Accès restreint : les renseignements personnels et les institutions gouvernementales

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de l'Atelier sur la gestion du secteur public de l'Institut de la gestion financière du Canada

Le 13 juin 2011
Edmonton (Alberta)

Allocution prononcée par Chantal Bernier

Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je vous remercie de m’avoir invitée à cette conférence. Voilà une occasion idéale de discuter avec des experts financiers du secteur public, compte tenu de la confidentialité des renseignements que vous traitez et de la vulnérabilité des nouvelles plateformes.

La protection de la vie privée nous concerne tous en tant qu’individus. À titre de fonctionnaires, nous devons nous en soucier tout autant. Le gouvernement a en sa possession le plus grand nombre de renseignements et les renseignements les plus confidentiels sur l’ensemble des Canadiens et des Canadiennes. Nous avons l’obligation de protéger ces renseignements, et la qualité des mesures que nous prenons influe sur la confiance que la population nous accorde.

L’obligation du gouvernement, et plus particulièrement des agents financiers, de protéger les renseignements personnels n’est pas une nouveauté. Et pourtant, elle semble avoir pris une toute nouvelle dimension. Pourquoi donc?

Parce que les atteintes à la protection des données ont des conséquences sans précédent, non seulement pour ceux dont les renseignements sont mis en péril, mais aussi pour les organisations investies de la responsabilité de les protéger.

Une étude effectuée en 2010 par l’Institut Ponemon sur le coût des atteintes à la protection des données a révélé que le coût moyen d’un seul incident pour une seule entreprise américaine s’élève à 7,2 millions de dollars, soit une moyenne de 214 dollars par dossier compromis. Ce qui semble une série sans fin d’attaques contre Sony représente une perte évaluée à plus de 170 millions de dollars. Et je ne parle pas de la perte de confiance du public, quand on sait que cette confiance est la monnaie d’échange des institutions publiques.

En tant qu’agents financiers, vous comprenez l’importance de ces chiffres et ce que cela pourrait signifier pour vos organisations.

Donc, pour aborder ce sujet aujourd’hui, je procèderai comme suit :

  • Je commencerai par dire quelques mots sur la réglementation de la protection de la vie privée et sur le rôle du Commissariat à la protection de la vie privée du Canada (le Commissariat).
  • Puis je vous proposerai quelques exemples concrets de risques que nous avons observés dans le cours de notre travail dans le secteur public.
  • Je finirai en suggérant des moyens par lesquels les institutions gouvernementales peuvent mieux protéger les renseignements personnels et en reliant ces recommandations au thème de l’atelier : intégrité, innovation et intelligence.

Le Commissariat et la réglementation de la protection de la vie privée au Canada

Je commencerai par vous donner un aperçu de la réglementation canadienne concernant la protection de la vie privée et du rôle du Commissariat à cet égard.

Il existe deux lois fédérales applicables à la protection des renseignements personnels au Canada : l’une vise le secteur privé et l’autre, le secteur public.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) réglemente la collecte, l’utilisation et la communication des renseignements personnels dans le cadre d’activités commerciales ou d’un emploi dans les entreprises fédérales et par les organisations du secteur privé dans les provinces qui n’ont pas adopté de loi applicable au secteur privé.

À l’heure actuelle, cela touche l’ensemble des provinces et territoires, sauf le Québec, l’Alberta et la Colombie-Britannique, lesquels ont leurs propres lois.

L’autre loi applicable est la Loi sur la protection des renseignements personnels, qui protège les renseignements personnels que détiennent 250 ministères et organismes du gouvernement du Canada.

Le Commissariat a pour mandat de surveiller l’application de ces deux lois. Nous remplissons ce mandat au moyen de six fonctions bien définies :

  1. Nous répondons aux demandes d’information, qui sont au nombre de plus de 11 000 par an.
  2. Nous recevons des plaintes et faisons enquête à leur sujet. Cela représente plus de 200 cas par an contre des entreprises du secteur privé et plus de 600 contre des organisations du secteur public.
  3. Nous examinons les évaluations des facteurs relatifs à la vie privée (EFVP) que nous soumettent des organisations fédérales concernant des programmes ou activités qui pourraient comprendre la collection de renseignements personnels.
  4. Nous vérifions les pratiques de gestion de l’information des organisations assujetties à l’une ou l’autre loi.
  5. Nous organisons et soutenons des activités de recherche et de sensibilisation du public.
  6. Nous apportons notre appui au Parlement en commentant les projets de loi et les modifications législatives touchant les questions relatives à la protection de la vie privée.

Les risques

À titre de fonctionnaires, vous connaissez l’ampleur et le caractère confidentiel des renseignements que le gouvernement a en sa possession. Qu’il s’agisse de demander un passeport, d’obtenir des prestations de retraite ou de remplir une déclaration d’impôt, les gens ne sont généralement pas en position de s’opposer à la collecte et à l’utilisation de leurs renseignements personnels par le gouvernement.

Les données sont souvent extrêmement confidentielles, et la communication de celles-ci sans autorisation pourrait avoir de graves conséquences : la vie privée des gens, l’intégrité de leur identité, leur situation économique et même leur sécurité personnelle sont en jeu.

Un panorama de notre travail depuis quelques années suffit à souligner nettement les risques associés à la gestion des renseignements personnels dans le secteur public.

D’une semaine à l’autre, en raison des avis et des plaintes concernant des atteintes à la protection de la vie privée, nous constatons les écueils de la gestion des renseignements personnels confidentiels : pépins technologiques, manipulation de documents sans précaution, voire intention malveillante. Permettez que je vous donne quelques exemples.

Faiblesse de l’infrastructure — Agriculture Canada est attaqué par un pirate

Le risque premier et le plus évident pour les données gouvernementales est la faiblesse du système de sécurité. Le gouvernement du Canada est le plus gros dépositaire de renseignements personnels sur les Canadiens et les Canadiennes, et, le plus souvent, ces derniers n’ont pas d’autre choix que de les fournir. Comme je le disais il y a un instant, les données recueillies par tous les ordres de gouvernement sont généralement confidentielles et souvent très confidentielles.

Le fait que ces renseignements tombent entre de mauvaises mains peut avoir de graves conséquences. Partout où il y a des données, il y a risque d’atteinte à leur sécurité. Ce qui s’est produit en janvier et qui a touché le Conseil du Trésor, le ministère des Finances et la R & D pour la Défense a été tout à fait spectaculaire. Mais la vérité est que nous faisons enquête sur un certain nombre d’incidents de ce genre tous les ans.

Par exemple, en septembre 2008, un administrateur de système d’Agriculture et Agroalimentaire Canada a découvert qu’un tiers avait piraté deux serveurs Linux et installé un logiciel de courriel modifié. Les éléments de preuve pointaient un « piratin » (en anglais « script kiddie »), c’est-à-dire un amateur utilisant des logiciels facilement disponibles pour attaquer des systèmes et des réseaux informatiques, généralement pour le plaisir.

Quoique simple sur le plan technique, la procédure a tout de même mis en péril près de 60 000 documents contenant des renseignements personnels sur des agriculteurs bénéficiaires d’un programme fédéral de garantie de prêt. En tant qu’agents financiers, vous êtes en mesure de saisir l’impact de ce genre d’incident.

Dans leur enthousiasme à adopter de nouveaux systèmes et technologies capables d’améliorer la productivité, des organisations oublient parfois de prendre du recul et de s’assurer que ces puissants moyens technologiques n’ouvriront pas la porte à des problèmes de sécurité massifs.

John Pironti, de l’entreprise ITArchitecs, disait récemment que, en matière de sécurité de réseau, il ne sert à rien d’investir plus d’argent et plus de technologie si l’on n’utilise pas efficacement la technologie dont on dispose déjà. C’est souvent la leçon la plus importante qui ressort des atteintes à la sécurité dont nous sommes informés comme de nos vérifications et de nos enquêtes : la plupart des lacunes en matière de sécurité que nous avons constatées auraient pu être réglées simplement en utilisant un peu plus judicieusement la technologie déjà en place.

