Programme de Gestion des risques internes (Gardien) – Phase I

Direction des services de sécurité
Direction générale de la sécurité

Sur cette page

• Aperçu et lancement de l’évaluation des facteurs relatifs à la vie privée (ÉFVP)
• Résumé du projet, de l’initiative ou des modifications
• Détermination et classement du risque

Aperçu et lancement de l’évaluation des facteurs relatifs à la vie privée (ÉFVP)

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Harry Gill
Sous-commissaire et agent de sécurité de l'Agence
Direction générale de la sécurité

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Steven Morgan
Directeur général
Direction de l’accès à l’information et de la protection des renseignements personnels 

Nom du programme ou de l’activité de l’institution fédérale

Services de gestion de voyages et autres services administratifs

Catégories de documents spécifiques à l'institution ou ordinaire :

Sécurité
NDP 931

Fichier de renseignements personnels spécifiques à l'institution ou ordinaire :

Programme de Gestion des risques internes (Guardian)
Numéro d'enregistrement avec le SCT : en attente
Numéro du fichier de renseignements personnels : ARC PPU 921

Autorisation légale pour le programme ou l’activité

Loi sur l’Agence du revenu du Canada

Compétence générale de l’Agence

30 (1) L’Agence a compétence dans les domaines suivants :

• a) ses grandes orientations administratives;
• b) son organisation;
• c) les immeubles de l’Agence et les biens réels de l’Agence, au sens de l’article 73;
• d) la gestion de ses ressources humaines, notamment la détermination de ses conditions d’emploi;
• e) sa vérification interne.

Gestion des ressources humaines

51(1) L’Agence peut, dans l’exercice de ses attributions en matière de gestion des ressources humaines :

• déterminer les effectifs qui lui sont nécessaires et assurer leur répartition et leur bonne utilisation;
• déterminer les besoins en matière de formation et perfectionnement de son personnel et en fixer les conditions de mise en œuvre;
• assurer la classification des postes et des employés;
• après consultation du président du Conseil du Trésor, déterminer et réglementer les traitements auxquels ont droit ses employés, leurs horaires et leurs congés, ainsi que les questions connexes;
• prévoir les primes susceptibles d’être accordées aux employés pour résultats exceptionnels ou réalisations méritoires dans l’exercice de leurs fonctions, ainsi que pour des inventions ou des idées pratiques d’amélioration;
• établir des normes de discipline et fixer les sanctions pécuniaires et autres, y compris le licenciement et la suspension, susceptibles d’être infligées pour manquement à la discipline ou inconduite et préciser dans quelles circonstances, de quelle manière, par qui et en vertu de quels pouvoirs ces sanctions peuvent être appliquées, modifiées ou annulées, en tout ou en partie;
• prévoir, pour des motifs autres qu’un manquement à la discipline ou une inconduite, le licenciement ou la rétrogradation à un poste situé dans une échelle de traitement comportant un plafond inférieur et préciser dans quelles circonstances, de quelle manière, par qui et en vertu de quels pouvoirs ces mesures peuvent être appliquées, modifiées ou annulées, en tout ou en partie;
• après consultation du président du Conseil du Trésor, déterminer et réglementer les indemnités à verser aux employés soit pour des frais de déplacement ou autres, soit pour des dépenses ou en raison de circonstances liées à leur emploi; prendre les autres mesures qu’elle juge nécessaires à la bonne gestion de son personnel, notamment en ce qui touche les conditions de travail non prévues de façon expresse par le présent paragraphe.

Résumé du projet, de l’initiative ou des modifications

Aperçu du programme ou de l’activité

Les exigences législatives afin de protéger les renseignements des contribuables engagent l’Agence et le gouvernement du Canada dans son ensemble à maintenir la confiance du public à l’égard de la capacité de l’effectif de l’Agence à protéger les renseignements qui lui sont confiés.

Le programme Gardien est géré par une nouvelle unité au sein de la Section de la surveillance des risques internes de l’Agence, une unité relevant de la Division de l’évaluation des risques liés au personnel. La Division de l’évaluation des risques liés au personnel relève de la Direction des services de sécurité, qui est l’une des nombreuses directions relevant de la Direction générale de la sécurité de l’Agence.

Notre engagement continu à soutenir nos employés à l’égard du renforcement de la confiance des contribuables est la force motrice du programme Gardien de l’Agence, y compris :

• La gravité et la fréquence croissante des vols de données commis par des employés actuels ou d’anciens employés dans les secteurs public et privé (p. ex., Brèche dans les données de Desjardins 2019).
• La priorité consistant à mieux protéger les renseignements des contribuables par rapport aux risques que représentent les activités internes (lettre de mandat de la ministre).
• L’engagement concernant la mise sur pied d’un programme en vue d’améliorer l’assurance continue de la sécurité du personnel (attentes relatives au rendement du commissaire en 2020-2021 et 2021-2022).
• Positionner l’Agence pour qu’elle soit entièrement conforme aux exigences de la politique à venir du Secrétariat du Conseil du Trésor (toujours en cours d’élaboration) sur l’assurance continue de la sécurité du personnel et placer l’Agence en tête des organisations du gouvernement du Canada dans ce domaine.

L’objectif du programme Gardien consiste à créer une approche globale et exhaustive d’assurance continue visant à atténuer les risques internes. Cela sera accompli en tirant parti des capacités et des renseignements existants de l’Agence, en apprenant de l’expérience d’autres ministères du gouvernement et des pratiques exemplaires de l’industrie, et en contribuant à l’élaboration de nouveaux contrôles et processus de sécurité.

Un risque interne peut se caractériser par le fait qu’une personne, ayant accès à une société, une organisation ou une entreprise ou ayant des connaissances sur celles-ci et qui peut exploiter ses points faibles, en abusant de son accès d’une manière qui aura une incidence négative sur l’entreprise. Cela peut comprendre l’espionnage, le sabotage ou le vol de propriété intellectuelle. Un initié peut être toute personne ayant accès à des ressources, à des réseaux, à des systèmes, à des opérations et à des installations précises, comme les employés actuels ou anciens, les partenaires commerciaux ou les entrepreneurs. Un initié peut également agir au nom d’un acteur étatique étranger, ce qui pourrait constituer une menace pour la sécurité nationale du Canada.

Le programme Gardien poursuit trois objectifs principaux, soit :

• Élaborer et mettre en œuvre un cadre d’assurance continue qui tire parti des technologies novatrices pour cerner et évaluer le risque d’activités internes qui pourraient avoir une incidence sur la posture de sécurité de l’Agence, tout en respectant les droits de la protection des renseignements personnels et les libertés civiles des personnes qui travaillent au sein ou avec l’Agence.
• Cerner et combler les lacunes en matière de politique et de culture de l’Agence, ainsi que les tendances connexes en matière d’inobservation en appliquant la philosophie Les gens d’abord, c’est-à-dire pour mieux appuyer la prestation de services et pour faire en sorte qu’il soit plus facile pour employés, les entrepreneurs et les partenaires de confiance de comprendre et de respecter leurs responsabilités en matière de sécurité.
• Élaborer et mettre en œuvre un mécanisme qui appuie les employés de tous les niveaux dans l’application uniforme du Cadre d’intégrité de l’Agence.

L’approche de l’Agence à l’égard de l’assurance continue de la sécurité du personnel examinera de près la façon dont les incidents de sécurité liés aux activités internes se produisent et la raison pour laquelle ils se produisent. Le résultat consistera à établir un cadre ou un mécanisme pour déterminer les indicateurs techniques et comportementaux qui peuvent déterminer de façon proactive les risques potentiels. Cette approche convergente consiste à centraliser l’orchestration de la sécurité et d’autres contrôles dans divers domaines de menace.

Au cours de la phase I du programme Gardien, les renseignements sur les utilisateurs provenant de divers systèmes de l’Agence seront recueillis et analysés afin de déterminer les alertes qui sont communiquées aux intervenants de l’Agence, qui, à leur tour, sont responsables d’évaluer et d’examiner davantage ces alertes.

Le programme Gardien visera à protéger davantage les renseignements, les biens, les systèmes et les recettes confiés à l’Agence contre les risques internes en appliquant la philosophie Les gens d’abord, tout en continuant à respecter les droits de la protection des renseignements personnels des employés et des personnes qui travaillent pour ou avec l’Agence. L’élaboration du programme Gardien par l’Agence est bien harmonisée avec les autres initiatives d’assurance continue en cours au sein du gouvernement du Canada.

L’atténuation des risques internes comprend des contrôles de sécurité qui détectent, préviennent et répondent aux activités internes en intégrant et en analysant les renseignements techniques disponibles et les comportements anormaux afin de fournir une assurance continue tout en respectant les exigences en matière de protection des renseignements personnels. Le fait de donner aux employés les moyens de se conformer aux obligations en matière de sécurité grâce à l’éducation, à l’attention, à la confiance et au soutien à l’avant-plan, tout en vérifiant l’efficacité de nos contrôles de sécurité, constitue la pierre angulaire d’un solide programme Gardien.

Aux fins de la présente évaluation des facteurs relatifs à la vie privée (ÉFVP), le terme « risque interne » sera utilisé pour faire référence au sujet, en général, et pour décrire des incidents plus précis impliquant une erreur humaine, ainsi que des actes malveillants.

La portée de l’évaluation des facteurs relatifs à la vie privée

L’approche d’ÉFVP adoptée par le Secrétariat du Conseil du Trésor est de nature itérative et indique que les ÉFVP doivent être entreprises lorsque des renseignements personnels sont utilisés ou sont destinés à être utilisés dans le cadre d’un processus décisionnel qui touche directement la personne, et pour un programme ou une activité nouveaux ou substantiellement modifiés.

La méthodologie et l’approche énoncées dans la directive du Secrétariat du Conseil du Trésor : Directive sur l’évaluation des facteurs relatifs à la vie privée et les attentes du Commissariat à la protection de la vie privée : Guide pour soumettre les évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada a été utilisée comme fondement pour ce document.

Cette ÉFVP est axée sur la mise en œuvre (le 1^er avril 2023) de la phase I du programme Gardien, qui comprend la description et l’analyse de la collecte, de l’utilisation, de la divulgation et de la conservation des renseignements personnels.

Plus précisément, la portée de cette ÉFVP comprend ce qui suit :

1. La collecte de renseignements personnels auprès des intervenants internes afin de créer des modèles;
2. Le stockage, l’accès et l’utilisation des renseignements personnels recueillis par le programme Gardien;
3. Les règles opérationnelles et les procédures de création et d’analyse de données ou de modèles de données, ainsi que la création d’alertes;
4. Les seuils et les procédures utilisés pour créer ou non une alerte;
5. La communication d’une alerte aux intervenants internes;
6. La conservation et l’élimination des dossiers de la phase 1.

L’élaboration à l’ÉFVP de cela comprend ce qui suit :

• La collaboration et les consultations avec les représentants et les intervenants de l’Agence, y compris l’accès à l’information et protection des renseignements personnels – la politique sur la protection des renseignements personnels, les services juridiques, la gestion de l’information, les ressources humaines et les relations de travail ainsi que la sécurité et la sécurité de la technologie de l’information.
• L’examen des publications du Secrétariat du Conseil du Trésor comme la présentation de l’Agence au Renseignements sur les programmes et les fonds de renseignements (anciennement Info Source): sources de renseignements du gouvernement fédéral;
• L’examen des lois et des politiques relatives aux programmes de l’Agence;
• L’examen des documents de processus concernant le Gardien et sa mise en œuvre.

Hors de la portée de cette évaluation des facteurs relatifs à la vie privée

Cette version de l’ÉFVP ne comprend pas l’ensemble des modèles de détection et ne comprend pas de nouveaux systèmes ou outils informatiques. Des mises à jour de cette ÉFVP sont prévues au fur et à mesure que l’Agence détermine la portée et les échéanciers des phases futures du programme Gardien.

Les activités d’enquête et les divulgations des intervenants internes qui reçoivent une alerte du programme Gardien, les procédures d’enquête de ces intervenants internes et les démarches administratives subséquentes éventuelles (la formation et la sensibilisation, les mesures disciplinaires des employés, les poursuites) sont également hors de la portée. Cela comprend les actes frauduleux qui contreviennent au Code criminel ou à la Loi sur la gestion des finances publiques, et l’Agence peut prendre d’autres mesures correctives, pouvant donner lieu à des enquêtes criminelles et à des poursuites menées par d’autres organismes d’enquête (c.-à-d. la Gendarmerie royale du Canada). Bien que le dénouement possible de ces cas soit renvoyé par l’Agence aux fins d’enquête, les enquêtes elles-mêmes sont considérées comme exclues de la portée de la présente évaluation des facteurs relatifs à la vie privée.

Détermination et classement du risque

A) Type de programme ou d’activité

• B) Type de renseignements personnels en jeu et contexte

  Renseignements personnels de nature délicate, dont les profils détaillés, les allégations ou les soupçons, les échantillons de substances corporelles, ou encore le contexte des renseignements personnels qui est de nature particulièrement délicate.

  Niveau de risque pour la vie privée : 4

  Détails :

  Afin que le programme Gardien fournisse à l’Agence une assurance continue au moyen de la détection, de la dissuasion et de la réponse aux risques internes, les renseignements personnels sur le personnel de l’Agence (les employés, les étudiants et les entrepreneurs) sont recueillis et analysés afin de cerner les problèmes de préoccupation potentielle. Les types d’indicateurs de renseignements personnels recueillis auprès du personnel de l’Agence consistent en trois catégories de données :

  1. L’activité du réseau de l’Agence;
  2. Les renseignements des ressources humaines;
  3. Les renseignements de la Direction générale de la sécurité.

  Ces indicateurs sont évalués par le programme Gardien et peuvent entraîner la création d’une alerte pour les questions préoccupantes. Les alertes seront communiquées à l’interne aux intervenants de l’Agence qui sont tenus d’effectuer une évaluation ou une enquête plus approfondie. À aucun moment, l’Agence ne considère un seul indicateur comme la confirmation d’une activité liée au risque interne. Au lieu de cela, les indicateurs sont des déclencheurs nécessitant une évaluation ou une enquête plus approfondie pour confirmer si une activité à risque interne a eu lieu ou est sur le point de se produire. Les intervenants internes qui peuvent recevoir des alertes des indicateurs du programme Gardien comprennent les affaires internes, le filtrage de sécurité du personnel, la sécurité (les incidents et les atteintes), l'évaluation des risques de la sécurité, la sécurité de la technologie de l’information ou la cybersécurité, la sécurité de l’information, des risques de fraude externe/interne, les ressources humaines et les relations de travail.

• C) Partenaires de programme ou d’activité et participation du secteur privé

  Au sein de l'ARC (que ce soit pour un seul ou pour plusieurs programmes ou activités au sein de l'ARC)  

  Niveau de risque pour la vie privée : 1

  Détails :

  Le programme Gardien est interne au sein de l’Agence et aucun partenaire externe ne participe à la collecte de renseignements personnels, à la création de modèles de données ou à l’échange d’alertes. Les alertes sont seulement transmises aux intervenants internes, ce qui devrait se limiter aux groupes suivants de l’Agence : les affaires internes, le filtrage de sécurité du personnel, la sécurité (les incidents et les atteintes), la sécurité de la technologie de l’information et la cybersécurité, la sécurité de l’information, les ressources humaines et les relations de travail.

  Une fois qu’une alerte est transmise à un intervenant interne, cet intervenant suivra les processus et les procédures internes de ses programmes pour la résolution ou l’enquête de l’alerte.

• D) Durée du programme ou de l’activité :

  Programme à long terme 

  Niveau de risque pour la vie privée : 3

  Détails :

  Le programme Gardien est un programme à long terme qui vise à protéger davantage les renseignements, les biens, les systèmes et les recettes confiés à l’Agence contre les risques internes, tout en continuant de respecter les droits de la protection des renseignements personnels du personnel de l’Agence.

• E) Population du programme

  Le programme touche certains employés à des fins administratives internes.

  Niveau de risque pour la vie privée : 1

  Détails :

  Le programme Gardien aura une incidence sur tout le personnel de l’Agence, y compris les employés nommés pour une période indéterminée, les employés occasionnels, les employés nommés pour une période déterminée, les étudiants et les entrepreneurs. Les répercussions peuvent comprendre des mesures administratives internes, comme la formation, la sensibilisation et divers types de mesures disciplinaires pour les employés.

• F) Technologie et vie privée

  1. L'activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d'un nouveau système électronique, d'un logiciel ou d'un programme d'application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l'activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

     Risque pour la vie privée : Non

  2. Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

     Risque pour la vie privée : Non

  3. Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

  Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

  Risque pour la vie privée : Non

  Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

  Risque pour la vie privée : Non

  Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

  Risque pour la vie privée : Oui

• G) Transmission des renseignements personnels

  Les renseignements personnels sont utilisés au sein d'un système qui est branché à au moins un autre système.

  Niveau de risque pour la vie privée : 2

  Détails :

  La phase I du programme Gardien tirera parti des produits Microsoft Office existants, y compris Microsoft Excel, Access et Word, avec une compilation et une analyse manuelle des données. Les produits Microsoft Office, y compris Excel, Access et Word, seront utilisés pour intégrer des données existantes provenant de plusieurs sources, au sein de l’Agence et sur les réseaux de l’Agence, comprenant des renseignements personnels dans le but d’effectuer une analyse plus approfondie.

• H) Le risque possible à l'individu ou à l'employé lors d'atteinte à la vie privée

  Détails :

  La nature délicate des renseignements utilisés dans le cadre du Programme Gardien est considérée comme Protégé B.

  En cas d’atteinte à la vie privée (l’utilisation ou la divulgation non autorisée), les répercussions possibles sur la personne ou l’employé pourraient comprendre une ingérence dans la vie privée, un préjudice financier personnel modéré et un embarras pour l’employé.