise à jour pour s'assurer que les documents sont conformes au Guide à l'intention des chercheurs en ce qui concerne l'utilisation des téléphones cellulaires dans les CDR.
Produit livrable et échéance : Les documents plus anciens sont mis à jour pour tenir compte des pratiques énoncées dans le Guide à l'intention des chercheurs à propos de l'utilisation de téléphones cellulaires. Cela a été fait. - Le directeur, DAM, veillera à ce que les gestionnaires régionaux rappellent aux analystes des CDR, dans le cadre des communications régionales, les procédures en vigueur en ce qui concerne l'utilisation appropriée des téléphones cellulaires et des dispositifs électroniques.
Produit livrable et échéance : Les gestionnaires régionaux communiqueront aux analystes des CDR les procédures en vigueur concernant l'utilisation appropriée des téléphones cellulaires et des dispositifs électroniques. L'information sera transmise à tous les analystes des CDR au plus tard le 30 novembre 2012.
Secteur d'intérêt n° 2 : Le CDR de l'Université de l'Alberta dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services.
Administration des contrats de recherche pour l'utilisation de microdonnées et contrôle de la confidentialité
Les pouvoirs requis pour l'administration des contrats de recherche pour l'utilisation de microdonnées (CRM) et l'analyse des risques pour la confidentialité sont officiellement délégués au niveau du programme et des opérations, et les rôles et responsabilités sont formellement définis et communiqués.
Les processus, procédures et activités propres à chaque enquête liés au contrôle de la confidentialité des extrants produits par les chercheurs sont efficaces et protègent la confidentialité des données.
Administration des contrats de recherche pour l'utilisation de microdonnées (CRM)
L'administration des CRM comporte un ensemble de responsabilités et de procédures pour contrôler et protéger l'information détenue dans les CDR. Les pratiques mises en œuvre comprennent la restriction de l'accès aux installations aux seuls chercheurs détenant une cote de sécurité valide et un contrat en vigueur, ainsi que l'établissement et la tenue à jour de répertoires de données administratives sur chaque projet de recherche.
Autorité
Le CDR de l'Université de l'Alberta est exploité en vertu des dispositions de la Loi sur la statistique et est administré en conformité des règles de confidentialité qui régissent Statistique Canada. Seuls les chercheurs dont le projet a été approuvé et qui ont prêté serment à titre de « personnes réputées être employées » en vertu de la Loi sur la statistique peuvent avoir accès au CDR.
Rôles et responsabilités
Les rôles et responsabilités relativement à la gestion des CRM, à l'accès aux microdonnées confidentielles et au contrôle de confidentialité sont définis et communiqués à tous les intervenants dans des politiques, lignes directrices, normes et guides détaillés. Au niveau du programme, les pouvoirs sont officiellement délégués au gestionnaire des CDR dans le Manuel des pratiques de sécurité de Statistique Canada, qui stipule que le gestionnaire des CDR est chargé d'établir et de tenir à jour un relevé des renseignements administratifs sur les projets de recherche auxquels prennent part les personnes réputées être employées pour le bureau central, les bureaux régionaux et les centres de données de recherche. Ces renseignements comprennent les propositions de recherche et les autres renseignements acquis tout au long du cycle de vie du projet ainsi que l'attestation signifiant que les formalités prescrites ont été observées.
Tous les renseignements sur les contrats des CDR ont été transférés dans le Système de gestion des relations avec les clients (SGRC). Cette base de données sert à gérer les renseignements sur les CRM et les personnes autorisées à accéder aux microdonnées dans les CDR et au bureau central. Ces renseignements comprennent l'état du contrat, les dates d'approbation, les noms des chercheurs, les noms des examinateurs et les résultats des examens, les dates de fin des contrats et les données que les chercheurs sont autorisés à consulter.
En outre, aux termes de la Politique sur la sécurité des renseignements statistiques de nature délicate, les directeurs doivent contrôler et protéger tous les renseignements statistiques de nature délicate que leur secteur a obtenus ou qu'il garde pour réaliser les objectifs de leur programme. Lorsque l'accès à de tels renseignements est accordé au niveau d'un centre de données de recherche ou d'une entité équivalente, cette responsabilité incombe au gestionnaire, Programme des centres de données de recherche.
