Audit de la gestion et de la mise en œuvre de certaines evaluations des facteurs relatifs a la vie privee

1. Renseignements généraux

1.1 Contexte

Le Ministère crée et procède à la collecte, à la conservation, à l'utilisation, à la divulgation et à l'élimination de renseignements personnels pour offrir aux Canadiens des services en temps opportun et de façon exacte et sécuritaire tout en protégeant la confidentialité, l'intégrité et la disponibilité des renseignements.

Le Ministère doit se conformer à d'autres mesures de protection des renseignements personnels qui vont au-delà des exigences de la Loi sur la protection des renseignements personnels, comme l'indique la Loi sur le ministère de l'Emploi et du Développement social. Cette Loi contient notamment des dispositions sur l'échange de renseignements relatifs aux numéros d'assurance sociale.

Dans l'application de son cadre de gestion de la protection des renseignements personnels, le Ministère utilise des évaluations des facteurs relatifs à la vie privée (ÉFVP) pour cerner, évaluer et gérer les risques d'atteinte à la vie privée relatifs aux programmes et activités qui sont nouveaux ou qui ont subi des modifications importantes nécessitant la création, la collecte ou le traitement de renseignements personnels.

La création et la gestion des ÉFVP nécessitent une étroite collaboration entre les programmes ou les secteurs d'activité, la sécurité des technologies de l'information (TI), la sécurité ministérielle et d'autres intervenants ministériels comme les conseillers en protection des renseignements personnels et, au besoin, les conseillers juridiques. Dans certains cas, le Ministère doit coordonner la gestion des ÉFVP avec d'autres institutions.

Sous l'autorité et la direction du chef de la protection des renseignements personnels (CPRP), la Division de la gestion des renseignements personnels (DGRP) aide le Ministère à élaborer les ÉFVP. La Division appuie également la coordination horizontale et la mise en œuvre des plans et des priorités stratégiques du Ministère qui ont trait à la protection des renseignements personnels. La Division est responsable des services d'examen et de conformité à la Loi sur la protection des renseignements personnels, des politiques sur la protection des renseignements personnels, de la planification stratégique et de la coordination des enjeux liés à la protection de la vie privée.

Une fois effectuées, les ÉFVP sont présentées au Comité de la protection des renseignements personnels et de la sécurité de la technologie de l'information (CPRPSTI), puis transmises à la sous-ministre (SM) pour approbation. Les ÉFVP approuvées par la SM sont soumises simultanément au Commissariat à la protection de la vie privée et au Secrétariat du Conseil du Trésor du Canada.

1.2 Objectif de l'audit

L'objectif de cet audit était de déterminer si l'approche actuelle relativement aux ÉFVP entraîne la mise en œuvre de pratiques de protection de la vie privée qui se conforment aux exigences des lois et des politiques applicables.

1.3 Portée

La portée du présent audit incluait les principaux processus, pratiques et structures ministériels relatifs à la gestion et à la mise en œuvre de certaines ÉFVP approuvées par la SM.

1.4 Méthodologie

L'audit a été réalisé à l'aide d'un certain nombre de méthodes, notamment :

• Examen et analyse de documents;
• Entrevues avec le personnel et la direction de la DGRP;
• Des entrevues avec le personnel et la direction des Directions générales ainsi que ceux des régions de l'Ontario et du Québec;
• Échantillonnage discrétionnaire fondé sur le risque et examen de 15 ÉFVP (voir la liste à l'annexe C).

2. Constatations de l'audit

2.1 Les contrôles menant à l'identification exhaustive et à l'évaluation uniforme des risques liés aux renseignements personnels doivent être renforcés

Conformément à la Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor, une fois qu'on a déterminé qu'il est nécessaire de réaliser une évaluation, il faut procéder à une ÉFVP contenant les éléments suivants :

• tous les éléments d'information personnelle recueillis et la façon dont ils ont été recueillis;
• les endroits où les renseignements sont archivés, les emplacements vers où ils sont transférés et les personnes qui y ont accès (c.-à-d. flux d'information);
• une analyse de comment le programme ou l'activité respecte la Loi sur la protection des renseignements personnels;
• l'identification et l'évaluation des risques;
• les mesures d'atténuation découlant de l'identification et de l'évaluation des risques adaptées au niveau de risque cerné.

L'audit interne a examiné un échantillon discrétionnaire fondé sur le risque de 15 ÉFVP approuvées par la SM en 2015-2016 et en 2016-2017. Toutes les ÉFVP examinées portaient sur les composantes susmentionnées.

