Un système de courrier électronique déconcerte le destinateur et laisse transparaître des inquiétudes en matière de sécurité

Un employé de Statistique Canada s’est plaint qu’un courriel de sa superviseure, dans lequel cette dernière le qualifiait de violent et affirmait qu’il menaçait la sécurité d’autrui, constituait une utilisation et une communication inappropriées de ses renseignements personnels. Tout le personnel a accès aux courriels échangés entre la superviseure et un agent des ressources humaines via le réseau interne de l’organisme et ce, pendant cinq semaines.

Le plaignant avait déposé une plainte pour harcèlement contre sa superviseure. Dans le courriel, la superviseure se disait préoccupée par la possibilité que l’employé reçoive des copies de sa déclaration de témoin ou de celle d’autres employés concernant la plainte pour harcèlement.

Statistique Canada a mené une enquête en regard de la plainte, envisageant la possibilité d’une violation à la fois de la sécurité interne et des politiques en matière de protection des renseignements personnels. Le système de courrier électronique de l’organisme permet aux usagers d’indiquer la nature de leurs courriels : normal, personnel, privé ou confidentiel. Toutefois, le Centre de gestion des documents (CGD), qui administre et entretient les systèmes de communication électronique, ne capte pas toujours cet indicateur.

Le courriel faisant l’objet du litige a été envoyé via le CGD en se servant de l’option de messagerie du bureau, laquelle permet d’envoyer ou de choisir une des deux autres possibilités d’envoi en sélectionnant la fonction « Options ». Le destinateur peut choisir l’option « Accessibilité » qui lui permet de déterminer le niveau de sécurité et de diffusion du message, ou l’option « Accès restreint » qui permet l’accès en mode « lecture seule ». Le destinateur peut également aviser le CGD du niveau d’accessibilité souhaité. Toutefois, il ne sera au courant des choix offerts qu’après avoir sélectionné la fonction « Options ».

La superviseure avait tenté de classifier son message en inscrivant par Microsoft Outlook l’indicateur « privé » ou « confidentiel ». Elle n’avait pas compris qu’elle aurait dû également inscrire l’indicateur « protégé » à l’intention du CGD. Selon sa procédure, le CGD demande à ses classificateurs de vérifier les renseignements dans l’en-tête, d’en étudier le contenu, de vérifier le niveau de sécurité et, si ce dernier n’est pas clair, de le confirmer auprès du destinateur. Le message est ensuite acheminé aux destinataires appropriés.

Deux éléments ont contribué à la communication inappropriée : la superviseure s’est méprise sur le processus de contrôle d’accès du système – la communication n’était pas intentionnelle – et le CGD n’a pas réussi à classifier adéquatement le message avant de le rendre accessible sur le système.

Depuis la plainte, Statistique Canada a transmis à tout le bureau des directives quant à l’attribution d’un niveau de sécurité aux courriels. L’organisme étudie aussi la possibilité que le personnel du CGD examine tous les courriels Outlook qui arborent un indicateur désignant un niveau de sécurité avant de l’intégrer à la base de données. À plus long terme, Statistique Canada examinera le fonctionnement du CGD ainsi que ses protocoles en matière de renseignements personnels et présentera au Commissariat un rapport sur le progrès accompli.

Le Commissariat a conclu que la plainte était fondée mais, compte tenu du travail en cours pour améliorer le système de courrier électronique, il n’engagera pas d’autres mesures afférentes.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :