Gestion de L'identité et de l'accès - Phase 4

Direction de la sécurité et des affaires internes, Direction générale des finances et de l’administration

Aperçu et lancement de l’évaluation des facteurs relatifs à la vie privée (ÉFVP)

Institution fédérale 
Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP
Roch Huppé
Administrateur supérieur des affaires financières et sous-commissaire
Direction générale des finances et de l’administration

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels
Marie-Claude Juneau
Coordonnatrice de l'AIPRP

Nom du programme ou de l'activité de l'institution
Technoligie de l'information 

Description de la catégorie de document et du fichier de renseignements personnels

Catégorie de document proprer à l'institution ou ordinaire :
Technologie de l’information
 Numéro du document : NPD 932

Fichiers de renseignements personnels porpres à l'institution ou ordinaires :
Services internes de gestion des identités et des justificatifs d’identité de l’ARC
Numéro de fichier : CRA PPU 165

Autorisation légale pour le programme ou l’activité
Les renseignements personnels sont recueillis conformément à l’alinéa 30(1)a) de la Loi sur l’Agence du revenu du Canada, qui précise que l’ARC a compétence dans le domaine de ses « grandes orientations administratives ». La Loi sur l’Agence du revenu du Canada est complétée par la Politique sur la sécurité du gouvernement et la Directive sur la gestion de l’identité du Secrétariat du Conseil du Trésor.

Autorisation légale pour l’Agence du revenu du Canada (ARC) de recueillir des renseignements personnels sur les employés de l’Agence des services frontaliers du Canada (ASFC) :
Pour l’administration des comptes utilisateurs par l’Agence du revenu du Canada pour le compte de l’Agence des services frontaliers du Canada. En vertu de l’alinéa 5(1)c) de la Loi sur l’Agence du revenu du Canada, l’Agence est chargée de mettre en œuvre toute entente ou tout accord conclus entre elle et un ministère ou organisme fédéral et portant sur l’exercice d’une activité ou l’application d’un programme.

Autorisation légale pour l’ARC de recueillir des renseignements personnels concernant les employés de Services partagés Canada (SPC) :
L’ARC a une entente de collaboration écrite avec SPC qui est rédigée en vertu de l’article 61 de la Loi sur l’Agence du revenu du Canada et qui est appuyée par la disposition de l’alinéa 5(1)c) de la Loi. Une entente de collaboration écrite pour régir cela se trouve dans le « Cadre de gouvernance de la TI de SPC et de l’ARC pour la prestation de services de technologie de l’information », et un « Protocole de fonctionnement » conclu entre SPC et l’ARC. Les autorités qui précèdent et le Protocole d’entente (PE) font de la prestation par l’ARC du soutien et de la gestion des comptes d’utilisateurs de SPC une activité autorisée ou un programme autorisé de l’ARC. Le recueil des renseignements personnels concernant les employés de SPC s’inscrit dans cette activité ou ce programme de l’ARC.

Autorisation légale de l’ASFC pour le programme ou l’activité :

La collecte de renseignements personnels qui seront utilisés pour le projet de gestion de l’identité et de l’accès (GIA) est conforme à l’article 4 de la Loi sur la protection des renseignements personnels. Lorsque des conditions de travail contractuelles de l’ASFC appuient la capacité de cette agence à exécuter son mandat comme décrit à l’article 5 de la Loi sur l’Agence des services frontaliers du Canada (Loi sur l’ASFC), l’ASFC a le pouvoir de conclure de tels accords en vertu de l’alinéa13(2)b) de la Loi et les renseignements personnels recueillis sont directement liés à cette activité.

Autorisation légale pour l’ASFC de recueillir des renseignements personnels sur ses employés :

L’ASFC a le pouvoir de nommer des membres du personnel en vertu de l’alinéa 11a), du paragraphe 15(1) et de l’article 29 de la Loi sur l’emploi dans la fonction publique (LEFP), et les renseignements personnels recueillis sont directement liée à cette activité. Lorsque des conditions de travail contractuelles de l’ASFC appuient la capacité de cette agence à exécuter son mandat comme décrit à l’article 5 de la Loi sur l’Agence des services frontaliers du Canada (Loi sur l’ASFC), l’ASFC a le pouvoir de conclure de tels accords en vertu de l’alinéa13(2)b) de la Loi et les renseignements personnels recueillis sont directement liés à cette activité.

Résumé du projet, de l’initiative ou des modifications 

Gestion de l’accès : en cours d’exécution pour mise en œuvre le 30 juin 2017.

En 2013, une ÉFVP a été réalisée pour la phase 2. Elle a été mise à jour par la suite en 2015 afin d’inclure la phase 3. L’ÉFVP est mise à jour afin d’inclure les additions/améliorations de la phase 4. La phase 4 consiste en des améliorations aux fonctions de gestion de l’identité et de l’accès suivantes :
 
Gestion de l’identité (GI)
 : Cette fonction fournit la capacité de repérer une personne particulière et de lui donner l’accès aux renseignements requis ou aux données requises pour effectuer ses tâches. Les améliorations apportées à la production de comptes de base et la suppression efficace de comptes seront réalisées par l’entremise de la Mémoire officielle des identités (créée à l’aide de CA Identity Manager à la phase 2). Cela comprend tous les types de comptes de système : standards, non standards et partenaires externes.

Gestion des demandes : Cette fonction fournit la capacité d’ajouter, de supprimer ou de mettre à jour les autorisations d’accès au moyen d’un outil de gestion centralisée. Le processus suit les circuits d’approbation établis et est assujetti au suivi et à l’enregistrement des demandes. Les améliorations apportées à la façon dont les gestionnaires demandent les ID utilisateur, les comptes de système et les autorisations d’accès seront élaborées au moyen de la solution interne existante – Portail libre-service de la TI (PLSTI). Cela comprend la gestion de tous les comptes non standards : Système intégré des douanes (SID) pour l’ASFC, IIAE et SAE pour l’ARC et l’ASFC.

Examen de l’accès et certification (EAC) : L’examen de l’accès et certification est une activité de gestion du risque. L’observation, l’exécution et la certification de l’accès sont le résultat de l’augmentation constante du nombre de dispositions règlementaires, de contrôles internes et de pressions résultant des vérifications externes. Pour l’ARC, l’EAC remplace le système de révision d’accès des employés (SRAE) actuel (l’ASFC n’utilise pas actuellement d’outil équivalent à l’EAC). L’EAC fournira aux gestionnaires une vision excellente et exhaustive des autorisations dont disposent leurs employés, y compris pour les comptes non standards. L’EAC enverra des avis aux gestionnaires leur rappelant de commencer leurs examens et certifications et les informant s’ils sont en retard avec leurs examens. L’EAC donnera également aux gestionnaires la possibilité de demander la suppression d’autorisations d’accès.

En raison de la complexité de la phase 4, celle-ci a été divisée en quatre lancements. Cette version de l’ÉFVP comprend les détails des quatre lancements qui sont résumés ci-dessous :

Juillet 2016 : Administration des comptes non standards (ACNS)
Ce lancement permet la capacité de retracer les comptes non standards et leurs propriétaires au moyen des processus de gestion des demandes du Portail libre-service de la TI. Une matrice logique a été ajoutée afin d’appuyer l’acheminement et les approbations des divers types de comptes non standards.

Novembre 2016 : Gestion des demandes des SAE (PLSTI)
La gestion des demandes des SAE centralise toutes les demandes pour l’ARC et l’ASFC concernant les comptes des SAE et les permissions d’accès par l’intermédiaire du PLSTI.

Mai 2017 : Gestion des demandes d’IIAE (PLSTI)
La gestion des demandes d’IIAE centralise les demandes d’applications de l’ARC et de l’ASFC particulières pour les comptes de l’IIAE et l’accès par l’intermédiaire du PLSTI. Il n’y a pas d’applications de l’ASFC liées à ce lancement de l’IIAE par l’intermédiaire du PLSTI.

Juin 2017 : Dernier lancement
Il s’agit du dernier lancement intégré avec la MOI exécutant les fonctions de gestion de l’identité, d’automatisation de la gestion des demandes par l’intermédiaire du PLSTI, d’outil d’examen de l’accès et certification (EAC) et de composante d’établissement de rapports.

Détermination et classement du risque

A) Type de programme ou d’activité
Administration des programmes/Activités et services
Niveau de risque pour la vie privée : 2
Détails : La phase 4 continue de tirer parti de la MOI lancée à la phase 2 du projet de GIA et regroupe plusieurs formulaires électroniques au sein d’un site Web interne utilisé pour la gestion des demandes liées à la TI, le PLSTI à l’appui des circuits de demande et d’approbation des divers types de comptes d’ordinateur. L’option de retrait des comptes, automatisée par des déclencheurs des SAE, est mise en œuvre. Les renseignements personnels utilisés sont tous liés aux renseignements personnels concernant les employés/données des utilisateurs extraits des SAE pour la phase 2, et en plus des renseignements tirés des SAE pour faire le lien entre les approbateurs appropriés et leurs subordonnés. Le système conserve également des renseignements détaillés des autorisations d’accès liées à tous les comptes d’utilisateurs et aux comptes non standards. Ces renseignements sont utilisés par les gestionnaires pour examiner et approuver les autorisations d’accès connexes, à la fois sur une base régulière et avant d’approuver les changements aux autorisations d’accès. 