L'audit interne a noté une amélioration importante dans la qualité des ÉFVP approuvées en 2016-2017, comparativement à celles approuvées en 2015-2016. Cette amélioration coïncide avec l'introduction du nouveau gabarit d'ÉFVP. L'identification des risques était adéquate dans la plupart des ÉFVP examinées. Cependant, certains aspects de l'analyse de la protection des renseignements personnels étaient incomplets ou inexacts et doivent être renforcés. Par exemple, dans 5 des 10 ÉFVP qui ont utilisé le nouveau gabarit, on n'a pas considéré, tel que requis, si les renseignements personnels entreposés ou en transit étaient encryptés. De plus, les descriptions du flux d'information pour quatre ÉFVP étaient soit incomplètes ou ne réflètaient pas la réalité. Cela signifie que des renseignements personnels sont conservés ou transitent par des moyens non évalués par l'ÉFVP; le pire scénario étant une ÉFVP qui n'avait pas identifié ni évalué le risque que des renseignements personnels délicats soient envoyés par les clients au Ministère par internet via des courriels non encryptés.

Les directions générales, responsables de l'administration des programmes ou des activités couvertes par l'ÉFVP, sont chargées de créer les ÉFVP. Cette approche décentralisée a mené à des incohérences où des risques semblables ont été évalués différemment. Par exemple, l'utilisation de l'infrastructure de Services partagés Canada a été évaluée comme un risque élevé dans certaines ÉFVP, un risque inconnu dans d'autres, alors que certaines ÉFVP n'ont pas identifié cette pratique comme un risque.

L'identification exhaustive et l'évaluation uniforme des risques pour les renseignements personnels sont des composantes clés de l'élaboration d'activités d'atténuation des risques appropriées. La DGRP agit à titre de centre d'expertise pour aider les directions générales à élaborer leurs ÉFVP. Lorsqu'une ÉFVP est désignée comme une priorité par la DGRP, un analyste de la DGRP est affecté au soutien du personnel de la direction générale durant la création de l'ÉFVP. Toutefois, au fil des ans, la DGRP a été confrontée à des pénuries de personnel qui ont nui à sa capacité de fournir des conseils opportuns et uniformes. De plus, lorsqu'une ÉFVP n'a pas été identifiée comme étant une priorité, le soutien de la DGRP est minime et se limite parfois à fournir à la direction générale le modèle d'ÉFVP.

L'audit interne note que l'agent de sécurité ministériel est responsable et redevable de l'identification et de l'évaluation du risque en matière de sécurité matérielle. Le coordonnateur ministériel de la sécurité des TI est responsable et redevable de l'identification et de l'évaluation du risque en matière de sécurité des TI. Cependant, le CPRP n'est pas responsable ni redevable de l'identification et de l'évaluation du risque pour la protection des renseignements personnels (ces responsabilités relèvent des directions générales individuelles).

Recommandation

Le Ministère devrait déléguer au CPRP la responsabilité et l'imputabilité de procéder à des analyses rigoureuses des facteurs relatifs à la vie privée, à l'identification exhaustive et à l'évaluation uniforme des risques pour la protection des renseignements personnels énoncés dans les ÉFVP du Ministère.

Réponse de la direction

La direction est d'accord. La politique ministérielle sur la gestion de la protection des renseignements personnels délègue l'autorité fonctionnelle au CPRP. Sous la direction du CPRP, la DGRP examinera la mise en œuvre de cette responsabilité, ainsi que l'imputabilité de compléter des analyses rigoureuses incluant l'identification exhaustive et l'évaluation uniforme des risques pour les renseignements personnels et signalera à la haute direction les améliorations et clarifications à apporter à l'approche actuelle d'ici janvier 2019.

Conformément à son mandat, le CPRPSTI doit superviser l'élaboration et l'examen des ÉFVP. Cela peut être perçu comme un contrôle visant à accroître l'uniformité et la qualité des ÉFVP, ainsi qu'une occasion de faciliter la discussion sur les risques liés à la protection des renseignements personnels et leur acceptation par les membres du comité. Toutefois, d'après un examen des comptes rendus de décisions produits par le CPRPSTI depuis juin 2017, des remplaçants ont assisté à la majorité des réunions pour 11 des 19 membres. En outre, près de la moitié des membres (ou leurs remplaçants) étaient absents pour au moins trois des onze réunions. Les ÉFVP étaient souvent fournies aux membres deux ou trois jours avant la réunion, un délai possiblement trop court pour que les membres puissent formuler des commentaires et des recommandations utiles. Ceci est mis en relief par le fait que les ÉFVP sont presque toujours recommandées pour approbation par les membres du CPRPSTI. L'équipe d'audit interne a été informée que le mandat du comité pourrait être révisé à la lumière d'un examen de la gouvernance et de la gestion des données.

2.2 La haute direction reçoit rarement un aperçu complet et intégré des risques liés à la protection des renseignements personnels et à la sécurité des TI

La création et la gestion des ÉFVP requièrent une étroite collaboration entre les programmes ou les secteurs d'activité, et la sécurité des TI. L'alignement et l'intégration des risques liés aux TI avec la protection des renseignements personnels ont été soulevés dans l'Audit du cadre de contrôle du Ministère pour la gestion des renseignements personnels de 2015. Le Ministère a signalé que le bureau de la sécurité des TI avait été entièrement intégré dans le processus d'examen des ÉFVP en avril 2017. Cependant, l'audit interne a constaté que 12 des 15 ÉFVP examinés ont identifié des risques potentiels découlant de l'absence d'une évaluation de la sécurité des TI. Les évaluations de la sécurité des TI qui n'ont pas été faites étaient parfois classées comme risque « modéré » ou « élevé », et parfois étiquetées « inconnu ».

En plus, les risques liés aux renseignements personnels identifiés dans les évaluations de la sécurité des TI n'étaient pas toujours clairement illustrés dans les ÉFVP correspondantes. Par exemple, une ÉFVP a évalué le risque lié à l'utilisation d'un système particulier comme étant un faible risque. Cependant, l'évaluation de la sécurité des TI de ce système a identifié quatre risques élevés reliés à la confidentialité des renseignements personnels. Aucun de ces risques en matière de TI liés à la confidentialité n'avait été entièrement atténué lorsque l'ÉFVP a été approuvée; en date d'avril 2018, deux risques étaient toujours en attente d'être atténués.

L'audit interne a également constaté qu'aucune des 15 ÉFVP examinées n'a été mise à jour à la suite des évaluations pertinentes de la sécurité des TI, même dans les cas où des risques élevés liés aux renseignements personnels ont été soulevés. Par exemple, une ÉFVP mentionne que « dans l'éventualité où des risques seraient identifiés [dans l'évaluation de la sécurité des TI], ils seront atténués avant la mise en œuvre [du programme] ». Toutefois, bien que deux risques élevés et trois risques modérés liés à la confidentialité aient été identifiés dans l'évaluation de la sécurité des TI, un énoncé d'autorisation conditionnelle a été signé pour approuver une autorisation d'exploitation (afin de donner le temps d'atténuer de façon satisfaisante les risques qui avaient été identifiés dans l'évaluation), ce qui est en contradiction avec l'engagement pris dans l'ÉFVP approuvée.

Recommandation

Le CPRP devrait inclure les risques liés aux renseignements personnels identifiés dans les évaluations de la sécurité des TI dans les ÉFVP et surveiller qu'ils soient atténués par des activités correspondant aux risques qui ont été soulevés.

Réponse de la direction

La direction est d'accord. La DGRP s'assurera que la sécurité des TI soit consultée dans chaque ÉFVP et que leurs conseils soient intégrés dans les analyses. La DGRP surveillera aussi les risques liés à la sécurité des TI et travaillera avec la sécurité des TI pour s'assurer que les actions d'atténuation correspondent au niveau du risque. Les actions devraient être complétées d'ici août 2018.

2.3 Les contrôles visant à vérifier que le Ministère ait mis en œuvre les activités d'atténuation des risques liés à la protection de la vie privée sont absents

Les ÉFVP visent à s'assurer qu'on cerne, évalue et règle de manière appropriée les incidences sur la vie privée avant de mettre en œuvre une activité ou un programme nouveau ou ayant subi des modifications importantes et comportant des renseignements personnels. L'audit interne a relevé 116 activités d'atténuation dans les 15 ÉFVP examinées. Notre analyse indique ce qui suit :

