Évaluation des facteurs relatifs à la vie privée du service de gestion des appareils mobiles d’entreprise
Objet
Lorsque BlackBerry a décidé de ne plus produire d’appareils BlackBerry, Services partagés Canada (SPC) a commencé à offrir le service de gestion des appareils mobiles d’entreprise (GAME) aux employés de SPC et aux organisations partenaires. Nous avons conçu et proposé ce service pour :
- lancer deux nouvelles plateformes d’appareils mobiles;
- créer un service suffisamment robuste pour gérer tous les appareils mobiles du gouvernement du Canada.
Description
L’article 6 de la Loi sur Services partagés Canada et les décrets numéros C.P. 2015-1071 et 2016-0368 nous accordent le pouvoir de recueillir les renseignements personnels dont nous avons besoin pour offrir ce service.
Le service de GAME recueille le nom et les coordonnées professionnelles des utilisateurs. Ces renseignements comprennent le nom d’utilisateur et le mot de passe utilisés pour accéder aux services de courriel. Ils peuvent aussi comprendre les justificatifs d’identité ICP du gouvernement du Canada (FRP SPC PCU 606 – Services de gestion des justificatifs d’identité internes).
Raisons pour lesquelles une évaluation des facteurs relatifs à la vie privée (EFPV) était nécessaire
Lors de notre examen du service de GAME, nous avons constaté que même si SPC recueille très peu de renseignements personnels :
- les organisations partenaires sont responsables des renseignements personnels sous leur contrôle;
- l’appareil mobile recueille des renseignements personnels comme des données biométriques et des mots de passe qui sont stockés dans une enclave sécurisée à l’intérieur de l’appareil lui-même;
- les utilisateurs du service GAME peuvent également fournir des renseignements personnels directement à des tiers, volontairement ou non, par exemple, aux fournisseurs de TI comme Apple et Google, ou à des applications ou « applis » qui ne sont pas assujettis à la Loi sur la protection des renseignements personnels, aux lois qui régissent le programme ou aux politiques gouvernementales sur la protection des renseignements personnels.
Conclusions de l’EFVP et mesures d’atténuation
L’EFPV a examiné :
- les nouvelles plateformes des appareils mobiles Samsung/Android et iOS;
- la nouvelle infrastructure de services mentionnée dans la version 1.4 de la feuille de route du service GAME.
Note : les mises à jour futures du service GAME qui auront une incidence sur la protection de la vie privée seront traitées dans les addenda de l’EFVP.
L’EFVP nous a permis de cerner des risques d’atteinte à la vie privée et nous les avons atténués en adoptant une approche axée sur la collaboration pour trouver ensemble les solutions techniques, les contrôles de sécurité et les documents d’orientation des utilisateurs les plus pertinents.
SPC prendra toujours des mesures pour atténuer les risques, car la sécurité et la protection de la vie privée font partie de notre processus de gestion continu des risques.
Détails de la page
- Date de modification :