B) Types de renseignements personnels recueillis et contexte
Renseignements personnels fournis par l’intéressé avec consentement d’utiliser aussi les renseignements personnels détenus par une autre source pour autant qu’ils ne soient pas de nature sensible après leur collecte.
Niveau de risque pour la vie privée : 2
Détails : Le système contiendra tous les renseignements ci-dessus, et comprendra ce qui suit :

Les renseignements concernant la gestion de l’identité se rapportant à des partenaires externes (organismes à l’extérieur de l’ARC et de l’ASFC qui ont besoin de l’accès à des applications particulières de l’ARC ou de l’ASFC).

C) Participation des partenaires et du secteur privé au programme ou à l’activité
Autres institutions fédérales.
Niveau de risque pour la vie privée : 2
Détails :   La relation de travail est maintenue avec l’ASFC à titre de partenaire de projet; SPC appuie l’infrastructure. Pour la phase 4 – nous gérons actuellement les identités des partenaires externes, toutefois, la phase 4 du projet de GIA ne crée pas de comptes de système ou n’attribue pas de comptes pour les partenaires externes. Le coordonnateur des partenaires externes de l’ARC recevra une demande (formulaire TF469) de l’organisation partenaire externe précisant qu’un nouvel utilisateur final a besoin d’un accès au système de l’ARC. Le coordonnateur des partenaires externes remplira ensuite un formulaire de création d’un partenaire externe du PLSTI qui soumettra le nom et le lieu de travail des utilisateurs finaux (organisation partenaire) dans la MOI.

Une fois que l’ID utilisateur et le numéro d’identification du partenaire externe sont générés dans la MOI, les renseignements personnels sont conservés jusqu’à ce qu’une demande de supprimer l’ID du partenaire externe soit envoyée.
Phase 4 pour les partenaires externes – l’accès n’est pas accordé, mais nous fournissons une identité numérique dans la MOI.

D) Durée du programme ou de l’activité
Programme à long terme.
Niveau de risque pour la vie privée : 3
Détails : L’ARC met en place un programme de gestion de l’identité et de l’accès à long terme afin de faire des gains en efficacité et d’assurer l’uniformité de l’ensemble de la gestion de l’identité et de l’accès aux systèmes de l’ARC. Des projets sont en cours en vue d’apporter des améliorations aux processus et à la technologie actuels afin de permettre au programme d’atteindre ses objectifs de continuer d’améliorer la gestion de l’identité.

E) Population visée par le programme
Le programme touche tous les employés à des fins administratives internes.
Niveau de risque pour la vie privée : 2
Détails : Tous les employés internes de l’ARC, de l’ASFC et de SPC qui utilisent le réseau interne de l’ARC/ASFC sont concernés. Les renseignements sur l’identité se rapportant à des partenaires externes, qui sont recueillis et utilisés pour créer les identités numériques et les ID utilisateur, sont également touchés.
 
Pour l’ARC – Les renseignements sur les partenaires externes seront générés et conservés dans la MOI. Les attributs du partenaire externe qui seront générés et conservés dans la MOI sont les suivants : le prénom et le nom de famille, le nom de l’organisation partenaire et un numéro d’ID de partenaire externe (cette ID, qui sera un nombre aléatoire à sept chiffres, sera générée dans la MOI). Parmi les partenaires externes, on compte Revenu Québec et les gouvernements provinciaux partenaires pour divers programmes. Les partenaires externes ont accès à des applications particulières dans le réseau interne.

Pour l’ASFC – Les renseignements recueillis des représentants des transporteurs aériens sont le nom au complet et la dénomination sociale de l’entreprise. Une ID utilisateur est fournie aux représentants des transporteurs aériens pour leur permettre d’accéder à la passerelle Internet de l’IPV (PII) de l’ASFC, un portail Web de cette agence, afin d’envoyer les données de l’Information interactive préalable sur les voyageurs (IIPV) à l’ASFC.