• L'audit interne pense qu'il serait avantageux que les thèmes récurrents soient abordés de façon plus stratégique ou horizontale. Ces thèmes comprennent : la mise à jour des fichiers de renseignements personnels (pour 11 des 15 ÉFVP); l'établissement d'un calendrier de conservation ou d'une autorisation de disposition des documents (pour 9 des 15 ÉFVP); et la mise à jour des avis de confidentialité à l'intention des clients (pour 8 des 15 ÉFVP);
• 20 activités d'atténuation (17 %) n'avaient pas de date d'achèvement (12 d'entre elles visant à atténuer des risques faibles, 3 visant à atténuer des risques modérés et 5 visant à atténuer des risques élevés). L'audit interne remet en question l'efficacité d'une activité d'atténuation qui n'a pas une date d'achèvement, surtout si elle vise à atténuer un risque élevé;
• 79 activités d'atténuation (68 %) ont nécessité une collaboration avec d'autres directions générales que celle qui a approuvé l'ÉFVP. De plus, la structure de responsabilité diluée rend difficile la mise en œuvre en temps opportun des activités d'atténuation. Le suivi devient plus fastidieux et, dans certains cas, les directions générales sont responsables d'exécuter des activités d'atténuation qui ne relèvent pas d'elles;
• 38 activités d'atténuation (33 %) ont nécessité une participation importante de la Direction générale de l'innovation, de l'information et de la technologie (DGIIT), la plupart de ces activités sont liées à la réalisation des évaluations de la sécurité des TI. Compte tenu des contraintes actuelles, la DGIIT a élaboré un plan de travail distinct pour la réalisation des évaluations de la sécurité fondées sur le risque. La haute direction aurait avantage à être informée dans l'ÉFVP elle-même que la DGIIT n'a pas inclus un système dans son plan de travail prioritaire fondé sur le risque. Dans ces cas, il faut préciser clairement qu'il n'y aura pas une évaluation des risques en matière de TI et que cela constitue un risque résiduel qui est accepté par l'organisation.

L'audit interne a également évalué l'état des 116 activités d'atténuation contenues dans les 15 ÉFVP examinées et a constaté ce qui suit (en date d'avril 2018) :

• Le Ministère avait accepté le risque pour 18 des activités examinées. L'audit interne soulève des préoccupations en ce qui concerne 4 de ces 18 risques. Dans certains cas, les mécanismes d'atténuation actuels ne réduisent pas efficacement les risques liés aux renseignements personnels à un niveau acceptable. Dans un autre cas, les risques qui sont individuellement acceptables, lorsqu'ils sont combinés, élèvent le risque composé à un niveau qui, à notre avis, nécessiterait que des mesures soient prises;
• Pour 22 activités, la direction générale responsable de l'ÉFVP n'a pas été en mesure de produire un compte rendu de leur mise en œuvre. La grande majorité de ces activités exigent une collaboration entre les directions générales du Ministère, avec des partenaires externes ou les deux;
• 42 activités ont été achevées. L'audit interne estimait que, de ces 42 activités, 33 avaient pleinement pris en compte leurs risques respectifs, tandis que 9 n'avaient que partiellement atténué ces risques (dont 3 étaient considérés comme des risques élevés et 2 comme des risques modérés);
• 18 activités étaient en cours, dont 13 n'avaient pas de date d'achèvement prévue (2 d'entre elles visant à atténuer des risques élevés, 11 visant à atténuer des risques modérés, 4 visant à atténuer des risques faibles et 1 dont le niveau de risque était inconnu);
• 11 activités n'ont pas débuté et n'avaient pas de date d'achèvement prévue (4 visant à atténuer des risques modérés, 6 visant à atténuer des risques faibles et 1 dont le niveau de risque était inconnu);
• Les 5 autres activités ont été jugées désuètes et ne constituaient pas une préoccupation pour l'audit interne.

Compte tenu du temps considérable consacré par les directions générales à la production des ÉFVP, le Ministère à besoin d'un meilleur suivi de la mise en œuvre des activités d'atténuation, en particulier pour les éléments présentant un risque élevé et modéré. La centralisation de la fonction de suivi pourrait également permettre de réaliser des gains d'efficience en évitant le dédoublement des activités de suivi menées par plusieurs directions générales au sein des organisations responsables des services internes comme la DGIIT.

Recommandation

Le CPRP devrait être responsable du suivi des activités d'atténuation pour vérifier si elles sont mises en œuvre telles que documentées dans les ÉFVP.

Réponse de la direction

La direction est d'accord. La DGRP développera une approche fondée sur le risque afin de s'assurer que le suivi est approprié et que les actions identifiées dans les ÉFVP sont mises en œuvre.

Comme étape intermédiaire, la DGRP entamera un examen des activités restantes des ÉFVP sur une base pilote débutant en juillet 2018 avec les ressources disponibles. Une évaluation des ressources supplémentaires requises pour mettre en œuvre une approche plus raffinée sera entreprise et partagée avec la haute direction d'ici janvier 2019.

L'audit interne a aussi visité deux régions afin de voir comment les ÉFVP ayant des composantes régionales importantes avaient été mises en œuvre. L'audit interne a permis de constater que les renseignements personnels avaient été protégés adéquatement, mais qu'il existait des divergences entre l'environnement théorique décrit dans les ÉFVP et les opérations réelles. Par exemple, les risques liés au transport de renseignements personnels à l'extérieur des locaux du gouvernement durant les visites sur place n'avaient pas été évalués dans les ÉFVP. Les risques de perdre ou d'égarer des dossiers physiques par messagerie ont également été omis dans les ÉFVP. L'utilisation de répertoires de renseignements qui ne sont pas documentés dans les ÉFVP peut également accroître le risque de conserver des renseignements plus longtemps que nécessaire.

Conclusion

L'audit a constaté que l'approche actuelle qui est utilisée pour les ÉFVP a entraîné la mise en œuvre de pratiques de protection de la vie privée qui respectent habituellement les exigences des lois et des politiques applicables. Cependant, cette approche ne repose pas sur un cadre de contrôle rigoureux, elle dépend plutôt de l'attention portée par les fonctionnaires qui mettent en œuvre les programmes et les activités impliquant des renseignements personnels.

L'audit a identifié que les contrôles menant à une identification exhaustive et une évaluation uniforme des risques liés aux renseignements personnels ont besoin d'être améliorés. L'audit a également constaté que le Ministère a besoin de faire le suivi des activités d'atténuation décrites dans les ÉFVP approuvées afin de confirmer leur mise en œuvre.

À mesure que le Ministère continue d'améliorer son cadre de protection des renseignements personnels, les rôles et les responsabilités auront besoin d'être révisés afin de bien cerner les répercussions sur la protection de la vie privée, de les évaluer de façon uniforme et de les résoudre adéquatement. Ceci devra être fait avant que les activités ou les programmes nouveaux ou ayant subi des modifications importantes qui comportent des renseignements personnels soient mis en oeuvre.

Énoncé d'assurance

Selon notre jugement professionnel, les procédures d'audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l'exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l'audit. Les conclusions ne s'appliquent qu'à l'Audit de la gestion et la mise en œuvre des 15 ÉFVP examinées dans le présent audit. Les éléments probants ont été recueillis conformément à la Politique sur l'audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l'audit interne.

Annexe A : Évaluation des critères de l'audit

Annexe B : Glossaire

• CPRP : Chef de la protection des renseignements personnels
• CPRPSTI : Comité de la protection des renseignements personnels et de la sécurité de la technologie de l'information
• DGIIT : Direction générale de l'innovation, de l'information et de la technologie
• DGRP : Division de la gestion des renseignements personnels
• ÉFVP : Évaluation des facteurs relatifs à la vie privée
• SM : Sous-ministre
• TI : Technologies de l'information

Annexe C : Évaluations des facteurs relatifs À la vie privée examinées dans l'audit interne

1. Programme canadien pour l'épargne-invalidité : administration de la Subvention canadienne pour l'épargne-invalidité et du Bon canadien pour l'épargne-invalidité
2. Programme des travailleurs étrangers temporaires, phase IV
3. Programme de dédommagement des employeurs de réservistes
4. Entente sur le perfectionnement de la main-d'œuvre
5. Rôle de Service Canada dans les inspections du Programme de mobilité internationale
6. Système intégré de gestion de l'apprentissage
7. Protocole d'entente interministériel avec l'Agence du revenu du Canada portant sur les services de recouvrement
8. Service fédéral d'indemnisation des accidentés du travail en vertu de la Loi sur l'indemnisation des agents de l'État
9. Hootsuite : Service hébergé de gestion des comptes des médias sociaux
10. Prêt canadien aux apprentis, phase III : remboursement
11. Stratégie emploi jeunesse
12. Rétroaction individuelle sur la qualité – Exactitude
13. Administration du Programme canadien pour l'épargne-études et prestation de la Subvention canadienne pour l'épargne-études, du Bon d'études canadien du Programme canadien pour l'épargne-études et des incitatifs provinciaux à l'épargne-études
14. Transition du Programme de passeport
15. Initiative d'inscription proactive à la Sécurité de la vieillesse, phase II