Résumé de l’évaluation des facteurs relatifs à la vie privée (EFVP) du service de communication et de collaboration numériques (CNN)

Objectif

Compte tenu de la fin prévue en décembre 2021 du contrat avec Bell pour la solution Votre service de courriel (VSC) et de la nécessité de fournir au personnel du gouvernement du Canada (GC) des outils intégrés basés sur le serveur infonuagique, Services partagés Canada (SPC) a lancé la solution de communication et de collaboration numériques (CCN), dans les buts suivants :

1. présenter les outils et les services de la plateforme M365 aux clients ministériels afin d’assurer la continuité du service de courriel;
2. fournir au GC des applications modernes intégrées de courriel, de vidéoconférence et d’audioconférence, de productivité de bureau accessible sur le Web, ainsi qu’une gamme d’outils de collaboration numérique connexe;
3. permettre une transition ministérielle progressive et sans heurts en s’appuyant sur l’expérience acquise par les premiers utilisateurs de la CCN, afin de définir la stratégie de migration, la gestion du changement, les mises à niveau du réseau, l’identification et la gestion des justificatifs, le contrôle de la sécurité et les éléments du guide.

Description

L’article 6 de la Loi sur Services partagés Canada et les décrets numéros 2015‑1071 et 2013‑0368 nous accordent le pouvoir de recueillir les renseignements personnels dont nous avons besoin pour offrir ce service.

Raisons pour lesquelles une évaluation des facteurs relatifs à la vie privée (EFPV) était nécessaire

Lors de notre examen de la solution de CCN, nous avons constaté que même si SPC recueille très peu de renseignements personnels, ce qui suit s’applique :

• les organismes clients ministériels, également appelés locataires, sont responsables des renseignements personnels sous leur contrôle, de la sélection des charges de travail Microsoft, des éléments de données à synchroniser vers le serveur infonuagique et de la mise en œuvre des contrôles et des fonctionnalités de base de la configuration;
• la solution de CCN utilise une solution basée sur l’infonuagique publique, et le fournisseur de services infonuagiques (FSI) est un fournisseur mondial multinational, Microsoft inc.;
• certains des centres de services Microsoft sont établis aux États‑Unis, de sorte que leurs activités ne sont pas visées par les lois canadiennes sur la protection de la vie privée.

Conclusions de l’EFVP et mesures d’atténuation

L’EFVP visait la CCN en tant que solution (c’est‑à‑dire, les six projets exploratoires du Projet de CCN [PCCN] [volet 1], plus de 20 partenaires [volet 2] et les ministères restants [volet 3]). Elle tient compte de tous les travaux d’entreprise de SPC, tels que les travaux liés au répertoire qui portent sur l’identification et l’authentification, l’intégration de la cybersécurité du GC, la migration du VSC et de l’Initiative de transformation des services de courriel (ITSC), l’examen de la confidentialité de la configuration de base pour les ensembles de charges de travail comme Exchange Online, MS Teams, Azure AD, ainsi que sur les processus opérationnels de confidentialité, etc.

L’EFVP a relevé des risques d’entrave à la vie privée. Ces risques seront traités dans le cadre d’un plan d’action de SPC et atténués grâce aux meilleures solutions techniques, aux contrôles de sécurité et aux conseils appropriés.

L’EFVP du PCCN de SPC et le plan d’action constituent une évaluation continue. Nous traiterons les mises à jour ultérieures au moyen d’addendas dans le cadre de l’EFVP.