Enquête sur les pratiques contractuelles de l’Agence des services frontaliers du Canada utilisées dans le cadre de la conception de l’application ArriveCAN

Pour obtenir plus de renseignements, veuillez communiquer avec :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)  K1A 1H3

Sans frais : 1-800-282-1376
Téléphone : 819-994-5444
ATS : 819-994-6591

© Sa Majesté le Roi du chef du Canada, pour le Commissariat à la protection de la vie privée du Canada, 2026

Numéro de catalogue : IP54-120/2026F-PDF
ISBN : 978-0-660-98723-1

Lettre à la présidente du Sénat

PAR COURRIEL

Le 12 mars 2026

L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario)  K1A 0A4

Madame la Présidente,

J’ai l’honneur de remettre au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé : Enquête sur les pratiques contractuelles de l’Agence des services frontaliers du Canada utilisées dans le cadre de la conception de l’application ArriveCAN. Ce dépôt se fait en vertu des paragraphes 39(1) et 40(1) de la Loi sur la protection des renseignements personnels.

Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.

Le commissaire,

Lettre au président de la Chambre des communes

PAR COURRIEL

Le 12 mars 2026

L’honorable Francis Scarpaleggia, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

J’ai l’honneur de remettre au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé : Enquête sur les pratiques contractuelles de l’Agence des services frontaliers du Canada utilisées dans le cadre de la conception de l’application ArriveCAN. Ce dépôt se fait en vertu des paragraphes 39(1) et 40(1) de la Loi sur la protection des renseignements personnels.

Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.

Le commissaire,

Table des matières

Vue d’ensemble

Contexte

Plainte

Portée et méthodologie

Analyse

Question : L’ASFC a-t-elle autorisé les entrepreneurs à accéder aux renseignements personnels recueillis au moyen d’ArriveCAN sans qu’ils disposent de la cote ou de l’autorisation de sécurité requise, contrevenant aux exigences des articles 7 et 8 de la Loi sur la protection des renseignements personnels

• Sous-question 1 : Les autorisations de tâches et les contrats d’ArriveCAN contenaient-ils des clauses appropriées pour garantir la protection des renseignements personnels des voyageurs auxquels les entrepreneurs avaient accès
• Sous-question 2 : L’ASFC a-t-elle respecté les exigences en matière de sécurité pour les autorisations de sécurité et les contrats liés à ArriveCAN
• Sous-question 3 : L’ASFC a-t-elle mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels recueillis au moyen d’ArriveCAN auxquels les entrepreneurs avaient accès

Autre

Pratiques d’approvisionnement pouvant avoir une incidence sur la protection de la vie privée

Conclusions et constatations

Annexe A : Versions importantes d’ArriveCAN

Annexe B : Niveaux de sécurité pour les renseignements et les biens gouvernementaux de nature délicate

Notes de bas de page

Introduction

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a terminé une enquête sur les pratiques contractuelles de l’Agence des services frontaliers du Canada (ASFC ou l’Agence) utilisées dans le cadre de la conception de l’application ArriveCAN, y compris les mesures mises en œuvre par l’ASFC pour atténuer les risques que présente la gestion, par les entrepreneurs, des renseignements personnels des voyageurs.

L’application ArriveCAN a été conçue en réponse à la pandémie de COVID-19 pour numériser la collecte de renseignements sur les voyageurs et accélérer le traitement des voyageurs à la frontière.  Compte tenu du besoin pressant d’obtenir des services professionnels en technologie de l’information ainsi que de la capacité interne limitée, l’ASFC s’est largement appuyée sur des entrepreneurs pour exécuter les travaux liés au programme ArriveCAN, notamment la mise au point et la tenue à jour de l’application. 

Bien qu’il n’y ait aucune disposition dans la Loi sur la protection des renseignements personnels (LPRP) qui empêche les institutions gouvernementales de faire appel à des ressources contractuelles externes, l’externalisation peut comporter des risques supplémentaires d’atteinte à la vie privée, notamment si les entrepreneurs doivent avoir accès aux renseignements ou aux biens gouvernementaux. Il est donc essentiel que les institutions tiennent compte des répercussions sur la vie privée lorsqu’elles confient leurs activités à des sous-traitants et veillent à ce que des mesures de sécurité appropriées soient en place pour atténuer les risques liés à l’externalisation et protéger les renseignements personnels auxquels les entrepreneurs ont accès.

Le présent rapport spécial au Parlement souligne le lien étroit entre la passation de contrats et la protection de la vie privée. Les contrats servent de cadre juridique pour définir la manière dont les renseignements personnels seront traités et protégés, ce qui est essentiel pour les activités de sous-traitance du gouvernement et assurer le respect de la LPRP. 

Dans l'ensemble, l'enquête n'a révélé aucune violation de la LPRP. Elle a toutefois fait ressortir certaines lacunes liées aux pratiques contractuelles de l'ASFC qui auraient pu avoir une incidence sur la protection de la vie privée. Les conclusions de cette enquête représentent une occasion de sensibiliser toutes les institutions gouvernementales et d’améliorer les pratiques relatives à la protection de la vie privée dans le contexte de la passation de contrats.

Vue d’ensemble

En mars 2024, après avoir reçu une plainte, le Commissariat à la protection de la vie privée (le Commissariat) a lancé une enquête sur les pratiques contractuelles de l’Agence des services frontaliers du Canada (ASFC ou l’Agence) utilisées dans le cadre de la conception de l’application ArriveCAN. La partie plaignante a avancé que l’ASFC pourrait être en violation des articles 7 et 8 de la Loi sur la protection des renseignements personnels (LPRP) si les ressources auxquelles elle a fait appel avaient accès, ou pouvaient avoir accès, aux renseignements personnels de voyageurs, sans disposer de la cote ou de l’autorisation de sécurité nécessaire.

Par la suite, dans une motion datée du 6 mai 2024, le Comité permanent des opérations gouvernementales et des prévisions budgétaires a demandé au Commissariat d’enquêter sur le travail de tous les entrepreneurs et sous-traitants ayant participé à la conception d’ArriveCAN afin de déterminer si la vie privée et les renseignements personnels des Canadiennes et Canadiens étaient adéquatement protégés pendant le processus.

À la lumière des préoccupations soulevées, le Commissariat a, dans le cadre de l’enquête, évalué la conformité de l’ASFC à la LPRP en examinant les pratiques contractuelles utilisées dans le cadre de la conception d’ArriveCAN ainsi que les mesures prises pour atténuer les risques d’atteinte à la vie privée liés à l’utilisation des ressources contractuelles.

Le Commissariat a examiné ce qui suit : i) si l’ASFC a inclus des clauses appropriées, y compris des exigences en matière de sécurité, dans les contrats et les autorisations de tâches (AT)^{Note de bas de page 1} relativement aux activités de conception d’ArriveCAN afin d’assurer la protection des renseignements personnels, et si ces exigences étaient exactes et précises; ii) la conformité de l’ASFC aux exigences en matière de sécurité établies pour les contrats liés à ArriveCAN, notamment le filtrage de sécurité des fournisseurs et des entrepreneurs; iii) si des mesures de sécurité appropriées ont été mises en place pour protéger les renseignements personnels, y compris des contrôles administratifs et techniques pertinents.

À la suite de l’enquête, le Commissariat a tiré les conclusions clés suivantes :

1. Tous les contrats liés à ArriveCAN permettant l’accès à des renseignements personnels comprenaient des clauses appropriées décrivant les exigences contractuelles en matière de sécurité et prévoyaient des mesures de sécurité précises à mettre en œuvre. Des examens à l’aide de listes de vérification des exigences relatives à la sécurité (LVERS)^{Note de bas de page 2} ont été effectués afin de déterminer, entre autres, le type et le niveau de renseignements auxquels les entrepreneurs doivent avoir accès et le(s) niveau(x) de filtrage de sécurité requis pour les fournisseurs et les ressources contractuelles. Cependant, le Commissariat a relevé des enjeux quant à l’exactitude et la rapidité de certaines évaluations de sécurité. Par exemple, un examen à l’aide d’une LVERS a été effectué quatre ans avant l’attribution du contrat, et des événements ayant eu lieu pendant cette période auraient pu compromettre l’exactitude et la fiabilité de l’évaluation de sécurité. Dans un autre cas, la LVERS exigeait une autorisation de détenir des renseignements (ADR)^{Note de bas de page 3}, mais celle-ci a été jugée inutile 14 mois plus tard. Cela remet également en question l’exactitude de l’évaluation de sécurité et des données utilisées pour l’effectuer.
2. Les AT ont permis de définir les exigences en matière de sécurité applicables aux tâches décrites, compte tenu du cadre et de la portée des contrats généraux. Cependant, le Commissariat a constaté que, dans certains cas, les tâches décrites dans les AT étaient très vagues et ne précisaient pas le nom du projet ou du système sur lequel les entrepreneurs allaient travailler. De plus, le Commissariat trouve préoccupant que dans certains cas, des AT dans le cadre desquelles les travaux liés à ArriveCAN ont été exécutées, ont été approuvées avant même que le projet ArriveCAN soit présenté. Le Commissariat croit que cette pratique empêche les institutions de réaliser une évaluation adéquate des exigences précises en matière de sécurité et de protection de la vie privée requises pour un projet donné.
3. Tous les fournisseurs respectaient les exigences contractuelles en matière de sécurité établies par l’ASFC (c’est-à-dire la vérification d’organisation), et ce, pendant toute la durée de leur contrat.
4. Les 13 entrepreneurs ayant obtenu l’accès à l’environnement de production d’ArriveCAN (où les renseignements personnels étaient stockés) disposaient de la cote ou de l’autorisation de sécurité nécessaire (comme il est indiqué dans leur AT) avant de commencer à travailler pour l’ASFC. Le Commissariat a cependant constaté qu’un entrepreneur a travaillé sans cote de sécurité à jour pendant un an et demi, en raison d’un retard de traitement par l’ASFC.
5. Des 13 entrepreneurs, 6 ont obtenu l’accès à l’environnement de production d’ArriveCAN pour exécuter des travaux ne nécessitant pas l’accès aux renseignements personnels des voyageurs, car le rôle d’utilisateur en technologie de l’information qui leur a été attribué leur donnait accès à ces renseignements. Néanmoins, le Commissariat a confirmé que ces entrepreneurs n’ont pas accédé aux renseignements personnels des voyageurs.
6. Le Commissariat a cherché à déterminer si l’ASFC avait mis en œuvre des contrôles de sécurité clés pour protéger les données de l’application ArriveCAN. Dans l’ensemble, nous avons conclu que l’ASFC avait mis en place des mesures de sécurité administratives et techniques adéquates relativement aux activités des entrepreneurs. Par exemple, les entrepreneurs utilisaient seulement les ordinateurs portables fournis par l’ASFC pour accéder à l’environnement de production d’ArriveCAN, et l’accès aux renseignements personnels des voyageurs était protégé, car ceux-ci étaient stockés dans des environnements séparés logiquement et dotés de contrôles d’accès stricts.
7. Enfin, l’enquête du Commissariat a permis de relever certaines lacunes quant aux processus d’approvisionnement qui auraient pu avoir des répercussions sur la protection de la vie privée, notamment la consignation des dossiers d’approvisionnement.

Malgré les points mentionnés ci-dessus, le Commissariat n’a trouvé aucune preuve qui indique que des renseignements personnels recueillis au moyen d’ArriveCAN ont été utilisés ou communiqués en violation de la LPRP. Par conséquent, le Commissariat conclut que la plainte n’est pas fondée. Néanmoins, à l’avenir, le Commissariat s’attend à ce que l’ASFC prenne les mesures suivantes lorsque des entrepreneurs effectueront des travaux en son nom :

1. veiller à ce que les exigences en matière de sécurité soient évaluées rigoureusement et précisément, puis satisfaites dans un délai raisonnable avant l’attribution du contrat;
2. veiller à ce que les descriptions de tâches des AT définissent clairement et précisément les projets ou travaux à effectuer pour que les exigences en matière de sécurité et de protection de la vie privée propres à ces tâches ou projets soient définies et évaluées adéquatement;
3. gérer les cotes et les autorisations de sécurité et les processus de renouvellement de manière proactive, avec rigueur et dans le cadre d’une surveillance stricte;
4. limiter les autorisations et l’accès à ce qui est strictement nécessaire.

L’ASFC a accepté les recommandations du Commissariat et était d’accord avec l’objectif global de renforcer les pratiques visant la protection de la vie privée et la sécurité dans son cadre de passation de contrats. L’Agence a également indiqué qu’elle demeure engagée à veiller à ce que ses politiques et procédures respectent les normes les plus élevées en matière de responsabilisation, de transparence et de protection de renseignements personnels. Nous présentons la réponse de l’ASFC à ces recommandations au paragraphe 91 du présent rapport.

Contexte

1. L’application ArriveCAN a été conçue en réponse à la pandémie de COVID-19 pour numériser la collecte de renseignements sur les voyageurs et accélérer le traitement des voyageurs à la frontière. L’application a recueilli divers renseignements sur la santé des voyageurs et les voyages effectués, notamment le statut vaccinal, les antécédents de voyage, les coordonnées et des renseignements sur les symptômes de la COVID-19^{Note de bas de page 4}.
2. À la demande de l’Agence de la santé publique du Canada (ASPC), l’ASFC a commencé à concevoir l’application ArriveCAN en mars 2020 pour mettre en œuvre des mesures liées à la COVID-19 dans le cadre d’une série de décrets d’urgence^{Note de bas de page 5}. L’application a d’abord été lancée le 29 avril 2020 et pouvait fonctionner sur trois plateformes courantes^{Note de bas de page 6}. L’utilisation de l’application est devenue obligatoire en novembre 2020 et a évolué en fonction des changements apportés aux ordonnances fédérales de santé publique jusqu’à l’abandon des ordonnances de voyage liées à la COVID-19 le 1er octobre 2022.
3. Compte tenu du besoin pressant d’obtenir des services professionnels en technologie de l’information ainsi que de la capacité interne limitée, l’ASFC a largement eu recours à des entrepreneurs pour exécuter les travaux liés au programme ArriveCAN, notamment pour la mise au point et la tenue à jour de l’application. L’ASFC a mis à jour l’application après son lancement en déployant au total 177 versions sur les trois plateformes. Ces versions étaient nécessaires afin de composer avec les exigences opérationnelles de l’ASPC et les changements apportés aux décrets et pour traiter les enjeux soulevés par l’équipe de soutien informatique. Une chronologie des déploiements majeurs d’ArriveCAN figure à l’annexe A.
4. Du lancement d’ArriveCAN en avril 2020 jusqu’à la fin de l’application des mesures de santé publique obligatoires en octobre 2022, l’ASFC a indiqué au Commissariat que plus de 29 millions de soumissions avaient été reçues pour environ 46 millions de voyageurs^{Note de bas de page 7}. Durant cette même période, les agents des services frontaliers saisissaient manuellement dans les systèmes de l’ASFC les renseignements des voyageurs n’ayant pas soumis ces renseignements dans l’application ArriveCAN. Au total, les renseignements personnels d’environ 60 millions de voyageurs ont été saisis dans les systèmes de l’ASFC à l’aide des deux méthodes.
5. Bien que l’utilisation de l’application ArriveCAN ne soit plus obligatoire depuis la levée des restrictions de voyage liées à la COVID-19, la fonction de déclaration de l’ASFC faite à l’avance (fonction numérique de déclaration de douane et d’immigration) de l’application ArriveCAN est encore disponible, et à ce jour les voyageurs peuvent l’utiliser pour gagner du temps à la frontière.
6. L’application a fait l’objet d’examens minutieux et a attiré l’attention du public. À la suite de la publication des rapports du Bureau de l’ombud de l’approvisionnement (BOA)^{Note de bas de page 8} et du Bureau du vérificateur général du Canada (BVG)^{Note de bas de page 9}, des lacunes et des faiblesses importantes dans les processus, les contrôles, la surveillance et la responsabilisation en matière d’approvisionnement ont été relevées. Des préoccupations ont également été soulevées concernant la possibilité que des ressources contractuelles aient eu accès illégalement aux renseignements personnels sensibles de voyageurs, ce qui a suscité des inquiétudes quant aux mesures de protection mises en place par l’ASFC pour assurer la protection de ces renseignements. Notamment, l’examen du BVG a également révélé que certaines ressources contractuelles ne disposaient pas d’une cote ni d’une autorisation de sécurité, exposant ainsi l’ASFC à un risque accru d’atteintes à la sécurité^{Note de bas de page 10}. Cette question a été examinée par le Commissariat lors de son enquête, et les conclusions sont présentées au paragraphe 55.

Plainte

7. Le 7 mars 2024, le Commissariat a reçu une plainte concernant les pratiques contractuelles de l’ASFC dans laquelle il a été spécifiquement mentionné que certaines ressources contractuelles ayant participé à la conception de l’application pouvaient ne pas avoir eu les cotes ou les autorisations de sécurité appropriées ou requises. Selon la partie plaignante : [traduction] « Si un entrepreneur ou un sous-traitant ne disposant pas des cotes ou des autorisations de sécurité nécessaires avait accès aux renseignements personnels des voyageurs ou, en raison de la mauvaise gestion et supervision de l’ASFC, pouvait y avoir accès, cela constituerait une violation des articles 7 et 8 de la Loi sur la protection des renseignements personnels. » Le Commissariat a lancé son enquête sur l’ASFC le 19 mars 2024^{Note de bas de page 11}.
8. Par la suite, dans une motion datée du 6 mai 2024, le Comité permanent des opérations gouvernementales et des prévisions budgétaires a demandé au Commissariat d’enquêter sur les aspects liés à la protection de la vie privée de l’application ArriveCAN, notamment le travail de tous les entrepreneurs et sous-traitants, afin de déterminer si la vie privée et les renseignements personnels des Canadiennes et Canadiens étaient adéquatement protégés.