F) Technologie et vie privée
L’activité ou le programme (nouveau ou modifié) comporte-t-il l’implantation d’un nouveau système électronique, logiciel ou programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est implanté pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?
Risque pour la vie privée : Oui

L’activité ou le programme, nouveau ou modifié, exige-t-il une modification de systèmes ou de services existants de technologie de l’information?
Risque pour la vie privée : Oui

Le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :
Méthodes d’identification améliorées : Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture ou le balayage de l’iris, l’analyse des empreintes digitales, la signature ou empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie des laissez-passer facilités (Easy pass), les nouvelles cartes d’identification comportant des bandes magnétiques, comme les « cartes intelligentes » (c. à d. des cartes d’identité sur lesquelles est gravée soit une antenne soit une plage de contact connectée à un microprocesseur et une puce mémoire ou uniquement à une puce mémoire avec matrice logique non programmable).
Risque pour la vie privée :
Non
Détails : aucun

Recours à la surveillance : Cela comprend les technologies de surveillance telles que les appareils d’enregistrement audio/vidéo, l’imagerie thermique, les appareils de reconnaissances, l’IRF, la surveillance/interception clandestine, le contrôle assisté par ordinateur, y compris les pistes de vérification, la surveillance par satellite, etc.
Risque pour la vie privée : Oui
Détails : Les renseignements sur le journal du serveur d’applications et le fichier journal du serveur répertoire sont les mêmes qu’à la phase 3 ci-dessus. De plus, tous les dossiers de demande et d’approbation pour les modifications aux autorisations d’accès, tous les dossiers d’examen des autorisations d’accès et tous les dossiers de demandes de création et de suppression de comptes (standards, non standards et identités de partenaires externes) sont stockés dans le système.

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement de renseignements personnels et des techniques de découverte/d’acquisition de connaissances : Aux fins de la directive sur l’ÉFVP, les institutions fédérales doivent préciser quelles activités comportent le recours à des technologies d’analyse, de création, de comparaison, de tri, d’identification ou d’extraction automatiques d’éléments de renseignements personnels. Ces activités comprendraient le rapprochement de renseignements personnels, le rapprochement de dossiers, l’exploration de renseignements personnels, la comparaison de renseignements personnels, la découverte de connaissances et le filtrage ou l’analyse de renseignements. De telles activités comportent une forme ou une autre d’intelligence artificielle et/ou d’apprentissage machine pour découvrir des connaissances (renseignements), des tendances ou des modèles, ou encore pour prédire des comportements.
Risque pour la vie privée : Oui
Détails : La phase 4 de la GIA génère de nouvelles données pour les partenaires externes. Il s’agit de l’ID utilisateur de partenaire externe et du numéro d’identification de partenaire externe. Ces nouveaux attributs sont associés au prénom et au nom de famille ainsi qu’à l’organisation partenaire de l’utilisateur final du partenaire externe.

G) Transmission des renseignements personnels
Les renseignements personnels sont transférés à un appareil portable ou sont imprimés.
Niveau de risque pour la vie privée : 3
Détails : Il s’agit des mêmes détails qu’à la phase 3 ci-dessus. Les huit rapports suivants peuvent être générés pour le lancement de la phase 4 :

Ces rapports contiendront les attributs suivants :

Ces rapports sont générés par le groupe de soutien de la MOI de la section responsable de la sécurité au sein de la DSAI de l’ARC. Les données seront séparées afin que chaque agence ne puisse voir que ses propres données.

H) Incidences des risques pour l’individu ou l’employé
Détails : En cas de violation de la vie privée ou d’atteinte à la sécurité, il pourrait y avoir des répercussions majeures en raison de la compromission de la confidentialité des données traitées sur la plate-forme de la GIA, en raison des données « protégées » stockées sur les serveurs. Une perte de confidentialité pourrait engendrer ce qui suit :

  1. Embarras pour l’ARC/ASFC et le gouvernement du Canada (GC) en raison des critiques à l’égard de la mauvaise manipulation des données protégées.
  2. Pertes financières pour l’ARC/ASFC en raison du coût de l’intervention visant à résoudre le problème pendant la production (c.-à-d. coût d’exécution d’un processus de rechange manuel ou sur papier).
  3. Poursuites intentées par des particuliers et des sociétés contre l’ARC/ASFC pour cause de non-respect de leurs attentes en matière de confidentialité de l’information.
  4. Préjudice grave à la réputation de l’ARC/ASFC au sein du GC et accroissement de la gouvernance et de la surveillance par le GC.
  5. Perte de la confiance des employés et des clients envers la capacité de l’ARC/ASFC à protéger leurs renseignements personnels.
  6. Atteinte à la réputation de l’ARC en tant qu’autorité fiscale nationale et embarras public connexe.
  7. Risque que l’ARC/ASFC ne respecte pas ses objectifs de rendement en raison d’une interruption de service.
  8. Inconvénient, embarras ou stress financier pour les contribuables dans le cas où les données du contribuable sont modifiées. Si les données sont modifiées, il peut y avoir des risques de fraude interne.

 

Détails de la page

Date de modification :