Procédures de traitement des contrats
Les CDR sont régis par les dispositions de la Loi sur la statistique en application de toutes les règles de confidentialité. Ce mode d'accès est approprié lorsque le chercheur ne peut trouver de réponse à une question de recherche qu'en procédant à une analyse statistique inférentielle des microdonnées confidentielles. En outre, le chercheur doit être disposé à devenir une « personne réputée être employée » de Statistique Canada ainsi qu'à effectuer l'analyse des données dans le laboratoire informatique protégé du CDR. L'accès au CDR est approprié dans les cas où :
- le chercheur a besoin d'accéder à des variables de nature délicate qui ne sont pas fournies dans les fichiers de microdonnées à grande diffusion (FMGD) pour effectuer son analyse;
- il n'existe pas de FMGD;
- des données longitudinales sont nécessaires à l'analyse;
- l'analyse est de nature complexe et ne convient pas à un autre mode d'accès aux données.
Si l'on détermine que le CDR est le mode d'accès approprié, le chercheur doit préparer un projet de recherche. Le projet précise la portée de la recherche proposée par le chercheur ainsi que les bases des données dont il aura besoin pour son analyse. Dans sa proposition, le chercheur doit préciser la ou les questions et objectif(s) de recherche ainsi que les méthodes statistiques et les logiciels à utiliser dans les analyses.
Les chercheurs potentiels soumettent leurs propositions de recherche qui doivent être évaluées par les pairs suivant l'une de deux procédures suivantes : au Conseil de recherches en sciences humaines (CRSH) ou, dans le cas de travaux liés aux politiques, à l'évaluation par les « coordonnateurs statistiques provinciaux et territoriaux » de la province dans chaque ministère des gouvernements fédéral, provinciaux et territoriaux. Une révision institutionnelle de Statistique Canada accompagne chacun de ces types de demande.
Dans le cas d'un projet assujetti au processus d'examen par les pairs du CRSH, une fois le processus d'examen achevé, le chercheur principal reçoit une lettre du CRSH l'informant de la décision du comité et lui fournissant une copie des commentaires des examinateurs.
Si la proposition est approuvée, la lettre du CRSH demande au chercheur principal de communiquer avec l'analyste du CDR pour amorcer le processus administratif conduisant à l'accès au CDR. Le chercheur dispose de 12 mois à compter de la date de la lettre pour entreprendre le projet; après cette date, l'accès accordé aux fins du projet de recherche prend fin et le chercheur doit présenter une nouvelle demande au CRSH. La proposition approuvée est intégrée au CRM (appelé « le contrat ») conclu entre le chercheur principal et Statistique Canada.
Alors que la proposition établit la portée de la recherche à effectuer en vertu du contrat, le contrat précise les modalités d'accès ci-dessous :
- Objet et portée du projet de recherche tels qu'établis dans la proposition de recherche approuvée;
- Consentement de Statistique Canada à fournir l'accès aux microdonnées confidentielles;
- Consentement des chercheurs à se conformer aux exigences du CDR en matière de sécurité et de confidentialité;
- Consentement du chercheur à effectuer le travail au CDR et à produire des résultats correspondants aux objectifs énoncés dans le projet de recherche;
- Entente en ce qui a trait à la durée du contrat;
- Consentement du chercheur principal à remettre un produit final à Statistique Canada à la fin du contrat.
Avant que Statistique Canada ne signe un CRM, le chercheur qui souhaite avoir accès à un CDR doit devenir une « personne réputée être employée » et faire l'objet d'une enquête de sécurité afin d'obtenir une cote de fiabilité en vertu des paragraphes 5(2) et 5(3) de la Loi sur la statistique, et il doit prêter serment ou affirmation d'office et de discrétion en vertu du paragraphe 6(1) de la Loi sur la statistique. Il doit aussi signer le Code de valeurs et d'éthique de la fonction publique de Statistique Canada. Ces étapes doivent être franchies avant que Statistique Canada ne signe le CRM. Une fois que le chercheur satisfait à ces exigences et qu'il a assisté à une séance d'orientation, il est officiellement une « personne réputée être employée » de Statistique Canada. Les chercheurs des CDR et les autres personnes réputées être employées doivent réaffirmer leur serment de discrétion dans le deux cas suivants : 1) lorsqu'un chercheur souhaite avoir de nouveau accès aux données alors qu'il ne détient aucun contrat actif depuis un an ou plus, ou 2) lorsque la cote de sécurité arrive à expiration.
Le contrat de recherche pour l'utilisation de microdonnées est également signé par Statistique Canada, soit par le gestionnaire du Programme des CDR ou par le directeur de la division chargé de l'enquête. Sur réception de cette signature, le chercheur peut ensuite avoir accès aux microdonnées confidentielles et commencer son analyse des données au CDR.
