Résumé de l’évaluation des facteurs relatifs à la vie privée pour le service de sécurité du périmètre d’entreprise de SPC

Objectif

Le principal objectif du service de sécurité du périmètre d’entreprise (SPE) est d’améliorer le périmètre Internet du gouvernement du Canada (GC) grâce à une inspection du trafic Internet et à la mise en place de mesures de sécurité. Cette solution vise à :

1. donner une meilleure vue d’ensemble des incidents;
2. améliorer de façon importante la sécurité des services de protection et de détection pour le service et l’infrastructure de défense du périmètre de sécurité Internet existants;
3. moderniser notre réponse à l’aide de méthodes plus adaptatives, complètes, de pointe et proactives pour prévenir et réduire les menaces actuelles et futures.

Description

La solution proposée est conçue pour intercepter toutes les sessions sécurisées (Secure Socket Layer/Transport Layer Security [SSL/TLS]) sortant des réseaux du GC et utilisant les points de présence du service d’information Internet à destination de l’Internet plus large. Elle décryptera, inspectera et traitera ce trafic à l’aide de plusieurs outils de sécurité et le recryptera pour sa destination ultime.

L’article 6 de la Loi sur Services partagés Canada et les décrets numéros C.P. 2015-1071 et 2013-0368 nous confèrent le pouvoir d’offrir ce service. De plus, l’article 161 de la Loi sur la gestion des finances publiques donne à Services partagés Canada (SPC) le pouvoir de protéger ses systèmes.

Pourquoi l’évaluation des facteurs relatifs à la vie privée (EFVP) est-elle nécessaire?

L’EFVP était nécessaire afin de s’assurer que la protection de la vie privée est prise en compte tout au long du développement, pour l’essai et la mise en œuvre du service de SPE ainsi que pour cibler tous les risques possibles concernant la vie privée et réduire les risques en prenant des mesures appropriées.

Conclusions de l’EFVP et mesures d’atténuation

L’EFVP a porté sur tous les éléments du SPE, dont les intrants, la conception, les procédures, les processus, les extrants et les interfaces humaines et de projet mettant en jeu la collecte, l’utilisation, la conservation, la divulgation ou le retrait de renseignements personnels.

Le service sera déployé dans les organisations abonnées aux services Internet de SPC, aussi appelées abonnés d’Internet. L’EFVP ne couvre pas les réseaux, les infrastructures, les processus ou les renseignements personnels sous le contrôle des abonnés d’Internet.

L’EFVP a révélé que le SPE comporte plusieurs mesures de protection de la vie privée intégrées dans sa conception :

• Si du contenu suspect est détecté, SPC numérise, enregistre, recueille et conserve uniquement les renseignements personnels minimaux pour les registres;
• L’intervention humaine est minimale et aucune copie papier des rapports n’est produite; et
• Le SPE est configuré pour contourner le décryptage des renseignements personnels bancaires et médicaux de nature délicate.

L’EFVP a repéré des risques liés à la protection des renseignements personnels. Depuis le début de cette évaluation, SPC a réalisé des progrès en diminuant le nombre total de risques et les niveaux de risque. Les risques restants seront abordés grâce à un plan d’action de SPC qui comporte des solutions techniques, des contrôles de sécurité et des conseils appropriés.

Notre travail n’est pas encore terminé : l’évaluation des risques pour la vie privée est un processus qui ne s’arrête pas une fois l’EFVP terminée et approuvée. L’EFVP demeurera donc pertinente et sera mise à jour pour tenir compte des modifications au SPE touchant la vie privée d’une personne.