Portée et méthodologie

9. La passation de contrats avec des fournisseurs de services tiers peut présenter des risques d’atteinte à la vie privée pour les institutions gouvernementales, tout particulièrement lorsque les modalités d’un contrat exigent l’accès à des systèmes gouvernementaux et à des renseignements personnels d’individus. Ces risques comprennent la consultation, l’utilisation et la communication non autorisées de renseignements personnels par les entrepreneurs, ou la compromission des renseignements personnels que ces derniers doivent stocker et protéger.
10. Dans ce cas, les entrepreneurs auxquels l’ASFC a fait appel n’utilisaient que des ordinateurs portables fournis par l’ASFC pour accéder à la plateforme infonuagique où ArriveCAN était hébergée, et les renseignements recueillis par l’ASFC et saisis dans ArriveCAN n’ont jamais été stockés dans les installations hors site des entrepreneurs. Par conséquent, le Commissariat a surtout examiné les contrôles administratifs, techniques et relatifs à la passation de contrats mis en œuvre par l’ASFC pour réduire les risques que présente l’accès par les entrepreneurs aux renseignements personnels recueillis au moyen d’ArriveCAN et hébergés dans l’info nuagique.
11. Dans le cadre de l’enquête, le Commissariat a évalué les mesures mises en œuvre par l’ASFC pour atténuer ces risques, notamment les exigences suivantes : 1) établir des ententes contractuelles claires prévoyant des clauses appropriées, y compris des exigences en matière de sécurité pour assurer la protection des renseignements personnels, et veiller à ce que ces exigences soient exactes et précises; 2) respecter les exigences en matière de sécurité établies pour les contrats liés à ArriveCAN (par exemple, procéder à des examens de filtrage de sécurité pour les organisations et le personnel); et 3) mettre en place des mesures de sécurité appropriées pour protéger les renseignements personnels, y compris des contrôles administratifs et techniques pertinents.
12. L’ASFC a confirmé avoir attribué un total de 25 contrats relatifs à ArriveCAN. Cependant, l’enquête du Commissariat a confirmé que seulement neuf d’entre eux prévoyaient que les ressources contractuelles aient accès aux données des voyageurs. De plus, bien qu’un total de 61 AT aient été émises dans le cadre de ces 9 contrats, le Commissariat a confirmé que seulement 15 AT prévoyaient un accès aux données des voyageurs. En majorité, le contenu des neuf contrats examinés par le Commissariat ne portait pas spécifiquement sur ArriveCAN, et les exigences incluses étaient larges (c’est-à-dire qu’ArriveCAN n’était qu’un des nombreux projets réalisés dans le cadre des contrats).
13. Dans le cadre de l’enquête, le Commissariat a notamment examiné les contrats et les AT pertinents d’ArriveCAN afin de déterminer si les entrepreneurs ayant accès à l’environnement de production d’ArriveCAN respectaient les exigences contractuelles en matière de sécurité (c’est-à-dire disposaient de la cote ou de l’autorisation de sécurité requise lors de l’attribution du contrat et pendant toute la durée du contrat, y compris lorsqu’ils accédaient aux renseignements personnels des voyageurs) et s’ils n’avaient accédé aux renseignements personnels recueillis au moyen d’ArriveCAN que pendant la période où leur AT était en vigueur et qu’à des fins appropriées.
14. L’examen du Commissariat couvrait la période d’avril 2020, soit le moment où l’application a initialement été lancée et où elle a commencé à être utilisée afin de recueillir les renseignements personnels des voyageurs, à novembre 2022, soit peu après que l’utilisation obligatoire de l’application dans le cadre des mesures de santé publique ait pris fin. Bien que l’ASFC ait continué de faire appel à des entrepreneurs pour exécuter des travaux liés à ArriveCAN entre novembre 2022 et mai 2023, l’Agence a confirmé que les entrepreneurs travaillaient uniquement sur l’application mobile dans un environnement d’essai et n’avaient pas accès aux renseignements personnels, et que seuls les employés gouvernementaux avaient accédé aux renseignements personnels, selon les besoins. L’ASFC a indiqué avoir fait appel exclusivement à ses employés pour assurer le bon fonctionnement d’ArriveCAN après le 15 mai 2023.
15. Pour mener son enquête, le Commissariat a également consulté des observations écrites et tenu des réunions avec les principales parties prenantes de l’ASFC, notamment le centre avancé de cyberdéfense de l’ASFC, qui a présenté une démonstration informatique. De plus, le Commissariat a examiné les renseignements soumis par Services publics et Approvisionnement Canada (SPAC), qui était l’autorité contractante pour huit des neuf contrats, afin de mieux comprendre son rôle et ses responsabilités quant à l’approvisionnement et à la sécurité des contrats^{Note de bas de page 12}.
16. En outre, le Commissariat a examiné les renseignements soumis par les organisations du secteur privé (fournisseurs) auxquelles les contrats ont été attribués et a communiqué avec la Gendarmerie royale du Canada (GRC) compte tenu de son enquête en cours sur ArriveCAN qui pourrait se chevaucher avec l’examen du Commissariat dans des aspects liés à la protection de la vie privée des Canadiennes et des Canadiens. Au moment de la rédaction du présent rapport, le Commissariat n’avait reçu aucun renseignement de la GRC jugé pertinent pour l’enquête du Commissariat.

Analyse

Question : L’ASFC a-t-elle autorisé les entrepreneurs à accéder aux renseignements personnels recueillis au moyen d’ArriveCAN sans qu’ils disposent de la cote ou de l’autorisation de sécurité requise, contrevenant aux exigences des articles 7 et 8 de la Loi sur la protection des renseignements personnels

17. Compte tenu des préoccupations soulevées par la partie plaignante et le Comité permanent des opérations gouvernementales et des prévisions budgétaires, le présent rapport examine la conformité de l’ASFC aux articles 7 et 8 de la LPRP, qui décrivent les conditions dans lesquelles les renseignements personnels peuvent être utilisés et communiqués par les institutions gouvernementales.
18. La LPRP vise à protéger la vie privée des individus en ce qui concerne leurs renseignements personnels détenus par une institution fédérale. Les institutions sont donc tenues de veiller à ce que des mesures de sécurité raisonnables soient en place pour protéger les renseignements personnels. Bien que non prévues explicitement par la LPRP, les mesures de sécurité sont exigées en vertu des instruments de politique du Secrétariat du Conseil du Trésor (SCT) en matière de protection de la vie privée qui soutiennent l’administration de la LPRP^{Note de bas de page 13}. La mise en œuvre des mesures permet de veiller à ce que les contrôles de sécurité appropriés soient en place pour protéger les renseignements contre les menaces à la fois accidentelles et délibérées (par exemple, accès non autorisé, modification, communication, utilisation inappropriée).
19. Il n’y a aucune disposition dans la LPRP ni dans les instruments de politique du SCT en matière de protection de la vie privée qui empêche les institutions gouvernementales de faire appel à des ressources contractuelles externes. Les entrepreneurs peuvent offrir une expertise et des compétences spécialisées qui ne sont peut-être pas disponibles au sein du gouvernement du Canada et constituer une solution efficace et rentable pour répondre aux besoins en matière de dotation à court terme. Cependant, l’externalisation peut comporter des risques supplémentaires d’atteinte à la vie privée, notamment si les entrepreneurs doivent avoir accès aux renseignements ou aux biens gouvernementaux. Par exemple, le traitement de renseignements personnels sensibles par des tiers peut accroître l’exposition à des risques comme l’accès non autorisé, l’utilisation inappropriée ou la communication illégale de renseignements personnels, ce qui peut donner lieu à des atteintes à la sécurité des données.
20. Il est donc important que les institutions tiennent compte des répercussions sur la vie privée lorsqu’elles confient leurs activités à des sous-traitants et qu’elles veillent à ce que des mesures de sécurité appropriées soient en place pour atténuer les risques liés à l’externalisation et protéger les renseignements personnels auxquels les entrepreneurs ont accès^{Note de bas de page 14}. Dans le cadre de l’enquête, le Commissariat a examiné les mesures mises en œuvre par l’ASFC afin d’atténuer ces risques. Les conclusions sont présentées dans les sections ci-dessous.

Sous-question 1 : Les autorisations de tâches et les contrats d’ArriveCAN contenaient-ils des clauses appropriées pour garantir la protection des renseignements personnels des voyageurs auxquels les entrepreneurs avaient accès

21. Afin d’atténuer les risques d’atteinte à la vie privée liés à l’utilisation de ressources contractuelles et d’assurer la protection des renseignements personnels auxquels les entrepreneurs peuvent avoir accès, les institutions gouvernementales doivent établir des ententes contractuelles claires prévoyant des clauses appropriées, y compris des exigences en matière de sécurité^{Note de bas de page 15}.

Les autorisations de tâches et les contrats contenaient-ils les clauses de sécurité nécessaires?

22. En tant que ministère client, l’ASFC était responsable de définir ses besoins en matière d’activités et d’opérations et de gérer le cycle de vie des contrats. L’autorité contractante était responsable de planifier et d’organiser l’acquisition de services professionnels pour le client^{Note de bas de page 16}.
23. SPAC était l’autorité contractante pour huit des neuf contrats dans le cadre desquels les entrepreneurs avaient accès aux renseignements personnels des voyageurs. Le Commissariat a confirmé que SPAC a attribué cinq de ces contrats au moyen d’arrangements en matière d’approvisionnement^{Note de bas de page 17} afin que l’ASFC ait accès aux ressources professionnelles nécessaires pour entreprendre diverses initiatives liées à la technologie « au besoin ». Les trois autres contrats ont été attribués par SPAC sans processus concurrentiel. SPAC nous a indiqué avoir consulté le client (ASFC) afin de comprendre ses besoins pour tous les contrats et, dans le cadre de l’élaboration de la stratégie d’approvisionnement, a déterminé que ces méthodes d’approvisionnement étaient appropriées pour répondre aux besoins du client^{Note de bas de page 18}. L’ASFC était l’autorité contractante pour le seul autre contrat, lequel a également été attribué au moyen d’un arrangement en matière d’approvisionnement^{Note de bas de page 19}. Le Commissariat a constaté que la majorité de ces contrats n’ont pas été établis spécifiquement pour ArriveCAN.
24. Un contrat comprendra des clauses relatives aux exigences en matière de sécurité lorsque l’accès à des renseignements, à des biens ou à des sites protégés ou classifiés est requis (une description des niveaux de sécurité pour les renseignements et les biens gouvernementaux sensibles figure à l’annexe B). Les exigences en matière de sécurité sont définies par le ministère client (dans ce cas, l’ASFC) et visent à atténuer les risques liés à la protection de la vie privée et à la sécurité lorsque des fonctions ou services gouvernementaux sont exécutés dans le cadre d’un contrat.
25. Dans le cadre de son enquête, le Commissariat a confirmé que les neuf contrats prévoyaient des clauses décrivant les exigences applicables en matière de sécurité. Parmi celles-ci, étaient notamment inclus le niveau de filtrage de sécurité précis que le fournisseur doit respecter, la cote ou l’autorisation de sécurité précise dont les entrepreneurs doivent disposer pour accéder aux renseignements ou aux biens, et toute autre exigence en matière de sécurité définie par le client^{Note de bas de page 20}.
26. Dans le cas des contrats accompagnés d’AT (qui autorisaient les entrepreneurs à être embauchés au besoin), il incombait au client, tout particulièrement l’autorité technique et le responsable de projet au sein de l’ASFC, de veiller à ce que les AT soient établies conformément au processus d’AT défini dans le contrat^{Note de bas de page 21} et s’harmonisent avec la portée et le cadre du contrat général, y compris l’énoncé des travaux^{Note de bas de page 22}. L’examen du Commissariat a permis de confirmer que les AT contenaient des renseignements sur les tâches et les activités à exécuter ainsi que d’autres renseignements précis, comme la cote ou l’autorisation de sécurité dont doivent disposer les ressources contractuelles qui exécutent ces tâches et que, dans l’ensemble, les AT ont respecté la portée des travaux et les exigences en matière de sécurité énoncées dans les contrats^{Note de bas de page 23}. Cependant, le Commissariat a constaté que certaines descriptions de tâches de l’AT avaient un cadre vague et ne comportaient pas suffisamment de détails précis, comme le nom du projet ou du système sur lequel les entrepreneurs travailleraient. Les observations du Commissariat sont présentées dans la section ci-dessous.