La vérification a permis de vérifier la conformité aux procédures de traitement des contrats, grâce à l'examen d'un échantillon de vingt contrats terminés ou en cours, ainsi que de six propositions en cours de traitement, approuvées mais en attente d'un contrat final ou retirées, pour le CDR de l'Université de l'Alberta. La vérification a révélé que pour tous les contrats en cours et terminés de l'échantillon, la proposition de projet et une liste d'ensembles de données ainsi qu'une copie signée du CRM et des modifications et révisions qui y ont été apportées figuraient dans le dossier et étaient complets. En ce qui concerne les propositions en attente de contrat ou retirées, des documents attestant de l'examen et de l'approbation de la proposition figuraient aux dossiers. La vérification a aussi révélé des propositions qui ont été approuvées mais dont les extrants finaux ont été rejetés ou ont dû être modifiés, ce qui montre que l'analyse des risques pour la confidentialité se poursuit pendant toute la durée du contrat.
Dans le cadre de la vérification, on a vérifié que tous les documents requis ont été établis et sont valides et signés pour chacun des 71 chercheurs associés aux 26 CRM de l'échantillon. La vérification a révélé que tous les chercheurs avaient signé les formulaires de serment et le Code de valeurs et d'éthique et détenaient une cote de sécurité valide.
Contrôle de confidentialité
Les CDR sont les dépositaires des fichiers de microdonnées de Statistique Canada, qui sont accessibles pour les chercheurs dont les projets sont approuvés. Des processus et des procédures efficaces et appropriées pour le contrôle de confidentialité devraient être en place et appliqués, afin de réduire de façon significative les risques de divulgation non désirée. Le contrôle de confidentialité doit être administré soigneusement par l'analyste du CDR, conformément aux protocoles établis, afin de veiller à ce que la confidentialité des données ne soit pas compromise.
Le contrôle de confidentialité est le processus de filtrage des produits de recherche, de fichiers de syntaxe ou de documents se rapportant aux données confidentielles pour évaluer le risque de divulgation non autorisée. Pour ce faire, on tente de déterminer s'il est possible d'inférer ou de déduire des données d'identification évidentes de cas individuels ou des renseignements concernant des cas individuels, à partir des produits statistiques. Il existe trois types de divulgation : divulgation d'identité; divulgation d'attribut; et divulgation par recoupement.
Rôles et responsabilités
La vérification a confirmé que l'analyste à temps plein du CDR de l'Université de l'Alberta s'acquitte du contrôle de la confidentialité pour le CDR. Elle travaille au CDR depuis son ouverture en 2001 et a des connaissances et de l'expérience concernant les techniques et les logiciels d'échantillonnage statistique. La documentation souligne que la première responsabilité de l'analyste du CDR lorsqu'il procède à un contrôle de confidentialité consiste à s'assurer que des renseignements confidentiels ne sont pas divulgués dans les résultats de recherche qui sortiront du CDR. L'analyste examine tous les documents que le chercheur souhaite sortir du CDR; la responsabilité finale et la décision de sortir du CDR les résultats des analyses lui reviennent.
Le contrôle de confidentialité se fait au moyen des lignes directrices propres aux enquêtes pour toutes les enquêtes auxquelles les CDR donnent accès. Les questions ou préoccupations concernant le processus de contrôle ou les techniques statistiques sont réglées par le gestionnaire régional des CDR ou par le comité de contrôle de confidentialité du CDR.
Les chercheurs reçoivent de la formation pendant leur séance d'orientation concernant le processus de contrôle de confidentialité et les documents requis, y compris les diverses méthodes d'analyse et la façon de remplir le formulaire de demande de divulgation pour chaque demande de produits.
Processus et procédures
Une ébauche de document détaillé et exhaustif intitulé Guide de l'analyse des risques de divulgation à l'intention des analystes des CDR fournit à l'analyste du CDR des instructions détaillées étape par étape, ainsi que des illustrations et des diagrammes, sur la façon de procéder à un contrôle de confidentialité. Des lignes directrices sur l'analyse des risques de divulgation pour les divers types de données et produits descriptifs ou tabulaires, ainsi que des matrices de variance-covariance et de corrélation, des graphiques, des modèles et un exemple de « formulaire de demande de divulgation » sont aussi inclus.
