Communication non autorisée de renseignements personnels des employés de l’Agence des services frontaliers du Canada extraits du portail du Système administratif d’entreprise

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Le 26 février 2026

---

Description

En février 2025, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu un certain nombre de plaintes concernant la communication non autorisée des renseignements personnels de plus de 18 000 employés de l’Agence des services frontaliers du Canada (ASFC) à d’autres employés de l’ASFC qui n’étaient pas autorisés à les recevoir. Bien que l’enquête interne de l’ASFC ait mis au jour quatre autres atteintes antérieures dues à des pratiques similaires, nous avons conclu que l’ASFC avait réagi de manière appropriée à ces atteintes et pris des mesures correctives afin de réduire le risque que de telles atteintes se reproduisent.

Points à retenir

• Lorsqu’une organisation communique accidentellement des renseignements personnels d’employés d’une manière qui présente un risque réel de préjudice grave pour la personne concernée, nous nous attendons à ce que l’organisation a) informe les personnes concernées, b) prenne des mesures pour tenter de limiter les conséquences pour les employés concernés, et c) réduise le risque que de tels incidents se reproduisent.
• Nous attendons des organisations qui gèrent des renseignements personnels d’employés, et surtout des grandes organisations disposant d’importants volumes de données, qu’elles aient en place des processus et des outils clairs et bien établis afin que les renseignements personnels d’employés qui doivent être communiqués à certains membres du personnel dans le cadre de leurs fonctions opérationnelles leur soient fournis dans le respect de la vie privée.
• Elles devraient notamment mettre en œuvre des processus, des outils ainsi que des mécanismes de contrôle afin que les renseignements soient fournis uniquement aux personnes qui ont un besoin de savoir et qu’ils ne contiennent pas de renseignements personnels autres que ceux nécessaires pour les besoins de la cause.

Rapport de conclusions

Vue d’ensemble

1. En février 2025, les renseignements personnels de plus de 18 000 employés de l’Agence des services frontaliers du Canada (ASFC) ont été accidentellement communiqués à 70 employés de l’organisation lorsque les données de ces 18 000 employés et plus ont été incluses par inadvertance dans une feuille de calcul créée par les Ressources humaines (RH) pour faciliter l’établissement des horaires de travail du groupe. La feuille de calcul contenait également plus de renseignements sur les employés qu’il n’en fallait pour établir les horaires.
2. En enquêtant sur cet incident, l’ASFC a découvert quatre autres incidents survenus en 2024 et en 2025 lors desquels des feuilles de calcul créées par le personnel des RH ont été transmises à des gestionnaires hiérarchiques sans que les renseignements qu’elles contenaient soient limités de manière appropriée a) aux seuls renseignements nécessaires aux fins prévues et b) aux renseignements relatifs uniquement aux employés relevant d’un gestionnaire hiérarchique donné.
3. Notre enquête – que nous avons lancée après avoir reçu des plaintes de personnes touchées par l’incident de février susmentionné – nous a permis de constater que ces quatre incidents contrevenaient aux obligations de l’ASFC prévues à l’article 8 de la Loi sur la protection des renseignements personnels (la Loi) et selon lesquelles la communication de renseignements personnels doit être limitée. Dans ce contexte, nous nous attendions à ce que l’ASFC a) informe les personnes concernées b) prenne des mesures pour tenter de limiter les conséquences pour les employés concernés et, surtout, c) réduise le risque que de tels incidents se reproduisent.
4. Nous avons constaté que l’ASFC avait pris des mesures appropriées pour informer les personnes concernées et limiter les conséquences des incidents sur elles.
5. Nous avons également noté que l’ASFC avait pris des mesures appropriées pour réduire le risque que des incidents similaires se reproduisent à court et à long terme. Plus précisément, elle est en train de développer un système de gestion de l’information qui, à long terme, fera en sorte que le personnel des RH n’aura plus besoin d’extraire des renseignements personnels sous forme de rapports pour les transmettre aux secteurs de programme. Lorsqu’il sera prêt, le nouveau système permettra aux gestionnaires autorisés d’accéder directement aux renseignements personnels de leurs employés en fonction des autorisations fondées sur le rôle. Pour le moment, l’ASFC prévoit mettre en œuvre le nouveau système en 2027.
6. À court terme, l’ASFC a mis en place un mécanisme structuré pour fournir des feuilles de calcul aux gestionnaires hiérarchiques en fonction de leurs besoins, qui comprend notamment des processus visant à vérifier que a) les éléments de données inclus servent des fins claires et légitimes et que b) les renseignements sont séparés de façon à ce que les responsables n’aient accès qu’aux renseignements concernant leurs propres employés.
7. Selon les éléments ci-dessus, nous considérons que les plaintes sont fondées et résolues.

Contexte

8. Notre enquête a porté sur cinq cas de communication non autorisée de renseignements concernant des employés. Chaque cas est décrit ci-dessous.

Établissement de l’horaire de travail à un point d’entrée (3 février 2025 et février 2024)

9. Le 3 février 2025, un gestionnaire d’un point d’entrée a demandé aux RH une liste d’employés afin d’établir l’horaire de travail. Après avoir reçu la feuille de calcul, le gestionnaire l’a envoyée à 70 employés de l’ASFC (à des adresses électroniques professionnelles et personnelles) pour leur permettre de participer au processus de planification des quarts de travail.^{Note de bas de page 1} La feuille de calcul comprenait les renseignements demandés par le gestionnaire ainsi que des éléments de données supplémentaires non requis pour l’établissement des horaires, comme le code d’identification de dossier personnel (CIDP), le niveau de classification, le profil linguistique et le solde de congés des employés. Elle comportait également un onglet secondaire contenant les renseignements requis pour l’établissement des horaires de travail et des éléments de données supplémentaires au sujet de plus de 18 000 employés de l’ASFC qui ne participaient pas au processus d’établissement des horaires de travail en question.
10. Après avoir été informée de l’atteinte par une personne ayant reçu la feuille de calcul, l’ASFC a avisé toutes les personnes concernées par courrier électronique le 7 février 2025 et a publié un article de suivi dans Le Quotidien, le bulletin d’information du personnel de l’ASFC, le 10 février 2025. Le courriel d’avis et l’article décrivaient l’atteinte, les efforts de l’ASFC pour la contenir ainsi que les mesures prises pour atténuer les répercussions sur les personnes touchées et réduire le risque qu’un autre incident similaire se reproduise.
11. L’ASFC a indiqué qu’au 17 février 2025, tous les destinataires avaient confirmé avoir supprimé le courriel de leurs boîtes de réception professionnelle et personnelle et de leurs dossiers d’éléments supprimés.
12. Durant son enquête sur cette atteinte, l’ASFC a découvert qu’une atteinte similaire avait eu lieu en février 2024 et elle en a informé les parties concernées par courriel le 20 février 2025. L’ASFC a confirmé qu’elle avait également identifié et contacté les destinataires des renseignements personnels pour leur demander de supprimer toute copie restante du courriel en question.

Données de l’évaluation de catégorie III (14 février 2025 et 3 juin 2024)

13. ^{Note de bas de page 2} Le 14 février 2025, un employé des RH de l’ASFC a envoyé les résultats de l’évaluation de catégorie III de 18 500 employés aux 48 gestionnaires de l’ASFC chargés de communiquer les résultats à leurs employés respectifs. Les gestionnaires étaient censés informer les membres de leur équipe respective de la date d’expiration de leurs examens. Cependant, la liste complète des résultats a été indûment communiquée à tous les gestionnaires régionaux, qui ont donc eu accès aux résultats d’examen d’employés qui ne relevaient pas d’eux.
14. L’ASFC a informé tous les employés concernés par courriel le 20 février 2025. Le courriel décrivait l’atteinte, les renseignements personnels communiqués ainsi que les mesures prises par l’ASFC pour atténuer les répercussions sur les personnes touchées et réduire le risque qu’un autre incident similaire se reproduise.
15. Le 14 février 2025, l’ASFC a contacté tous les destinataires non autorisés pour leur demander de supprimer la feuille de calcul en question. Elle a confirmé que tous les courriels envoyés par erreur avaient été supprimés. L’ASFC a également indiqué que, dans plusieurs cas, le courriel n’avait même pas été lu, puisqu’il a été rappelé avec succès avant que les destinataires aient pu l’ouvrir.
16. Durant son enquête sur cette atteinte, l’ASFC a découvert qu’une atteinte similaire avait eu lieu en juin 2024 et elle en a informé les parties concernées par courriel le 20 février 2025. L’ASFC a confirmé qu’elle avait identifié et contacté les destinataires des renseignements personnels pour leur demander de supprimer toute copie restante du courriel en question.

Encaissement obligatoire des congés (6 février 2025)

17. ^{Note de bas de page 3} Le 6 février 2025, un gestionnaire de la Division de la planification financière, de la budgétisation, de la production de rapports et de l’efficacité de l’ASFC a transmis à 28 conseillers en gestion financière une feuille de calcul contenant les renseignements relatifs à l’encaissement obligatoire des congés de 2 608 employés, sans séparer les données relatives aux employés selon leur secteur de responsabilité respectif. Ce gestionnaire n’a pas vérifié si l’envoi des renseignements personnels avait été limité aux destinataires ayant un besoin de savoir.
18. L’ASFC a informé tous les employés concernés par courriel le 20 février 2025. Le courriel décrivait l’atteinte ainsi que les mesures prises par l’ASFC pour atténuer les répercussions sur les personnes touchées et réduire le risque qu’un autre incident similaire se reproduise.
19. L’ASFC a indiqué qu’au 18 février 2025, les 28 destinataires avaient confirmé avoir supprimé le courriel de leur boîte de réception et de leur dossier d’éléments supprimés.

Analyse

Enjeu : L’ASFC a-t-elle pris des mesures adéquates pour traiter les incidents?

20. Selon le paragraphe 8(1) de la Loi, les institutions fédérales ne peuvent communiquer les renseignements personnels d’un individu qu’avec le consentement de celui-ci ou conformément au paragraphe 8(2), qui autorise la communication de renseignements personnels sans le consentement de l’individu concerné dans des circonstances limitées, par exemple aux fins auxquelles ils ont été recueillis ou pour les usages compatibles avec ces fins.
21. À titre préliminaire, nous notons que certains plaignants touchés par l’atteinte relative à l’établissement de l’horaire de travail à un point d’entrée se sont montrés préoccupés par le fait que leurs renseignements aient été envoyés à l’adresse électronique personnelle de certains employés de l’ASFC. L’ASFC a confirmé que, bien qu’elle n’encourage pas l’utilisation d’adresses électroniques personnelles à des fins professionnelles, dans ce cas, les renseignements ont été envoyés à des adresses électroniques personnelles pour permettre aux employés qui étaient absents ou qui n’étaient pas en mesure d’accéder au réseau de l’ASFC de participer au processus de planification des quarts de travail. À notre avis, l’envoi de renseignements hors des systèmes sécurisés de l’ASFC entraîne un risque supplémentaire qu’ils soient communiqués à des tiers non autorisés. Les institutions devraient donc examiner attentivement les risques liés à l’adoption d’une telle pratique pour des raisons opérationnelles. Compte tenu des limites technologiques présentées, nous admettons que, dans ce cas, pour ce qui est des éléments de données nécessaires à l’établissement des horaires, l’utilisation d’adresses électroniques personnelles ne constituait pas une infraction aux dispositions de la Loi en matière de communication.
22. En ce qui concerne l’inclusion de renseignements excédentaires dans la feuille de calcul en question, l’ASFC et le Commissariat ont convenu que ces communications accidentelles ne relevaient pas de l’une des circonstances énumérées au paragraphe 8(2) où la communication sans consentement est autorisée. Par conséquent, l’ASFC avait besoin du consentement des personnes concernées pour communiquer ces renseignements personnels. Nous concluons ainsi que l’ASFC a enfreint l’article 8 de la Loi en raison de ces communications.
23. Pour les raisons expliquées ci-dessous, nous estimons que l’ASFC a pris par la suite des mesures appropriées pour répondre aux atteintes, de sorte que nous considérons que les plaintes sont fondées et résolues.

La notification donnée aux personnes concernées était justifiée en raison du risque de préjudice grave

24. Selon la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor, les responsables des institutions fédérales ou leurs délégués ont la responsabilité d’établir des plans régissant les atteintes à la vie privée au sein de leurs institutions. En cas d’atteinte substantielle à la vie privée, les institutions sont tenues de notifier les personnes concernées afin d’atténuer les risques de préjudice qui pourraient en résulter.^{Note de bas de page 4}
25. La Politique sur la protection de la vie privée du Conseil du Trésor, définit une « atteinte substantielle à la vie privée » comme une « atteinte qui pourrait vraisemblablement entraîner un risque réel de préjudice grave pour une personne. Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d’emploi ou d’occasions d’affaires ou d’activités professionnelles.
26. L’ASFC a reconnu que les atteintes étaient substantielles et indiqué que, dans tous les cas, elle estimait que le risque de vol d’identité et de perte financière était faible, car les renseignements communiqués par inadvertance ne contenaient pas de données comme les numéros d’assurance sociale, les numéros de téléphone à domicile, les adresses ou des informations bancaires. Elle a fait valoir que les renseignements touchés par l’atteinte étaient utiles en interne pour l’ASFC et pour le gouvernement du Canada.
27. L’ASFC a également affirmé que les risques prévus de préjudice grave pour les personnes concernées comprenaient l’humiliation et l’atteinte à leur réputation ou à leurs relations. Elle a indiqué que la plupart des renseignements communiqués étaient relatifs à l’emploi et que les atteintes pourraient causer un certain degré d’embarras aux personnes concernées.

Les notifications données par l’ASFC aux personnes touchées et les mesures de limitation des répercussions des atteintes étaient raisonnables

28. L’ASFC a avisé les personnes touchées par courriel le 7 février et le 20 février 2025. Le 10 février 2025, elle a aussi publié un message général sur l’atteinte du 3 février 2025 dans Le Quotidien, le bulletin d’information de l’ASFC.
29. Nous avons établi que, dans tous les cas, les avis sur les atteintes contenaient suffisamment d’information pour permettre aux personnes touchées de comprendre quels renseignements avaient été compromis et les mesures qu’elles devaient prendre pour atténuer les risques, comme rester vigilantes, rester à l’affût d’éventuels courriels d’hameçonnage et messages frauduleux et signaler toute activité suspecte à leur supérieur hiérarchique. Nous estimons que l’ASFC s’est acquittée de son obligation d’aviser les personnes concernées dans le contexte de ces plaintes.
30. En ce qui concerne la limitation des conséquences, l’ASFC a confirmé qu’elle avait communiqué avec les destinataires involontaires des renseignements en question pour leur demander de les supprimer. En outre, pour limiter les risques de vol d’identité et de perte financière résultant des atteintes, elle a conseillé aux équipes de la rémunération et au centre des pensions de prendre des mesures de vérification supplémentaires au cas où ils recevraient des demandes provenant d’adresses électroniques externes. L’ASFC a également recommandé au Bureau de service de la TI d’effectuer des vérifications supplémentaires si une personne tente de modifier son mot de passe dans le portail du Système administratif d’entreprise (SAE), le système de gestion de l’information des employés de l’ASFC.

Les mesures visant à réduire le risque de récurrence sont raisonnables

31. Les atteintes sont attribuables à une pratique répandue de l’unité des RH de l’ASFC, qui crée dans le portail du SAE de larges feuilles de calcul contenant une grande quantité de données sur les employés et les transmet aux gestionnaires pour les aider dans l’exécution de tâches opérationnelles. L’ASFC ne disposait pas de mesures de protection suffisantes pour faire en sorte que les RH limitent les renseignements personnels contenus dans les feuilles de calcul à ce qui était nécessaire aux fins prévues par les gestionnaires.
32. Nous attendons des organisations qui gèrent un grand nombre d’employés qu’elles mettent en place des processus et des outils clairs et bien établis pour que les renseignements des RH dont les gestionnaires hiérarchiques ont besoin pour accomplir leurs fonctions opérationnelles courantes leur soient fournis dans le respect de la vie privée. Elles devraient notamment mettre en œuvre des processus, des outils ainsi que des vérifications de conformité afin que les renseignements soient fournis uniquement aux personnes qui ont un besoin de savoir (c.-à-d. pas de renseignements personnels excédentaires ni de renseignements personnels concernant des employés qui ne font pas partie de leur équipe).
33. Lorsqu’elle a constaté les atteintes, l’ASFC a restreint l’accès des RH au SAE et a interrompu le traitement d’extraits de données similaires afin d’éviter que d’autres atteintes se produisent pendant qu’elle menait son enquête interne. L’ASFC a examiné les procédures opérationnelles normalisées et a établi des méthodes pour réduire la probabilité de récurrence. Le chef de la protection des renseignements personnels de l’ASFC a travaillé directement avec les RH pour évaluer de façon critique toutes les demandes de rapports contenant des renseignements personnels d’employés. Les procédures ont été modifiées de telle sorte que, lorsqu’un employé souhaite accéder à un rapport des RH contenant des renseignements personnels sur les employés, il doit remplir un formulaire de demande de données RH (formulaire de demande) montrant que les renseignements demandés sont nécessaires et que le principe du besoin de savoir sera respecté.
34. Les renseignements suivants doivent être fournis dans le formulaire de demande :
1. justification opérationnelle de la nécessité du rapport;
2. liste des éléments de données requis;
3. liste des équipes et des personnes qui auront accès aux données;
4. noms d’au plus trois personnes autorisées à recevoir le rapport (chef d’équipe ou gestionnaire).
   
   
35. Le formulaire de demande doit être signé par un directeur ou une directrice afin d’assurer l’autorisation appropriée et le respect du principe du besoin de savoir. Le directeur ou la directrice doit également attester que le contenu du formulaire de demande décrit avec précision les éléments de données nécessaires aux activités opérationnelles et que la consultation et la communication des renseignements personnels des employés se font uniquement sur la base du besoin de savoir.
36. En outre, avant d’y donner suite, l’employé des RH qui traite la demande est désormais tenu de consulter la liste de vérification pour l’échange de données des RH (liste de vérification), un formulaire supplémentaire qui doit être examiné et signé par deux personnes distinctes. La liste de vérification comprend les questions suivantes :
1. La demande du client est-elle appropriée et justifiée?
2. S’agit-il de la seule source auprès de laquelle le client peut obtenir les renseignements demandés?
3. Le client détient-il les droits nécessaires pour accéder à ces renseignements?
4. Est-ce que tous les éléments de données sont essentiels?
5. Les lignes et les colonnes inutiles ont-elles été supprimées, plutôt que masquées, afin que seules les données pertinentes soient communiquées?
6. Les données seront-elles envoyées exclusivement aux personnes autorisées?
7. Le niveau de sensibilité des données est-il clairement indiqué dans la réponse par courrier électronique?
8. Le courriel contenant des renseignements sensibles sur les employés est-il chiffré?
9. ^{Note de bas de page 5} Si Apollo est utilisé pour l’échange de données, les autorisations et les groupes de rôles ont-ils été vérifiés pour confirmer’ que l’accès est limité au personnel autorisé?
   
   
37. Les personnes qui signent la liste de vérification attestent qu’elles en ont examiné et confirmé tous les points, que les clients ne recevront que les éléments de données nécessaires aux activités opérationnelles et que l’accès aux données des employés est accordé uniquement sur la base du besoin de savoir.
38. Les rapports RH générés sont ensuite protégés par mot de passe et envoyés uniquement aux personnes autorisées mentionnées sur le formulaire de demande, qui transmettent de façon sécurisée le rapport aux autres membres autorisés de l’équipe. L’ASFC espère que cette nouvelle procédure permettra de réduire la possibilité d’une erreur humaine et d’éviter que d’autres atteintes de cette nature se produisent.
39. L’ASFC a indiqué qu’en plus d’adopter de nouvelles procédures, elle est en train de mettre en œuvre un nouveau système de gestion de l’information qui, à terme, éliminera la nécessité d’extraire des renseignements personnels sous forme de rapports pour les transmettre aux secteurs de programme. Lorsqu’il sera prêt, le nouveau système permettra aux gestionnaires autorisés d’accéder directement aux renseignements personnels de leurs employés en fonction des autorisations fondées sur le rôle, sans avoir à recourir aux RH. L’ASFC vise à mettre en œuvre le nouveau système en 2027.
40. Dans l’intervalle, l’équipe des RH de l’ASFC crée un entrepôt des données du SAE, une solution temporaire qui offrira des fonctionnalités similaires en attendant que le nouveau système soit déployé. L’entrepôt des données du SAE devrait être compatible avec un environnement infonuagique. Il permettra d’établir des pistes de vérification indiquant qui a consulté ou extrait des données, empêchera l’extraction de données non autorisées et appliquera des contrôles d’autorisation pour limiter l’accès aux renseignements personnels en fonction du rôle de l’utilisateur.
41. Compte tenu de tout ce qui précède, nous sommes satisfaits des mesures prises par l’ASFC pour contenir l’atteinte et prévenir les récurrences. Par conséquent, nous estimons que les plaintes sont fondées et résolues.

Conclusion

42. Sans vouloir minimiser la gravité des atteintes, nous reconnaissons que dès qu’elle a été mise au courant de la première atteinte par un employé, l’ASFC a rapidement pris des mesures pour enquêter, pour traiter les causes sous-jacentes et pour atténuer le risque de préjudice pour les personnes touchées tant par l’atteinte initiale que par les autres atteintes que son enquête a révélées. Une réponse solide aux atteintes individuelles, notamment le déploiement d’efforts pour cerner et corriger les problèmes sous-jacents plus larges, est un élément clé d’un programme solide de gestion de la protection de la vie privée.
43. À l’avenir, nous encourageons l’ASFC à surveiller de près si les employés appliquent les processus liés au formulaire de demande et à la liste de vérification lorsqu’ils veulent obtenir des données des RH, et ce, jusqu’à ce que ces processus soient rendus superflus par les mesures de protection améliorées offertes par le nouveau système de gestion de l’information que l’ASFC est en train d’élaborer.