Les exigences en matière de sécurité étaient-elles exactes et précises?

27. Les institutions gouvernementales sont tenues d’établir et de consigner les exigences en matière de sécurité pour tous les contrats et les AT. Elles les déterminent en fonction d’un certain nombre de facteurs, notamment la sensibilité des renseignements auxquels un accès sera requis et le lieu où les travaux seront effectués ou le type de travaux, et les exigences doivent être évaluées et précisées au début du processus d’approvisionnement^{Note de bas de page 24}. Notre examen a permis de confirmer que les renseignements personnels recueillis au moyen d’ArriveCAN étaient de catégorie Protégé B^{Note de bas de page 25}.
28. La LVERS est l’outil utilisé par les institutions fédérales pour évaluer et déterminer les niveaux de sécurité nécessaires pour protéger les renseignements et les biens gouvernementaux pendant la durée du contrat. La LVERS comprend une courte description des travaux à effectuer et précise les renseignements auxquels les entrepreneurs auront accès (par exemple, protégés ou classifiés) ainsi que la catégorie (par exemple, Protégé B) ou la classification (par exemple, Secret) de ces renseignements. La LVERS précise également le niveau de filtrage de sécurité dont le personnel doit disposer (par exemple, cote de fiabilité) ainsi que le niveau de filtrage de sécurité du fournisseur et toute autre mesure de sécurité nécessaire (par exemple, si le fournisseur est tenu de stocker des renseignements protégés ou classifiés dans ses installations ou encore d’utiliser ses propres systèmes informatiques pour traiter ou stocker des renseignements)^{Note de bas de page 26}.
29. Le Commissariat a examiné les LVERS des neuf contrats afin de valider les exigences contractuelles en matière de sécurité, et plus précisément, les niveaux requis de filtrage de sécurité des organisations et du personnel. Nous avons également examiné les 15 AT établies dans le cadre de ces contrats afin de confirmer les exigences quant au niveau de filtrage de sécurité déterminées par l’ASFC pour les ressources^{Note de bas de page 27}.
30. Dans le cadre de son enquête, le Commissariat a confirmé qu’une LVERS avait été remplie pour les neuf contrats. Cependant, nous avons constaté que, pour l’un des contrats, la LVERS a été remplie quatre ans avant l’attribution du contrat^{Note de bas de page 28}. Bien qu’il n’existe actuellement aucune restriction quant au temps écoulé entre la signature d’une LVERS et l’attribution d’un contrat, le Commissariat est d’avis qu’un délai aussi important pourrait compromettre l’exactitude et la fiabilité de l’évaluation de sécurité, surtout si le paysage de sécurité évolue ou si les données utilisées pour effectuer l’évaluation sont obsolètes au moment de l’attribution du contrat. Cette question soulève également des préoccupations en matière de protection de la vie privée pour ce qui est de la pertinence de l’évaluation initiale, ce qui pourrait faire en sorte que les mesures de sécurité et de protection de la vie privée soient inefficaces ou insuffisantes lorsque les travaux prévus par le contrat seront exécutés.
31. L’enquête du Commissariat a aussi révélé que, dans le cadre d’un autre contrat, la LVERS exigeait une ADR^{Note de bas de page 29}, mais celle-ci a été jugée inutile 14 mois plus tard. Cela remet en question l’exactitude de l’évaluation de sécurité et des données utilisées pour l’effectuer.
32. En ce qui concerne les énoncés des travaux des contrats, l’ASFC a affirmé que ceux-ci étaient vagues par choix afin que l’ASFC ait une certaine flexibilité selon ses exigences. Les AT étaient ensuite établies, au besoin, lorsque des ressources étaient nécessaires afin d’exécuter les travaux, en fonction des tâches, des activités et des produits livrables définis par l’ASFC et conformément à la portée et au cadre du contrat général. L’ASFC a expliqué qu’elle effectuait une surveillance directe et gérait les affectations de tâches et les produits livrables des entrepreneurs.
33. Cependant, même si le Commissariat a conclu que les AT respectaient la portée des contrats et les exigences en matière de sécurité énoncées dans ces contrats, nous avons constaté que, dans certains cas, les descriptions de tâches relatives aux AT étaient vagues et ne précisaient pas le nom du projet ou du système sur lequel un entrepreneur travaillait. De telles descriptions de tâches peuvent susciter des risques d’atteinte à la vie privée, surtout lorsque les tâches d’un projet ne sont pas connues ou définies clairement au moment où l’AT est approuvée ou établie. Par exemple, dans le cas d’ArriveCAN, le Commissariat a constaté qu’une AT avait été établie deux ans avant le début de la conception de l’application^{Note de bas de page 30}. Par conséquent, au moment de l’établissement de l’AT, les exigences précises en matière de sécurité ou de protection de la vie privée liées à ArriveCAN (par exemple, le fait que les renseignements personnels des voyageurs allaient devoir être consultés) n’étaient ni connues ni évaluées par l’ASFC.
34. Ces observations mettent en évidence l’importance d’un processus rigoureux en ce qui a trait à la LVERS et la nécessité d’indiquer, notamment dans les AT, les tâches ou projets précis à exécuter dans le cadre d’un contrat pour que les exigences en matière de sécurité soient adéquatement évaluées et déterminées. Il est essentiel d’effectuer ces évaluations dans un délai raisonnable avant l’attribution du contrat pour atteindre cet objectif. Une évaluation inexacte des exigences en matière de sécurité ou de protection, pourrait, dans d’autres circonstances, faire en sorte que les mesures de sécurité soient insuffisantes, et accroître le risque d’atteinte à la vie privée, particulièrement si ces exigences sont sous-estimées.

Sous-question 2 : L’ASFC a-t-elle respecté les exigences en matière de sécurité pour les autorisations de sécurité et les contrats liés à ArriveCAN

35. Lorsque des institutions gouvernementales concluent des contrats dans le cadre desquels des renseignements personnels seront traités, elles doivent faire preuve de diligence raisonnable pour assurer le respect des exigences contractuelles en matière de sécurité. Elles doivent notamment veiller à ce que les fournisseurs et entrepreneurs respectent les exigences contractuelles en matière de sécurité et que seules les personnes autorisées aient accès aux renseignements personnels et qu’elles ne les utilisent qu’à des fins appropriées. De plus, les exigences en matière de sécurité doivent être respectées pendant toute la durée du contrat.

Vérification d’organisation

36. Afin d’obtenir une cote ou une autorisation de sécurité pour que leurs ressources aient accès à des renseignements, à des biens et à des lieux de travail protégés ou classifiés, les fournisseurs doivent faire l’objet d’un filtrage de sécurité d’organisation avant l’attribution du contrat^{Note de bas de page 31}. Les deux types de vérification d’organisation liés à l’examen du Commissariat sont la vérification d’organisation désignée (VOD) et l’attestation de sécurité d’installation (ASI)^{Note de bas de page 32}.
37. Après avoir examiné les renseignements fournis par SPAC et l’ASFC, le Commissariat est d’avis que les fournisseurs ont respecté les exigences contractuelles en matière de sécurité définies par l’ASFC dans huit contrats (sur les neuf), et ce, pendant toute la durée des contrats.
38. L’enquête a révélé qu’un fournisseur n’avait pas fait l’objet d’une VOD et ne détenait pas d’ADR approuvée au niveau Protégé B, comme l’exige la LVERS du contrat^{Note de bas de page 33}. Le Commissariat a questionné SPAC, étant donné que le Ministère est l’autorité contractante, afin de comprendre pourquoi le contrat avait été attribué au fournisseur dans ce cas, même si les exigences en matière de sécurité n’avaient pas été respectées.
39. SPAC a confirmé que, même si le fournisseur n’avait pas obtenu une attestation de VOD au moment de l’attribution du contrat, il détenait une ASI, qui est une autorisation de sécurité plus élevée, et était donc admissible au contrat. Bien que le contrat exigeait également une ADR, SPAC a indiqué que cette capacité de protection n’était plus requise, et que l’ASFC avait demandé de modifier la clause de sécurité du contrat et la LVERS afin de la retirer de la liste des exigences. SPAC a également indiqué que le processus d’ADR peut être entamé et achevé après l’attribution du contrat; autrement dit, il n’est pas nécessaire de détenir une ADR pour se voir attribuer un contrat.
40. Dans ce cas, le Commissariat convient qu’une ADR (cote de sécurité propre au site nécessaire pour protéger des renseignements sensibles à un endroit précis) n’était pas requise pour ce fournisseur, car aucun renseignement personnel recueilli au moyen d’ArriveCAN n’était stocké en dehors de l’infrastructure de l’ASFC. Nous avons aussi confirmé que 14 mois s’étaient écoulés après l’attribution du contrat avant que l’exigence liée à l’ADR soit retirée du contrat.
41. Compte tenu de ce qui précède, le Commissariat est d’avis que les fournisseurs ont respecté les exigences en matière de sécurité prévues par leur contrat. Néanmoins, nous trouvons préoccupant que l’ADR avait été définie comme une exigence de protection lors de l’étape de définition des exigences d’un processus contractuel, mais qu’elle a été jugée inutile 14 mois plus tard.

Filtrage de sécurité du personnel

42. Le filtrage de sécurité du personnel est une mesure importante d’atténuation des risques, et il doit être effectué, validé et consigné avant qu’un entrepreneur puisse commencer les travaux et obtenir l’accès à des renseignements personnels. Il offre une assurance raisonnable que l’entrepreneur est digne de confiance pour accéder aux renseignements et aux biens gouvernementaux et peut exercer ses tâches de manière fiable. Le filtrage est un contrôle de sécurité clé pour protéger les renseignements et les biens et, conformément à la Directive sur le filtrage de sécurité, constitue une exigence pour les contrats nécessitant l’échange de biens et de renseignements sensibles ou l’accès à de tels biens et renseignements, notamment les installations et les systèmes de TI.
43. L’enquête du Commissariat a permis de confirmer, au moyen d’un examen des documents et d’un échantillonnage des journaux d’audit, qu’au total, 13 entrepreneurs avaient accès à l’environnement de production d’ArriveCAN durant la période visée par l’examen, et que seulement 7 d’entre eux ont accédé aux renseignements personnels des voyageurs afin d’atteindre leurs objectifs de travail^{Note de bas de page 34}. Le Commissariat a confirmé que les six autres entrepreneurs s’étaient vu accorder l’accès à l’environnement de production pour des activités ne nécessitant pas de consulter des renseignements personnels (tenue à jour de l’application, mise à jour du codage, etc.). Bien que les entrepreneurs n’aient pas accédé aux renseignements personnels des voyageurs pour exécuter leurs tâches (et n’aient pas eu à le faire), le rôle d’utilisateur qui leur a été attribué leur donnait accès à ces renseignements^{Note de bas de page 35}.
44. Dans le cadre de l’enquête, le Commissariat a examiné si les 13 entrepreneurs satisfaisaient aux exigences en matière de filtrage de sécurité définies dans leur AT. Nous avons demandé à l’ASFC de fournir des documents pour valider le niveau de filtrage de sécurité des 13 entrepreneurs nommés dans les AT et ayant accès à l’environnement de production d’ArriveCAN^{Note de bas de page 36}. Après avoir comparé la cote ou l’autorisation de sécurité de chaque entrepreneur à la période où leur AT était en vigueur, le Commissariat est d’avis qu’à une exception près, tous les entrepreneurs satisfaisaient aux exigences en matière de sécurité prévues par leur AT au moment de leur établissement ainsi que pendant toute la durée de leur contrat.
45. L’enquête du Commissariat a révélé que l’autorisation de sécurité (niveau Secret) de cet entrepreneur était valide lorsqu’il a entamé les travaux en octobre 2018. Cependant, l’autorisation a expiré en janvier 2019^{Note de bas de page 37}. Bien que l’ASFC ait confirmé qu’une demande de mise à jour avait été soumise en août 2018, l’autorisation de l’entrepreneur n’a été mise à jour qu’en octobre 2020 en raison de retards dans le processus de filtrage. L’entrepreneur a donc continué à travailler pour l’ASFC pendant plus de 18 mois sans autorisation de sécurité valide.
46. L’ASFC n’était pas en accord avec la position du Commissariat selon laquelle l’entrepreneur a travaillé sans autorisation valide. L’Agence a affirmé que, faute de preuve qu’un risque pour la sécurité doive être atténué, les employés et les entrepreneurs peuvent continuer à exercer leurs fonctions pendant que leur filtrage est mis à jour. L’ASFC a également indiqué que, même si la Norme sur le filtrage de sécurité du SCT (en vigueur à ce moment) exigeait que le filtrage soit mis à jour conformément aux cycles de mise à jour établis (par exemple, tous les 10 ans dans le cas du niveau Secret), elle n’exigeait pas que d’autres mesures non liées au filtrage soient prises entre le moment où la mise à jour d’un filtrage est requise et le moment où elle est accordée. L’ASFC a indiqué que le recours à cet entrepreneur ne comportait aucun risque lié à la protection de la vie privée et à la sécurité, puisque l’entrepreneur avait déjà fait l’objet d’un processus de filtrage approprié et que son filtrage a plus tard été mis à jour sans problème.
47. Selon SPAC, si le filtrage d’un entrepreneur n’est pas mis à jour à temps, soit parce que le fournisseur n’a pas soumis sa demande de mise à jour en temps opportun^{Note de bas de page 38} ou parce que des vérifications supplémentaires ou une entrevue de filtrage de sécurité ont été nécessaires, il incombe au client (ASFC) de décider s’il souhaite cesser de faire appel à une ressource dans le cadre d’un contrat. Dans les cas où la cote ou l’autorisation de sécurité d’un entrepreneur expire avant la fin d’un contrat, certains clients exigent que le processus de mise à jour soit achevé avant l’attribution du contrat, tandis que d’autres peuvent accepter que la cote ou l’autorisation de sécurité soit mise à jour pendant que le contrat est en cours, à condition que le processus de mise à jour soit achevé avant la date d’expiration. Le ministère client est censé collaborer avec ses entrepreneurs pour veiller à ce qu’ils soumettent les demandes de mise à jour en temps opportun.
48. Les institutions doivent veiller à ce que les cotes ou autorisations de sécurité des entrepreneurs soient mises à jour avant la fin de leur période de validité^{Note de bas de page 39}, car un changement dans la situation personnelle des entrepreneurs (divorce, arrestation, condamnation criminelle, etc.) pendant la durée du contrat peut avoir une incidence sur leur cote ou leur autorisation. Un tel changement pourrait également amener certains entrepreneurs à adopter des comportements susceptibles de compromettre la sécurité ou les renseignements personnels détenus par l’institution. L’objectif d’une mise à jour est de réévaluer la fiabilité ou la loyauté d’une personne, en tenant compte des changements à sa situation personnelle depuis la dernière fois qu’elle a obtenu une cote ou une autorisation de sécurité. Les mises à jour visent à déterminer si, compte tenu des tâches exécutées par une personne, les changements à sa situation personnelle posent un risque à la sécurité et influent sur son admissibilité à détenir une cote ou une autorisation de sécurité.
49. Bien que l’ASFC ait affirmé que le recours à cet entrepreneur ne comportait aucun risque lié à la protection de la vie privée et à la sécurité, l’Agence n’a pas expliqué comment elle a évalué ces risques ni présenté les mesures d’atténuation qu’elle a prises. Au contraire, l’ASFC a indiqué que l’entrepreneur avait fait l’objet d’un processus de filtrage adéquat avant de commencer les travaux sur le projet et que son filtrage avait plus tard été mis à jour sans aucun problème. L’ASFC n’a pas non plus expliqué pourquoi le processus de mise à jour de l’autorisation a pris autant de temps. Si les retards ont été causés par l’entrepreneur, l’ASFC aurait dû envisager d’annuler la cote ou l’autorisation de sécurité de la personne pour des raisons administratives, comme le prévoit la Norme sur le filtrage de sécurité du SCT^{Note de bas de page 40}. L’ASFC aurait également pu révoquer temporairement l’accès de l’entrepreneur à l’environnement de production d’ArriveCAN, où les renseignements personnels des voyageurs étaient stockés, jusqu’à l’achèvement du processus de renouvellement de l’autorisation.
50. Le Commissariat conclut donc que l’ASFC s’est exposée inutilement à des risques accrus d’atteinte à la vie privée en autorisant l’entrepreneur à avoir accès à l’environnement de production d’ArriveCAN même s’il ne respectait pas les exigences contractuelles en matière de sécurité (c’est-à-dire disposer d’une cote ou d’une autorisation à jour) pendant plus de 18 mois. À notre avis, la décision de l’ASFC d’autoriser l’entrepreneur à travailler sans autorisation valide a été uniquement prise pour répondre à ses besoins opérationnels et non pas en fonction d’un processus décisionnel stratégique axé sur le risque. En fait, c’est une chance qu’aucune atteinte à la vie privée ne s’est produite pendant cette longue période, mais cela ne sera peut-être pas toujours le cas.
51. Malgré ce qui précède, le Commissariat n’a trouvé aucun élément de preuve permettant de conclure que les renseignements personnels des voyageurs ont été consultés, utilisés de manière inappropriée ou communiqués sans autorisation par cet entrepreneur, ni par les 12 autres entrepreneurs. Pour cette raison, nous estimons que l’ASFC n’a pas contrevenu aux articles 7 ou 8 de la LPRP.
52. L’enquête du Commissariat met néanmoins en évidence la valeur et l’importance d’effectuer un processus de filtrage de sécurité et de surveiller le respect des exigences contractuelles en matière de sécurité tout au long du cycle de vie d’un contrat. Les ministères clients doivent valider de nouveau la cote ou l’autorisation de sécurité, au besoin, pour tenir compte de tout changement dans la situation des ressources individuelles^{Note de bas de page 41}. Bien que cela ne se soit pas produit dans ce cas, le fait de ne pas surveiller le respect des exigences contractuelles en matière de sécurité peut exposer les renseignements personnels et les biens à divers risques, notamment l’accès, l’utilisation ou la communication non autorisés.
53. Le Commissariat s’attend donc à ce que, dorénavant, l’ASFC gère les cotes et les autorisations de sécurité et les processus de renouvellement de manière proactive, avec rigueur et en assurant une surveillance stricte^{Note de bas de page 42}. Même si les filtrages de sécurité devraient être mis à jour avant la date d’expiration de la cote ou de l’autorisation de sécurité d’un entrepreneur, le Commissariat s’attend à ce qu’au minimum, les institutions puissent démontrer comment elles ont évalué ou atténué les risques si elles décident de ne pas retirer l’accès aux renseignements personnels d’un entrepreneur dont la cote ou l’autorisation est expirée. Nous reconnaissons qu’une approche axée sur les risques est nécessaire pour répondre aux besoins opérationnels tout en atténuant les risques d’atteinte à la vie privée liés à une telle décision (c’est-à-dire permettre aux entrepreneurs de continuer à travailler sans cote ou autorisation de sécurité valide).
54. À ce sujet, le Commissariat note que les fournisseurs ont également une responsabilité dans le processus d’attribution d’une cote ou d’une autorisation de sécurité. Leurs obligations comprennent notamment la soumission de demandes de filtrage de sécurité pour leurs employés s’ils doivent avoir accès à des renseignements protégés ou classifiés et la soumission de demandes de mise à jour et de mise à niveau, au besoin^{Note de bas de page 43}. Dans le cas présent, bien que la demande de renouvellement de la cote ou de l’autorisation de sécurité de l’entrepreneur ait été soumise environ six mois avant la date d’expiration, le Commissariat estime que cela a également pu contribuer à la situation décrite ci-dessus. Le Programme de sécurité des contrats (PSC) recommande aux organisations de soumettre des demandes de mise à jour pour leurs ressources au moins un an avant l’expiration dans le cas des autorisations de niveau Secret, soit celle que l’entrepreneur devait détenir.
55. Dans le cadre de l’enquête, le Commissariat a également pris en considération une conclusion du BVG, soit le fait que certaines ressources contractuelles ayant participé au projet ArriveCAN ne disposaient pas d’une cote ou d’une autorisation de sécurité^{Note de bas de page 44}. Le Commissariat a demandé à l’ASFC de lui fournir ses observations à ce sujet et a confirmé que les travaux réalisés par les entrepreneurs mentionnés dans le rapport du BVG n’exigeaient pas l’accès aux renseignements personnels des voyageurs ni au codage de l’application ArriveCAN. Cela dit, l’ASFC a confirmé que, bien qu’elle ait désigné quatre ressources précises pour effectuer les travaux, le fournisseur les a ensuite remplacées sans approbation et n’a donc pas respecté ses obligations en matière de sécurité (c’est-à-dire les ressources approuvées dans l’AT ne sont pas nécessairement celles qui ont effectué les travaux)^{Note de bas de page 45}.
56. Le Commissariat reconnaît que les fournisseurs sont tenus de respecter les exigences en matière de sécurité prévues par les contrats qu’ils concluent, mais tient à souligner que l’ASFC est également responsable d’assurer la surveillance et la gestion des AT. En effet, le Commissariat n’a pas pu confirmer que l’ASFC s’est acquittée, en tant que responsable du projet, de ses obligations liées à la gestion des affectations de tâches de ces entrepreneurs et à la surveillance de l’exécution et de la livraison des tâches. De plus, même si les travaux mentionnés ci-dessus n’exigeaient pas l’accès à des renseignements personnels, le manque de surveillance des AT aurait pu exposer inutilement l’ASFC à des risques accrus d’atteinte à la vie privée dans d’autres circonstances.

Sous-question 3 : L’ASFC a-t-elle mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels recueillis au moyen d’ArriveCAN auxquels les entrepreneurs avaient accès

57. L’application ArriveCAN a été conçue et hébergée sur la plateforme infonuagique Amazon Web Services (AWS), conformément aux dispositions de l’accord-cadre sur l’infonuagique de Services partagés Canada (SPC)^{Note de bas de page 46}. La plateforme infonuagique a été conçue et est entretenue et exploitée par l’ASFC et peut héberger des services infonuagiques jusqu’au niveau de confidentialité Protégé B, d’intégrité moyenne et de disponibilité moyenne (PBMM)^{Note de bas de page 47}. Par conséquent, le niveau Protégé B est le niveau le plus élevé des renseignements qui peuvent y être stockés, et il s’agit du niveau de classification des renseignements personnels recueillis au moyen d’ArriveCAN^{Note de bas de page 48}.
58. Bien que, dans le cadre de l’enquête, le Commissariat n’ait pas examiné de manière exhaustive les mesures de sécurité autres que les exigences contractuelles en matière de sécurité, nous avons tout de même cherché à déterminer si l’ASFC avait mis en œuvre des contrôles de sécurité pour protéger les renseignements personnels des voyageurs contre l’accès non autorisé, la communication ou l’utilisation inappropriée en général, mais surtout par les ressources contractuelles^{Note de bas de page 49}.
59. Comme il est précisé plus loin, l’enquête du Commissariat a révélé que l’ASFC a mis en place des contrôles administratifs et techniques adéquats pour protéger les renseignements personnels des Canadiennes et des Canadiens dans ArriveCAN et pour atténuer les risques que présente l’accès par les entrepreneurs à ces renseignements. Cependant, le Commissariat est préoccupé par le fait que les 13 entrepreneurs se sont vu accorder les mêmes rôles/autorisations pour accéder à l’environnement de production, alors que 6 d’entre eux n’avaient pas besoin d’avoir accès aux renseignements personnels stockés dans l’environnement.

Contrôles administratifs

60. Les contrôles administratifs comprennent les politiques et les procédures visant à gérer la sécurité au sein d’une institution, notamment les procédures liées à l’utilisation des ressources contractuelles. Dans le cadre de son enquête, le Commissariat a examiné les procédures liées i) à l’intégration des entrepreneurs, ii) à l’utilisation par les entrepreneurs des ordinateurs portables fournis par l’ASFC, iii) au respect des normes en matière de TI et des cadres acceptés, et iv) à la gouvernance de la cybersécurité.

Intégration des entrepreneurs

61. Dans le cadre de sa diligence raisonnable, l’ASFC a adopté un processus d’intégration pour ArriveCAN comprenant des étapes précises pour veiller à ce que seuls les entrepreneurs autorisés et vérifiés puissent avoir accès à l’environnement de production (où les données des voyageurs sont stockées). Ces étapes comprenaient la validation des cotes et des autorisations de sécurité avant que les entrepreneurs entament les travaux, l’octroi de l’accès au réseau local^{Note de bas de page 50} pour le réseau de l’ASFC et la validation des nouveaux comptes AWS de l’ASFC par l’équipe de l’infonuagique de l’ASFC avant leur création en fonction des objectifs opérationnels et du rôle des ressources contractuelles. Les entrepreneurs ont également été invités à prendre connaissance des conditions d’utilisation établies par l’ASFC pour les ressources électroniques et la politique de la plateforme infonuagique AWS, qui définissent les responsabilités des utilisateurs autorisés ainsi que les utilisations acceptables et inacceptables des ressources consultées et à les accepter.

Utilisation des ordinateurs portables et de l’infrastructure de stockage fournis par l’ASFC

62. Les entrepreneurs utilisaient un ordinateur portable fourni par l’ASFC pour accéder à la plateforme infonuagique AWS où ArriveCAN était hébergée. Les renseignements saisis dans ArriveCAN n’ont jamais été stockés dans les installations hors site des entrepreneurs. En prenant cette mesure, l’ASFC a atténué les risques supplémentaires liés à l’utilisation par les entrepreneurs de leur propre équipement ou infrastructure d’hébergement.

Respect des normes en matière de TI et des cadres acceptés

63. L’environnement de la plateforme infonuagique de l’ASFC répond aux exigences liées aux mesures et à l’architecture de cybersécurité établies par le gouvernement du Canada (voir la page Mesures de protection du nuage du gouvernement du Canada)^{Note de bas de page 51}. La plateforme a également été évaluée à la lumière du cadre de la sécurité TI ITSG-33 du Centre de la sécurité des télécommunications.
64. De plus, l’ASFC a mis en œuvre des mesures de sécurité conformes aux normes de l’industrie pour surveiller la plateforme infonuagique AWS et l’application ArriveCAN afin d’assurer le respect de ses politiques et directives internes^{Note de bas de page 52} ainsi que la conformité à la Directive sur la gestion de la sécurité du SCT, qui exige que les institutions mettent en œuvre des contrôles de sécurité minimaux pour protéger les systèmes de TI contre l’utilisation non autorisée et la compromission.

Gouvernance de la cybersécurité

65. En avril 2024, la Direction de la cybersécurité de l’ASFC a officiellement été créée afin de centraliser toutes les fonctions de cybersécurité et de sécurité de la TI. On retrouve au sein de la Direction un centre avancé de cyberdéfense responsable de surveiller les incidents de sécurité et d’intervenir en cas d’incident. L’équipe compte des analystes qui surveillent la plateforme AWS où est hébergée ArriveCAN.
66. De plus, la Direction de la cybersécurité de l’ASFC maintient une communication directe avec le Centre canadien pour la cybersécurité (CCC), le Centre des opérations de sécurité (COS) d’entreprise du gouvernement du Canada et SPC pour traiter tous les dossiers ainsi que signaler les incidents et intervenir en cas d’incident. L’ASFC a indiqué qu’une partie de l’évolution prévue des fonctions de la Direction consiste à continuer de renforcer les fonctions de cybersécurité pour établir un COS complet au sein de l’ASFC. Le Commissariat est d’avis que ces démarches devraient renforcer la position de l’ASFC en matière de sécurité et améliorer les capacités d’intervention en cas d’incident.

Contrôles techniques

67. Les contrôles techniques comprennent les contrôles axés sur les systèmes, lesquels utilisent des technologies qui protègent les systèmes informatiques d’une institution et atténuent les risques liés à l’accès aux renseignements et aux biens gouvernementaux. Ces contrôles comprennent notamment les mesures de protection de l’architecture, le chiffrement, les contrôles de l’accès des utilisateurs et la surveillance des activités non autorisées ou malveillantes.

Conception des applications et mesures de protection de l’architecture

68. La plateforme infonuagique ArriveCAN était logiquement divisée en trois environnements : conception, mise à l’essai et production. Pendant la conception de l’application, toutes les activités de conception, de mise à l’essai et de validation ont été exécutées dans des environnements non liés à la production à l’aide de données non liées à la production (par exemple, données aléatoires comme de faux noms, de fausses dates de naissance, etc.). Par conséquent, aucune donnée liée à la production (renseignements personnels des voyageurs) n’a été utilisée pendant la conception et la mise à l’essai de l’application ArriveCAN. Le Commissariat a constaté que l’utilisation d’environnements séparés logiquement et dotés de contrôles d’accès stricts était efficace pour réduire les risques de consultation des renseignements personnels recueillis au moyen d’ArriveCAN.

Chiffrement

69. Le chiffrement protège la confidentialité des renseignements en les rendant illisibles pour les personnes non autorisées qui pourraient y accéder.
70. Le Commissariat a confirmé que l’ASFC a mis en œuvre des protocoles de chiffrement stricts approuvés par le CCC pour les données en transit et au repos^{Note de bas de page 53}. Les protocoles ont renforcé les capacités de défense de l’ASFC contre l’utilisation non autorisée des données et l’ont aidé à respecter les normes en matière de cybersécurité du gouvernement du Canada^{Note de bas de page 54}.

Contrôles de l’accès des utilisateurs

71. Le cadre de sécurité de l’ASFC pour les plateformes infonuagiques fait appel à la gestion des identités et des accès (GIA) et au contrôle d’accès en fonction des rôles (CAFR) pour veiller à ce que l’accès accordé aux utilisateurs (employés et entrepreneurs de l’ASFC) ne leur permette d’accéder qu’au contenu et aux services nécessaires à l’exercice de leurs fonctions^{Note de bas de page 55}. Plus précisément, les rôles d’accès des utilisateurs sur la plateforme infonuagique sont définis par type de poste (par exemple, développeur logiciel, responsable de la sécurité, administrateur), et les rôles des utilisateurs sont créés par rôle et par environnement pour fournir aux utilisateurs les autorisations nécessaires à l’exercice de leurs fonctions, conformément aux objectifs opérationnels définis^{Note de bas de page 56}.
72. Le Commissariat a confirmé que l’accès des entrepreneurs aux renseignements personnels saisis dans ArriveCAN était lié à deux objectifs précis : i) le soutien à la production (les renseignements personnels étaient consultés en cas d’erreur d’ArriveCAN nécessitant une attention particulière^{Note de bas de page 57}) et ii) le traitement des demandes d’accès à l’information et de protection des renseignements personnels^{Note de bas de page 58}.
73. Dans l’ensemble, le Commissariat a constaté que la mise en œuvre des mesures de GIA et de CAFR (par exemple, accorder le moindre privilège nécessaire en fonction du rôle d’un utilisateur^{Note de bas de page 59}) atténuait efficacement les risques d’atteinte à la vie privée que présente l’accès, notamment par les entrepreneurs, aux renseignements personnels des voyageurs. Par défaut, le rôle attribué aux entrepreneurs ne leur permettait pas d’extraire directement des renseignements personnels de l’environnement de production (il fallait suivre les processus approuvés pour extraire des renseignements personnels de manière indirecte, notamment pour exécuter des commandes comme la copie en bloc de l’ensemble de données), et l’accès était fortement contrôlé et surveillé.
74. Cependant, même si les entrepreneurs ne pouvaient pas extraire directement des renseignements personnels de l’environnement de production^{Note de bas de page 60}, le Commissariat demeure préoccupé par le fait que 6 entrepreneurs sur 13 pouvaient accéder aux renseignements personnels des voyageurs sans que ce soit nécessaire à l’exécution de leurs tâches. En effet, les 13 entrepreneurs se sont vu accorder les mêmes rôles/autorisations^{Note de bas de page 61}.

Processus d’audit et de production de rapports

75. L’ASFC tient des journaux d’audit^{Note de bas de page 62} pour consigner les actions effectuées par les utilisateurs sur la plateforme. L’Agence dispose également de capacités de surveillance pour détecter les menaces (analyse du trafic réseau et des activités sur les comptes pour détecter les comportements inhabituels ou non autorisés). Le service de détection des menaces de l’ASFC fournit des alertes automatisées concernant les enjeux potentiels de sécurité ou atteintes à la protection des données, et vérifie s’il y a des anomalies d’accès aux données pour permettre à l’ASFC de détecter et de gérer rapidement les menaces, y compris les menaces internes.
76. Dans ses observations fournies au Commissariat concernant ses processus, le centre avancé de cyberdéfense de l’ASFC a présenté une démonstration informatique. Dans l’ensemble, le Commissariat a constaté que l’ASFC utilisait des outils d’audit et de surveillance appropriés pour détecter les activités anormales, y compris celles des entrepreneurs.

Autre

Pratiques d’approvisionnement pouvant avoir une incidence sur la protection de la vie privée

77. Le Commissariat a communiqué avec les fournisseurs auxquels des contrats ont été attribués afin de valider certaines informations fournies par l’ASFC (par exemple, confirmer quels entrepreneurs avaient accès aux renseignements personnels dans ArriveCAN) et pour nous permettre d’évaluer la conformité de l’ASFC à la LPRP. En fonction des renseignements fournis par les fournisseurs, le Commissariat a fait certaines observations concernant les pratiques d’approvisionnement pouvant avoir une incidence sur la protection de la vie privée.
78. Il convient de noter que le Commissariat a constaté que certains fournisseurs n’étaient généralement pas au courant des travaux ou des projets précis auxquels leurs ressources contractuelles étaient affectées, puisque, dans certains cas, les ressources ont été fournies à titre de service de renforcement des effectifs et que les travaux étaient dirigés et gérés exclusivement par l’ASFC. Les fournisseurs ont également indiqué que les travaux que leurs ressources devaient accomplir dans le cadre des AT étaient souvent décrits d’une manière imprécise (par exemple, descriptions de tâches n’étant pas explicitement liées à ArriveCAN). Ils ont donc affirmé avoir eu du mal à déterminer quels AT étaient liées à ArriveCAN ou à savoir si des tâches précises, notamment l’accès aux renseignements personnels par des ressources contractuelles, étaient liées à ArriveCAN. Par conséquent, il leur a été difficile de confirmer quelles ressources ont travaillé sur le projet ArriveCAN ou avaient eu accès aux renseignements personnels des voyageurs.
79. Ces observations concordent avec les conclusions de l’enquête du Commissariat. Pour atténuer les risques d’atteinte à la vie privée, il est important que les institutions indiquent les projets ou travaux à réaliser dans le cadre d’un contrat afin que les fournisseurs puissent également s’acquitter de leurs obligations lorsque leurs employés peuvent accéder à des renseignements personnels^{Note de bas de page 63}.

Consignation du niveau de filtrage de sécurité

80. La consignation du niveau de filtrage de sécurité permet de démontrer qu’un entrepreneur a fait l’objet d’une vérification et est autorisé à accéder à des biens, y compris les renseignements personnels, et fournit une piste de vérification claire en matière de responsabilité en cas d’atteinte à la vie privée ou à la sécurité. La consignation est également une exigence de la Directive sur la gestion de la sécurité du SCT^{Note de bas de page 64} et est essentielle pour faciliter la surveillance et l’audit de la direction.
81. Comme il est expliqué au paragraphe 44, le Commissariat a demandé à l’ASFC de lui fournir des documents pour valider le filtrage de sécurité des 13 entrepreneurs ayant eu accès à l’environnement de production d’ArriveCAN. Bien que l’ASFC ait fourni des documents pour démontrer la validité des filtrages de sécurité, elle a confirmé qu’elle n’avait pas inclus dans les dossiers d’approvisionnement les documents justificatifs requis pour démontrer que le transfert des cotes ou des autorisations de sécurité de deux entrepreneurs avait été effectué.
82. L’ASFC a reconnu que les employés contractuels doivent détenir une cote ou une autorisation de sécurité valide au niveau requis et que de plus, au besoin, il doit y avoir des documents dans le dossier d’approvisionnement démontrant que la cote ou l’autorisation de sécurité de la personne a été transférée ou reproduite. Le Commissariat note que ces documents n’ont pas été fournis dans ces deux cas. Bien qu’aucune atteinte à la vie privée n’ait eu lieu, un manque de rigueur à cet égard peut créer des risques d’atteinte à la vie privée, surtout si cela nuit à la capacité d’une institution de démontrer qu’elle respecte les exigences en matière de sécurité liées à l’accès aux renseignements personnels.