Par exemple, notre vérification de l’usage des appareils sans fil au gouvernement fédéral, dont le rapport a été publié à l’automne dernier, a révélé que la plupart des organismes fédéraux dont nous avons examiné la situation ne s’assurent pas que les membres du personnel ont des mots de passe difficiles à deviner, ne font pas d’évaluation approfondie des risques et des menaces associés à la technologie employée et font un usage brouillon du chiffrement.

L’erreur humaine : envois postaux, télécopie, classement et autres écueils

En parlant d’être un peu plus habile, il faut savoir que certains des risques que nous avons constatés sont la cause d’erreurs humaines commises sans l’aide de la technologie.

Voici quelques exemples d’incidents qui ont été portés à notre attention au cours de l’exercice 2009-2010 :

  • Par suite d’une erreur de classement, Postes Canada a accidentellement communiqué 36 pages de renseignements médicaux concernant un employé retraité en réponse à une demande d’accès à l’information. Les renseignements étaient en possession d’un fournisseur de services de gestion de l’incapacité et ont été communiqués à un autre employé de Postes Canada du même nom.
  • Un technicien qui surveillait un envoi postal massif au centre de traitement de Québec de Ressources humaines et Développement des compétences Canada a remarqué aussitôt que certains formulaires étaient pliés et insérés en double dans des enveloppes. Il a corrigé certains réglages de matériel et a laissé le traitement se poursuivre. Il n’a pas employé de mécanismes pour repérer les documents en double et n’a pas informé ses supérieurs. C’est ainsi qu’au moins 44 personnes ont reçu, en plus des leurs, des formulaires destinés à d’autres personnes. Ces formulaires contenaient les noms des candidats à un supplément (et le nom de leur conjoint le cas échéant), leur adresse et leur numéro d’assurance sociale.
  • Et il y a aussi des erreurs dont les conséquences sont amplifiées par la technologie : récemment, une évaluation des compétences d’un cadre de la fonction publique a été accidentellement envoyée par courriel à 375 de ses collègues dans le même ministère.

Revenons à ce qu’a soulevé John Pironti : la solution n’est donc ni technologique, ni financière. Il suffit de veiller à ce que les employés soient correctement formés à l’usage de la technologie en vigueur.

Une question d’éthique : espionnage à l’Agence du revenu du Canada

Année après année, nous sommes troublés par le fait de la manipulation sans précaution des renseignements personnels demeure un facteur de risque important. Nous sommes également troublés par le fait que, chaque année, nous découvrons des cas d’actes répréhensibles purs et simples.

Par exemple, il y a quelques années, nous avons entamé une enquête à la suite d’allégations selon lesquelles des renseignements fiscaux concernant plusieurs personnalités connues du monde du sport étaient affichés sur Internet, dans un groupe de clavardage, par un employé de l’Agence du revenu du Canada (ARC).

Nous avons découvert qu’un ancien employé avait communiqué des renseignements personnels de cette nature au groupe de clavardage et qu’il semblait avoir recueilli ces renseignements au cours de ses années au service de l’ARC. Nous avons pu également confirmer que d’autres employés de divers centres fiscaux de l’ARC, probablement animés par la curiosité, avaient également pris connaissance des renseignements fiscaux concernant ces athlètes.

Le fait de prendre connaissance des renseignements fiscaux concernant une personne sans autorisation et dans un but sans rapport avec les fonctions de l’employé constitue une infraction à la Loi sur la protection des renseignements personnels. Même si ces renseignements ne sont jamais communiqués à un tiers, même s’il s’agit d’une célébrité ou de quelqu’un qu’on connaît personnellement, même si on a techniquement le droit de consulter la base de données, l’accès à des renseignements personnels sans raison légitime n’est pas une façon valable d’occuper ses temps morts.

Mais je suis sûre que personne ici n’a jamais été tenté de le faire.

Comment les institutions gouvernementales devraient protéger les renseignements personnels

Comment donc les institutions gouvernementales peuvent-elles atténuer ces risques et s’assurer que les renseignements personnels dont elles ont la responsabilité sont bien protégés? Il se trouve que c’est une question d’intégrité, d’innovation et d’habileté, précisément le thème de notre conférence.

L’intégrité personnelle et institutionnelle

Nous avons parlé des écarts de conduite de certains employés du gouvernement. L’intégrité personnelle est quelque chose que nous devons tous prendre très au sérieux en tant que serviteurs de l’État. Nous pensons que des mesures concrètes pour veiller à l’intégrité personnelle — formation régulière et piste de vérification systématique — sont un élément crucial d’une bonne gestion des renseignements personnels.

L’intégrité institutionnelle est tout aussi indispensable à la protection des renseignements confiés par les citoyens au gouvernement. Les ministères fédéraux sont tenus de procéder à des évaluations des facteurs relatifs à la vie privée ou EFVP.

Comme je l’ai déjà dit, une EFVP est un processus qui permet de déterminer si des mesures supposant l’emploi de renseignements personnels comportent des risques pour la protection de ces renseignements. On peut ensuite mesurer, décrire et quantifier ces risques et proposer des solutions pour les éliminer ou les ramener à un niveau acceptable.

Les résultats des EFVP sont ensuite soumis au Commissariat pour analyse. Nous appuyons cette analyse sur le respect de la vie privée en tant que droit fondamental de la personne garanti par la Charte canadienne des droits et libertés. Nous examinons les résultats des EFVP en fonction d’un critère à quatre volets, inspiré d’une affaire entendue par la Cour suprême en 1986.

Ce critère permet de mesurer le caractère raisonnable d’une intrusion possible dans la vie privée des Canadiens et des Canadiennes selon les réponses fournies à quatre questions :

  1. Est-il possible de démontrer la nécessité de la mesure proposée pour répondre à un besoin spécifique?
  2. La mesure proposée a‑t‑elle des chances de répondre efficacement à ce besoin?
  3. La perte de vie privée est‑elle proportionnelle au besoin?
  4. Existe-t-il un moyen plus respectueux de la vie privée d’obtenir le même résultat?

Notre objectif est de garantir l’intégrité dans le respect de la vie privée comme valeur définissant notre société tout en permettant la réalisation des objectifs valables d’un programme ou d’une activité du gouvernement.

L’intelligence : principes relatifs à l’équité dans le traitement de l’information et bonne gouvernance

L’intelligence renvoie à la fois à l’acquisition d’information et à la manière d’utiliser celle-ci. En matière de protection de la vie privée, la collecte et l’utilisation de renseignements se résument en 10 principes relatifs à l’équité dans le traitement de l’information, que l’on peut trouver en annexe de la réglementation fédérale relative au secteur privé et que nous appliquons lorsque nous examinons les résultats des évaluations des facteurs relatifs à la vie privée, une fois que le gouvernement a justifié, en vertu du critère à quatre volets, la collecte d’information.

Tout comme les principes comptables généralement reconnus vous guident dans l’élaboration des états financiers, les principes relatifs à l’équité dans le traitement de l’information guident les organisations dans le processus et leur permettent de garantir qu’elles traitent les renseignements personnels conformément aux normes fondamentales.

Ces dix principes permettent de concrétiser les objectifs généraux de responsabilisation, transparence et limitation de la collecte à ce qui est strictement nécessaire et d’apporter des mesures correctives en cas de non-observation de la réglementation.

Bien entendu, les principes ne valent pas grand‑chose si on ne les applique pas correctement. C’est là qu’intervient la bonne gouvernance. Les institutions publiques doivent intégrer ces principes au processus décisionnel, prendre des mesures pour les intégrer à tous les niveaux d’organisation et veiller à ce qu’ils soient respectés grâce à une procédure officielle.

L’innovation — Appliquer les principes relatifs à la protection de la vie privée dans un contexte nouveau

Passons à la question de l’innovation.

Peu de domaines sont remis en cause par l’innovation comme la protection du droit à la vie privée. Qu’il s’agisse de nouvelles technologies de l’information instaurant une infrastructure électronique permettant de conserver ce qui, auparavant, était sous clé, de médias sociaux permettant de partager ce qui, auparavant, était échangé autour d’une table à café, ou de téléphones intelligents qui révèlent au monde où nous sommes, tout cela transforme le paysage de la vie privée.

