Résumé de l’évaluation des facteurs relatifs à la vie privée du Système de divulgation des conflits d’intérêts

Résumé

Le 28 novembre 2014, la présidente de SPC a envoyé à tout le personnel du Ministère un courriel comprenant un lien vers le formulaire électronique de divulgation des conflits d’intérêts (DCI). Le courriel avait pour but de rappeler aux employés leur obligation de divulguer tout conflit d’intérêts et de les informer qu’ils pouvaient le faire au moyen du nouveau formulaire électronique, et ce, avant le 12 décembre 2014, s’ils ne l’avaient pas déjà fait. Le formulaire électronique constituait la première tentative visant à éliminer le formulaire papier.

Le Système de divulgation des conflits d’intérêts (SDCI) est un système électronique qui remplace le Formulaire électronique de divulgation des conflits d’intérêts, anciennement un formulaire papier, pour que les employés de SPC puissent divulguer leurs biens, leurs passifs, leur emploi à l’extérieur de la fonction publique, leurs relations personnelles et leurs réseaux, leurs activités après-mandat et autres activités qui pourraient donner lieu à des situations de conflit d’intérêts réel, apparent ou potentiel en ce qui a trait aux responsabilités et fonctions officielles liées à leur poste.

Aperçu

Conformément au Code de valeurs et d’éthique du secteur public, à la Politique sur les conflits d’intérêts et l’après-mandat, à la Directive sur les conflits d’intérêts et l’après-mandat de Services partagés Canada (SPC) et au Code organisationnel de SPC, tous les employés fédéraux doivent remplir un rapport confidentiel sur papier au moment de joindre la fonction publique et également lors d’un changement qui pourrait les mettre en situation de conflit d’intérêts réel, apparent ou potentiel.

Il ne s’agit pas d’une nouvelle mesure et la responsabilité législative est clairement établie dans l’article 7 et l’alinéa 11.1(1) de la Loi sur la gestion des finances publiques.

Afin d’améliorer la protection des renseignements personnels, une décision en matière de conception a été prise, à savoir d’inclure la date de naissance dans le processus de vérification à titre de façon de réduire la possibilité d’atteinte à la vie privée ou à la sécurité. Pour ce qui est du fichier de renseignements personnels (FRP) en question, le Secrétariat du Conseil du Trésor a confirmé que le fichier de renseignements personnels ordinaire (FRPO) POE 915 « Code de valeurs et d’éthique du secteur public et Code(s) de conduite organisationnel(s) » ne nécessite aucun changement, car il renferme des « renseignements biographiques ».

Atténuation des risques

Une évaluation des facteurs relatifs à la vie privée (EFVP) du Système de divulgation des conflits d’intérêts a été réalisée pour cerner les risques potentiels d’entrave à la vie privée et élaborer des stratégies d’atténuation connexes.

Pour ce qui est de la protection des renseignements personnels, selon l’évaluation de sécurité et autorisation (ESA) du SDCI, les risques résiduels suivants ont été atténués et acceptés :

  • Le risque que des employés malveillants exploitent les faiblesses potentielles de l’application frontale Web, des serveurs d’application ou des bases de données pour compromettre l’environnement : il existe des contrôles de sécurité comme l’indique le certificat de conformité du Centre de données de la promenade de l’Aéroport, délivré en 2006. Les installations de centres de données de SPC ont accepté le risque de niveau MOYEN des centres de données existants depuis la création de SPC en 2011.
  • Des données probantes manquantes liées aux zones « Protégé B » appropriées : Les Opérations de SPC ont fourni des éléments probants de segmentation appropriée de la zone afin de respecter adéquatement les exigences relatives aux éléments de niveau Protégé B de la solution du SDCI.
  • Le manque d’évaluation de la vulnérabilité : l’évaluation de la vulnérabilité a été achevée en novembre 2017 et une évaluation est maintenant effectuée tous les mois. Cela a permis de corriger des vulnérabilités à risque élevé.
  • Des protocoles de chiffrement inadéquats : les éléments probants indiquent que la fonction de chiffrement approuvée par le Centre de la sécurité des télécommunications pour les documents de niveau Protégé B est activée pour la connexion Internet, afin de réduire le risque de détournement permettant à des utilisateurs non autorisés d’avoir accès à des renseignements de nature délicate sauvegardés dans le SDCI.

Une évaluation de la vulnérabilité a été effectuée pour aborder certains des risques susmentionnés. À l’heure actuelle, des analyses de la vulnérabilité sont réalisées tous les mois afin de surveiller le système. Il faut noter que SPC pourra accéder à l’application uniquement par le réseau du gouvernement du Canada; SPC ne pourra pas y avoir accès par Internet.

Détails de la page

Date de modification :