Une partie importante du processus consiste pour les chercheurs à remplir le Formulaire de demande de contrôle de confidentialité (anciennement le Formulaire de demande d'analyse de divulgation), dans lequel ils doivent fournir les renseignements nécessaires à l'analyste pour effectuer un contrôle de confidentialité et consigner la démarche effectuée. Le chercheur doit indiquer le nom du fichier de sortie, le nom de l'enquête et les cycles d'enquête visés par son analyse, les caractéristiques de la population analysée, la méthode statistique, les poids utilisés et, s'il y a lieu, vérifier l'étendue du risque de divulgation par recoupement. Il doit aussi fournir une description des variables sur le formulaire de demande ou dans un document distinct et produire les mêmes extrants avec poids (en appliquant les poids d'échantillonnage) et sans poids (extrants tirés des données brutes) pour appuyer le contrôle de confidentialité. Les analystes s'appuient sur les extrants non pondérés pour confirmer que les résultats satisfont le seuil minimal de répondants nécessaire pour produire des estimations pouvant être diffusées. Une fois le contrôle effectué, les extrants pondérés sont communiqués au chercheur par le CDR.
Les lignes directrices et les processus en matière de contrôle de confidentialité sont énoncés dans le Guide à l'intention des chercheurs. L'impression est acheminée à l'imprimante de réseau, qui est contrôlée par l'analyste du CDR. Du papier de couleur est utilisé pour l'impression, et tout ce qui est imprimé sur du papier de couleur ne peut pas être emporté à l'extérieur du CDR. Ce contrôle permet au personnel du CDR de vérifier visuellement ce qui sort du CDR.
Dans le cadre de la vérification, 16 contrats actifs ou terminés ont fait l'objet d'une vérification afin de s'assurer que des processus et procédures efficaces de contrôle de confidentialité sont en place. Pour trois des contrats de l'échantillon, aucune donnée n'avait fait l'objet d'une demande de contrôle de confidentialité. Pour les 13 contrats associés à des produits exigeant un contrôle de confidentialité, les documents pertinents (c.-à-d. la demande de contrôle de confidentialité, la liste des variables, les extrants pondérés et non pondérés, les données ayant fait l'objet d'un contrôle antérieur et, dans certains cas, les fichiers de syntaxe) figuraient aux dossiers. La vérification a révélé que les dossiers contrôlés connexes renfermaient les preuves à l'appui de l'exécution d'un contrôle de confidentialité pour les 13 contrats, y compris une vérification des fréquences par cellule, l'élimination des extrants non pondérés et la suppression des extrants pondérés lorsque la confidentialité risquait d'être compromise.
La vérification a permis de déterminer que l'analyste du CDR s'assure que les données confidentielles de Statistique Canada ne sont pas compromises en administrant et en évaluant avec soin toutes les demandes de contrôle de confidentialité.
Annexes
Annexe A : Critères de vérification
| Secteur d'intérêt/contrôles de base/critères | Sous-critères | Instrument de politique |
|---|---|---|
| 1) Le CDR de l'Université de l'Alberta respecte les politiques et normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services. | ||
| Gérance | ||
| 1.1 Des contrôles pertinents de la sécurité matérielle et de la sécurité des TI sont en place. (ST-11) | 1.1.1 Des contrôles d'accès logique sont en place pour veiller à ce que seuls les utilisateurs autorisés aient accès aux systèmes, aux données et aux programmes. | SCT – Politique sur la sécurité du gouvernement SCT – Norme sur la sécurité matérielle SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Documents internes des CDR sur la sécurité matérielle et la sécurité des TI |
| 1.1.2 L'accès physique aux installations du CDR est restreint pour la protection des biens de nature délicate. | Politique sur la sécurité des renseignements statistiques de nature délicate SCT – Norme sur la sécurité matérielle Manuel des pratiques de sécurité de Statistique Canada Loi sur la statistique Directive sur la révélation discrétionnaire |
|
| 1.1.3 Des procédures et des mécanismes d'authentification et d'accès sont en place dans les installations du CDR . | Documents internes des CDR sur la sécurité matérielle et la sécurité des TI Politique sur la sécurité des renseignements statistiques de nature délicate Politique sur l'utilisation de personnes réputées être employées Loi sur la statistique Documents internes des CDR sur la sécurité matérielle et la sécurité des TI |
|
| 1.2 Les dossiers, les renseignements et les autres biens de nature délicate sont protégés par des systèmes d'information maintenus conformément aux lois et aux règlements en vigueur. (ST-12) | 1.2.1 Des procédures visant à sauvegarder et à protéger l'utilisation des biens (c.-à-d. utilisation autorisée seulement) sont en place et sont respectées. | Politique sur la sécurité des renseignements statistiques de nature délicate Directive sur la révélation discrétionnaire Documents internes des CDR sur la sécurité matérielle et la sécurité des TI Documents internes des CDR en matière de confidentialité |
| 1.2.2 Les mesures de sécurité matérielle et de sécurité des TI sont conformes aux politiques du SCT et aux politiques et procédures de Statistique Canada pertinentes. | SCT – Directive sur la gestion de la sécurité ministérielle Documents internes des CDR sur la sécurité matérielle et la sécurité des TI Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada SCT – Politique sur la sécurité du gouvernement SCT – Norme sur la sécurité matérielle |
|
| 1.2.3 Les dérogations aux politiques et procédures du SCT et de Statistique Canada sont repérées et les mesures qui s'imposent sont prises. | Politique sur la sécurité des TI de Statistique Canada SCT – Politique sur la sécurité du gouvernement SCT – Norme sur la sécurité matérielle Directive sur la révélation discrétionnaire Manuel des pratiques de sécurité de Statistique Canada |
|
| 1.3 Les gestionnaires ont établi des processus pour élaborer et gérer les ententes, les protocoles d'entente et (ou) les contrats pertinents aux fins du Programme des CDR dans la région. (ST-22) | 1.3.1 Les processus régissant l'accès aux données respectent les politiques pertinentes du SCT et de Statistique Canada en matière de sécurité des TI. | Cadre de responsabilisation de gestion SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Loi sur la statistique Politique sur la sécurité des renseignements statistiques de nature délicate Directive sur la révélation discrétionnaire Politique sur l'utilisation de personnes réputées être employées |
| 1.3.2 Les gestionnaires ont mis en œuvre un programme de surveillance des activités des fournisseurs externes assurant la prestation de services de TI. | SCT – Directive sur la gestion de la sécurité ministérielle Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Documents internes des CDR |
|
| 1.4 Les gestionnaires ont désigné et mis en œuvre des contrôles généraux efficaces des systèmes informatiques des CDR. (ST-23) | 1.4.1 Les responsables hiérarchiques pertinents ont conçu et mis en œuvre des processus, des procédures et des contrôles pour la protection des fichiers de microdonnées de Statistique Canada, y compris :
|
Cadre de responsabilisation de gestion Rapports d'inspection de la sécurité des CDR Manuel des pratiques de sécurité de Statistique Canada |
| 1.4.2 Les contrôles du Programme des CDR de la région comprennent un ensemble de contrôles automatisés et manuels, dont l'efficacité opérationnelle fait périodiquement l'objet d'une vérification. | Rapports d'inspection de la sécurité des CDR Manuel des pratiques de sécurité de Statistique Canada |
|
| 2) Le CDR de l'Université de l'Alberta dispose de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée dans la prestation des services au CDR régional. | ||
| Responsabilisation | ||
| 2.1 Les pouvoirs, les responsabilités et les obligations redditionnelles sont officiellement et clairement définis et communiqués. (AC-1) | 2.1.1 Les responsabilités et les obligations redditionnelles sont officiellement et clairement définies et communiquées aux employés de Statistique Canada, aux chercheurs et aux partenaires des CDR . | Cadre de responsabilisation de gestion Manuel des pratiques de sécurité Documents internes des CDR sur les rôles et les responsabilités Politique sur l'utilisation de personnes réputées être employées Loi sur la statistique Politique sur la sécurité des renseignements statistiques de nature délicate |
| 2.1.2 Tous les documents et ententes pertinents définissent clairement les rôles, les responsabilités et les obligations redditionnelles de toutes les parties en ce qui concerne les CDR et la protection de la confidentialité des données de Statistique Canada. | Modèles de CRM Serment ou affirmation de discrétion Documents sur les valeurs et l'éthique Manuel des CDR à l'intention des chercheurs |
|
| 2.1.3 Les pouvoirs sont officiellement délégués, en fonction des responsabilités de chacun. Le cas échéant, les fonctions incompatibles ne sont pas combinées. | Politique sur la sécurité des renseignements statistiques de nature délicate Documents internes sur le contrôle de confidentialité |
|
| Obligations redditionnelles | ||
| 2.2 Le Programme des CDR est doté d'une structure organisationnelle claire, efficace et documentée. (AC-2,3) | 2.2.1 Les pouvoirs fonctionnels liés à la sécurité des TI et à la sécurité matérielle dans le contexte du programme des CDR font l'objet d'une approbation appropriée et sont exercés par les chefs fonctionnels tant à l'échelle de l'ensemble du programme que des CDR régionaux. | Manuel des pratiques de sécurité Politique sur l'utilisation de personnes réputées être employées Procédures d'ouverture d'un CDR Procédures d'exploitation d'un CDR |
| 2.2.2 La structure organisationnelle du Programme des CDR , tant à l'échelle du programme qu'à l'échelle régionale, permet le maintien de voies de communication claires et efficaces avec les partenaires externes et une reddition de comptes en matière de confidentialité, de sécurité des TI et de sécurité matérielle. | Documents organisationnels et organigrammes des CDR Documents des CDR à l'intention du personnel Documents des CDR à l'intention des directeurs universitaires Documents des CDR à l'intention des chercheurs |
|
| Gestion des risques | ||
| 2.3 Les gestionnaires cernent et évaluent les risques qui pourraient nuire à l'atteinte des objectifs et prennent les mesures qui s'imposent. (RM-2) | 2.3.1 Les risques sont cernés à l'échelle du programme et à l'échelle régionale et tiennent compte des contextes interne et externe du Programme des CDR . | Registre des risques de la Division Cadre de responsabilisation de gestion |
| 2.3.2 Des évaluations des contrôles de la sécurité matérielle et de la sécurité des TI sont menées par les gestionnaires, avec la contribution des fonctions des services intégrés pertinentes. | Manuel des pratiques de sécurité de Statistique Canada Politique sur la sécurité des TI de Statistique Canada Inspections de la sécurité des CDR |
|
| 2.4 Les gestionnaires déterminent et évaluent le caractère approprié des contrôles en place pour gérer efficacement les risques. (RM-3) | 2.4.1 Il existe des processus et des lignes directrices officiels afin d'évaluer les contrôles en place pour gérer les risques déterminés. | Guide des CDR à l'intention des chercheurs Politique sur la sécurité des renseignements statistiques de nature délicate Documents internes sur le contrôle de confidentialité Inspections de la sécurité des CDR |
| Valeurs de la fonction publique | ||
| 2.5 Les employés attestent formellement et périodiquement qu'ils se conforment aux politiques de Statistique Canada en matière de protection de la confidentialité des renseignements statistiques de nature délicate. (PSV-5) | 2.5.1 À leur entrée en fonction, tous les employés et personnes réputées être employées de Statistiques Canada signent une déclaration (Loi sur la statistique / serment de Statistique Canada) en vertu de laquelle ils reconnaissent comprendre et se conformer aux politiques pertinentes du Programme des CDR . | Loi sur la statistique Serment de discrétion Documents sur les valeurs et l'éthique Guide des CDR à l'intention des chercheurs Politique sur la sécurité des renseignements statistiques de nature délicate Guide à l'intention des chercheurs des CDR Politique sur l'utilisation de personnes réputées être employées |
| 2.5.2 Les employés, les personnes réputées être employées et les partenaires externes de Statistique Canada renouvellent périodiquement leur attestation de conformité. | Manuel des pratiques de sécurité de Statistique Canada Documents internes des CDR sur la sécurité |
|
Annexe B : Acronymes
| Acronyme | Description |
|---|---|
| ACL | Active Control Listing, liste de contrôle d'accès |
| BIOS | Basic Input/Output System, système élémentaire d'entrée/sortie |
| CDR | Centre de données de recherche |
| CFDR | Centre fédéral de données de recherche |
| CMV | Comité ministériel de vérification |
| CRM | Contrat de recherche pour l'utilisation de microdonnées |
| CRSH | Conseil de recherches en sciences humaines |
| DAM | Division de l'accès aux microdonnées |
| FMGD | Fichier de microdonnées à grande diffusion |
| IRSC | Instituts de recherche en santé du Canada |
| IVI | Institut des vérificateurs internes |
| RAID | Redundant Array of Independent Disks, regroupement redondant de disques indépendants |
| RCCDR | Réseau canadien des centres de données de recherche |
| RE | Réseau étendu |
| SB | Sécurité du Bureau |
| SC | Statisticien en chef |
| SCT | Secrétariat du Conseil du Trésor |
| SGRC | Système de gestion des relations avec les clients |
| TI | Technologies de l'information |
| USB | Universal Serial Bus, bus universel en série |