Conclusions et constatations

83. L’enquête du Commissariat a permis d’évaluer si l’ASFC respectait les exigences prévues par les articles 7 et 8 de la LPRP lorsqu’elle a autorisé aux entrepreneurs l’accès aux renseignements personnels saisis dans l’application ArriveCAN. Le Commissariat a examiné les mesures mises en œuvre par l’ASFC pour atténuer les risques que présente l’accès par des tiers aux renseignements personnels stockés dans l’environnement de production d’ArriveCAN. Nous avons notamment vérifié : 1) si les contrats et les AT pertinents contenaient des dispositions appropriées pour respecter les obligations en matière de protection de la vie privée et les exigences en matière de sécurité, 2) si l’ASFC a veillé au respect des exigences en matière de sécurité prévues par les contrats et les AT et 3) si des mesures adéquates de protection en matière de sécurité de la TI étaient en place pour protéger les renseignements personnels contre l’accès, l’utilisation et la communication non autorisés.
84. Dans l’ensemble, le Commissariat est d’avis que les contrats contenaient des clauses appropriées décrivant les exigences contractuelles en matière de sécurité et les mesures de sécurité précises à mettre en œuvre pour assurer la protection des renseignements personnels. L’ASFC a également évalué et consigné les exigences contractuelles en matière de sécurité en préparant des LVERS. Cependant, l’enquête du Commissariat a fait ressortir des lacunes liées à la rapidité d’exécution et à l’exactitude de certaines LVERS, ce qui soulève des préoccupations quant à la précision des évaluations de sécurité initiales et pourrait faire en sorte que les mesures de sécurité et de protection de la vie privée soient inefficaces ou insuffisantes.
85. Après avoir examiné les AT établies dans le cadre des contrats, le Commissariat a conclu qu’elles respectaient le cadre des contrats, y compris les exigences en matière de sécurité prévues. Cependant, il est préoccupant que, dans certains cas, les tâches décrites dans les AT étaient très vagues et ne précisaient pas le nom du projet ou du système sur lequel les entrepreneurs allaient travailler.
86. En ce qui concerne les filtrages de sécurité, le Commissariat est d’avis que les fournisseurs ont respecté les exigences en matière de sécurité (c’est-à-dire le filtrage d’organisation) établies par l’ASFC pour leurs contrats respectifs, et ce, pendant toute la durée des contrats. Nous avons également constaté que les 13 ressources contractuelles ayant eu accès à l’environnement de production d’ArriveCAN respectaient les exigences en matière de sécurité prévues par leur AT avant qu’elles commencent à travailler pour l’ASFC.
87. Cependant, le Commissariat a constaté que l’ASFC s’est exposée à des risques accrus d’atteinte à la vie privée en autorisant un entrepreneur n’ayant pas une cote ou une autorisation de sécurité à jour à accéder à l’environnement de production d’ArriveCAN pendant une longue période.
88. Après avoir examiné les contrôles administratifs et techniques de l’ASFC, le Commissariat a conclu que, dans l’ensemble, les données des voyageurs étaient protégées par des mesures adéquates de protection en matière de sécurité de la TI pour ce qui est des activités des entrepreneurs. Les mesures mises en œuvre par l’ASFC pendant la mise au point et le déploiement de l’application ArriveCAN, notamment la séparation logique des environnements au moyen de contrôles d’accès stricts et l’utilisation d’ordinateurs portables fournis par l’ASFC, ont été efficaces pour limiter l’exposition des données d’ArriveCAN et d’atténuer les risques d’atteinte à la vie privée.
89. Malgré les problèmes soulevés ci-dessus, le Commissariat n’a trouvé aucune preuve permettant de conclure que des renseignements personnels stockés dans l’environnement de production d’ArriveCAN ont été utilisés ou communiqués d’une façon qui contrevienne à la LPRP. Par conséquent, le Commissariat conclut que la plainte n’est pas fondée.
90. Néanmoins, le Commissariat a transmis à l’ASFC ses attentes et ses recommandations pour ses activités futures afin d’atténuer les risques d’atteinte à la vie privée liés au recours à des entrepreneurs. L’ASFC a accepté les recommandations du Commissariat et était en accord avec l’objectif global de renforcer les pratiques visant la protection de la vie privée et la sécurité dans son cadre de passation de contrats. L’Agence a également indiqué qu’elle demeure engagée à veiller à ce que ses politiques et procédures respectent les normes les plus élevées en matière de responsabilisation, de transparence et de protection de la vie privée.
91. Les réponses de l’ASFC aux recommandations du Commissariat sont présentées ci-dessous.
    1. Veiller à ce que l’évaluation des exigences en matière de sécurité soit réalisée dans un délai raisonnable avant l’attribution du contrat afin d’atténuer les risques que présente l’utilisation de données obsolètes ou inexactes. Les exigences en matière de sécurité doivent être rigoureusement évaluées, préciser le niveau de sensibilité des renseignements et prévoir les mesures de sécurité nécessaires à l’exécution du contrat.
       
       L’ASFC a reconnu l’importance de veiller à ce que toutes les exigences en matière de sécurité soient évaluées et remplies adéquatement avant l’attribution d’un contrat. L’Agence a indiqué qu’elle continue à renforcer son cadre de passation de contrats pour veiller à ce que les mesures de sécurité appropriées soient en place avant le début d’un contrat. Des outils, des processus et des procédures ont déjà été examinés et mis en œuvre pour améliorer la transparence et l’équité des approvisionnements, ce qui contribuent également à protéger la vie privée et les renseignements personnels tout au long du cycle de vie de passation des contrats.
    2. Décrire clairement et précisément les projets ou travaux à réaliser dans le cadre des AT, ce qui est essentiel pour veiller à ce que les exigences correspondantes en matière de sécurité et de protection de la vie privée soient évaluées adéquatement (en fonction de facteurs comme la sensibilité des renseignements, le type de travail à réaliser ou l’emplacement des travaux).
       
       L’ASFC a reconnu l’importance d’une définition claire de la portée des travaux dans les AT pour veiller à ce que les exigences en matière de sécurité et de protection de la vie privée soient bien établies et évaluées. L’Agence a indiqué que la recommandation concorde avec les efforts qu’elle a déjà déployés et ceux qu’elle déploie actuellement pour atténuer les risques dans ses processus d’approvisionnement.
    3. Gérer les cotes et les autorisations de sécurité et les processus de renouvellement de manière proactive, avec rigueur et en assurant une surveillance stricte afin d’atténuer les risques d’atteinte à la vie privée que présente l’accès par les entrepreneurs aux renseignements personnels. Pour ce faire, il faudrait à tout le moins mettre en œuvre une approche axée sur les risques pour évaluer l’admissibilité continue des entrepreneurs à l’accès aux renseignements personnels dans les cas où les cotes ou les autorisations peuvent ne plus être valides ou à jour.
       
       L’ASFC a reconnu l’importance de la rigueur et de la surveillance stricte visant les processus de renouvellement des cotes de sécurité. L’Agence a indiqué qu’elle collaborera avec l’équipe du PSC de SPAC pour veiller à ce que les cotes de sécurité, dont l’expiration est prévue pendant la période où un contrat est en vigueur, fassent l’objet d’un suivi par l’agent de sécurité d’entreprise de l’organisation, et à ce que des critères soient établis pour que l’ASFC évalue les cas où l’on continue de permettre l’accès aux renseignements personnel même si les cotes de sécurité ne sont pas à jour.
    4. Limiter les autorisations et l’accès à ce qui est strictement nécessaire.
       
       L’ASFC a indiqué son engagement à renforcer davantage ses pratiques de gestion des accès pour veiller à ce que les utilisateurs, y compris les fournisseurs, n’obtiennent que les autorisations nécessaires à l’exécution de leurs tâches. L’Agence a aussi indiqué qu’elle travaille activement à l’établissement de CAFR pour d’autres systèmes, explore la faisabilité de mettre en œuvre des comptes fournisseurs à accès restreint, et examine les options pour augmenter la fréquence des examens des accès et de la tenue de processus de certification pour qu’un examen soit réalisé tous les six mois pour l’ensemble des fournisseurs, et ce, peu importe leur rôle. Dans les cas où des privilèges d’accès élevés sont nécessaires, l’ASFC a mentionné qu’elle continuera de veiller à ce que ceux-ci soient accordés seulement de façon exceptionnelle, pendant la durée minimale où ils sont requis, et à ce qu’ils fassent régulièrement l’objet d’un processus d’examen et de certification.
92. L’application ArriveCAN a joué un rôle clé en aidant l’ASFC et les autorités de santé publique à gérer une crise de santé publique sans précédent. Cela dit, la mise au point de l’application a également soulevé d’importantes questions concernant la protection de la vie privée en temps de pandémie^{Note de bas de page 65}, ce qui met en évidence l’importance d’établir un équilibre entre l’urgence, l’adoption de pratiques contractuelles solides et la prise de mesures de sécurité pour assurer la protection des renseignements personnels des Canadiennes et des Canadiens.
93. Le Commissariat reconnaît que l’ASFC a pris des mesures importantes pour renforcer les pratiques d’approvisionnement et veiller à respecter les règles de passation de contrats du gouvernement du Canada après avoir effectué de nombreux examens sur la gestion de l’approvisionnement et des contrats liés à ArriveCAN. Cependant, l’enquête du Commissariat met en évidence la nécessité d’assurer une surveillance et un suivi plus directs pour veiller au respect des processus contractuels pouvant avoir une incidence directe sur la protection de la vie privée et des renseignements personnels.
94. Il existe un lien étroit entre la passation de contrats et la protection de la vie privée. Les contrats servent de cadre juridique pour définir la manière dont les renseignements personnels seront traités et protégés, ce qui est essentiel pour les activités de sous-traitance du gouvernement et assurer le respect de la LPRP. Les conclusions de cette enquête représentent une occasion de sensibiliser toutes les institutions gouvernementales et d’améliorer les pratiques relatives à la protection de la vie privée dans le contexte de la passation de contrats.

Annexe A : Versions importantes d’ArriveCAN

Annexe B : Niveaux de sécurité pour les renseignements et les biens gouvernementaux de nature délicate