Mais le droit à la vie privée, lui, ne change pas, et notre attachement à ce principe ne change pas non plus, ni pour les jeunes, ni pour les femmes d’âge mûr qui constituent le plus vaste marché en croissance de Facebook, ni pour tous les voyageurs qui se résignent à ouvrir leurs bagages aux postes de contrôle de la sécurité à chaque fois qu’ils prennent un avion.

Il s’agit donc d’innover pour pouvoir continuer à protéger le droit à la vie privée dans un contexte nouveau.

Nous devons commencer par veiller à ce que les risques technologiques soient appréhendés à l’aide de mesures technologiques novatrices. J’ai entendu parler récemment d’un centre d’appels submergé de plaintes parce qu’un formulaire en ligne ne comprenait pas de bouton « Soumettre ».

Apparemment, il n’y avait pas de bouton « Soumettre » : l’organisation avait décidé que le meilleur moyen de protéger ses formulaires en ligne était de demander aux intéressés de remplir le formulaire à l’écran, de l’imprimer et de l’envoyer par la poste. Ce n’est pas ce que j’appelle une mesure novatrice.

L’innovation suppose que nous saisissions l’occasion d’améliorer notre service aux Canadiens et aux Canadiennes tout en protégeant leur droit fondamental à la vie privée. Cela signifie que la protection de la vie privée doit elle-même prendre des formes nouvelles. Voici quelques exemples tirés de l’expérience d’institutions publiques :

  • Le passeport électronique, qui est une innovation technologique, contient une puce qui reproduit l’information écrite sur le passeport. Passeport Canada a pris des mesures pour protéger la vie privée en employant des moyens technologiques novateurs qui garantissent que la puce ne peut pas être lue à distance par un autre lecteur que celui du gouvernement.
  • La réglementation antipourriel répond à un nouveau phénomène : l’usurpation d’identité, la fraude en ligne et les messages électroniques indésirables. Industrie Canada a élaboré une loi, adoptée par le dernier Parlement, qui innove en instaurant de nouvelles règles, sanctions et mesures de surveillance concernant les pourriels.

Dans le premier exemple, il est question de mesures technologiques novatrices; dans le second, de mesures normatives novatrices. Dans les deux cas, la protection de la vie privée est garantie grâce à l’innovation compte tenu d’un contexte nouveau.

Tout comme il faut innover sur le plan technologique, il le faut également dans notre mode de prestation de service en général, afin que nous puissions continuer d’offrir aux Canadiens et aux Canadiennes le plus haut niveau de service tout en protégeant leur droit fondamental à la vie privée.

Pour conclure

J’espère vous avoir donné une idée de l’importance de la protection des renseignements personnels des citoyens dans le cadre de vos fonctions.

Ce que j’espère avoir illustré, c’est la façon dont notre obligation, en tant que fonctionnaires, de protéger les renseignements personnels des Canadiens et des Canadiennes est un principe immuable dont l’application doit pourtant évoluer nécessairement.

À mesure que les modalités de la fonction publique changent, nous devons élaborer de nouvelles mesures pour protéger les renseignements personnels que nous confient les citoyens. Le thème de la conférence renvoie clairement à ce qui est en cause :

  • Pour conserver l’intégrité de nos valeurs et des principes directeurs qui définissent la fonction publique et pour garantir leur intégration dans un contexte nouveau, il nous faut garder l’œil sur ces valeurs fondamentales : cela veut dire que nous devons les respecter en dépit des difficultés pour qu’elles restent intactes. La protection de la vie privée est l’une de ces valeurs primordiales.
  • L’intelligence est la qualité qui nous permettra de traduire ces principes en défis sans précédent.
  • Quant à l’innovation, c’est l’action qui concrétisera cette traduction en nouveaux services, programmes et activités de la fonction publique respectueux de la vie privée.

Je vous souhaite de réussir à relever ce défi et je vous garantis notre appui sans réserve.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :