Plan d’action de la direction - Évaluation des facteurs relatifs à la vie privée (EFVP) du locataire infonuagique de M365
Plan d’action de la direction pour l’ÉFVP
Le plan d’action de la direction pour l’ÉFVP est un document évolutif; il sera modifié lorsque des mesures sont mises en œuvre en vue d’assurer le suivi des progrès.
| No | Risque d’atteinte à la vie privée | Recommandation | Niveau de risque précédent | Niveau de risque prévu après la mise en œuvre des recommandations | Réponse de la direction | Bureau de première responsabilité | Date cible (trimestre) | État |
|---|---|---|---|---|---|---|---|---|
| 1. | Responsabilisation |
Il faut mettre en place un plan de formation officiel pour veiller à ce que tous les employés connaissent les procédures et les responsabilités juridiques prévues par la Loi sur la protection de la vie privée (LPRP). Tous les deux ans, les formations destinées aux employés doivent être décrites dans des communiqués et être mises à jour. |
Moyen | Faible |
Des renseignements sur les procédures et les responsabilités juridiques prévues par la LPRP et les politiques liées à la LPRP seront ajoutés à l’intranet. Le cours COR502 de l’École de la fonction publique du Canada sera ajouté à la liste des formations obligatoires pour tous les employés du CAL. |
Services intégrés (gestionnaire, Services intégrés) | 31 mars 2025 | Complété |
| 2. | Responsabilisation | La page Web externe est mise à jour pour informer les personnes de leur droit de déposer une plainte auprès du CAL et du Commissariat à la protection de la vie privée (CPVP), et les processus de réception, d’évaluation et de traitement des plaintes relatives à la protection de la vie privée y sont décrits. | Négligeable | Atténué | Le site Web du CAL sera mis à jour pour informer les personnes de leur droit de déposer une plainte auprès du CPVP, et la procédure à suivre y sera ajoutée. | Services intégrés (gestionnaire, Services intégrés) | 31 octobre 2024 | Complété |
| 3. | Détermination des fins |
Un avis de confidentialité doit être mis au point pour informer les personnes des fins de la collecte et leur présenter les différentes pratiques de traitement des renseignements. L’avis de confidentialité doit être fourni aux personnes lorsqu’elles se connectent aux produits de Microsoft. L’avis de confidentialité doit respecter les exigences énoncées dans la section « Avis de confidentialité » de la Directive sur les pratiques relatives à la protection de la vie privée du SCT. |
Moyen | Atténué |
Le CAL a élaboré un avis de confidentialité, qui s’affichera lorsque des personnes se connectent à M365. L’avis de confidentialité a été mis au point conformément aux exigences du SCT, et sa mise en œuvre respectera le document d’orientation technique de SPC. |
Services intégrés (gestionnaire, Opérations des TI et gestion des systèmes) | 31 octobre 2024 | Complété |
| 4. | Mesures de protection | Les résultats de l’analyse des répercussions sur la sécurité et de l’évaluation des mesures de protection du nuage du GC sont examinés pour cerner les risques pour le droit à la vie privée des personnes. Un addenda présentant les résultats devrait être ajouté à l’EFVP. | Moyen | Atténué ou atténué à un niveau de tolérance aux risques acceptable (faible) | Dans l’ensemble, les répercussions sur la sécurité de la migration vers M365 sont considérées comme faibles et cadrent avec les objectifs de sécurité définis en matière de confidentialité, de disponibilité et d’intégrité. L’équipe d’Opérations des TI est parvenue à entreprendre les travaux visant à respecter les exigences prévues par les mesures de protection recommandées par le Centre de la sécurité des télécommunications pour les services infonuagiques de M365. Dans de nombreux cas, les configurations de sécurité ont été plus rigoureuses que les mesures recommandées, donc l’organisation bénéficie d’un profil de protection plus élevé. | Services intégrés (gestionnaire, Opérations des TI et gestion des systèmes) | Mars 2024 | Complété |
| 5. | Mesures de protection |
Les rôles et les responsabilités de SPC, du CAL et de Microsoft concernant les activités de gestion des incidents de sécurité n’ont pas été confirmés. Une entente de gestion des incidents de sécurité devrait être en place avec Microsoft pour veiller à ce que le CAL respecte ses exigences en matière de signalement rapide des atteintes. Le plan d’intervention en cas d’incident de sécurité entre le CAL et Microsoft doit préciser le moment où Microsoft doit communiquer avec le CAL ainsi que les intervenants avec lesquels il faut communiquer, et la définition d’une atteinte à la sécurité doit être convenue. |
Moyen | Atténué à un niveau acceptable (faible) | Le CAL travaillera avec Microsoft pour mettre au point un plan d’intervention en cas d’incident de sécurité, qui permettra au CAL de respecter ses exigences en matière de gestion des incidents de sécurité et de signalement des atteintes à la vie privée. Le CAL devrait travailler avec SPC pour veiller à ce que l’accord d’entreprise de Microsoft définisse les rôles et responsabilités de tous les intervenants (plutôt que seulement SPC et Microsoft). | Services intégrés (gestionnaire, Opérations des TI et gestion des systèmes) / Services partagés Canada | 31 mars 2025 | En cours |
| 6. | Protection |
Désormais, les modifications apportées à la configuration devraient être mises à l’essai pour atténuer les risques d’utilisation et de divulgation non autorisées. Toutes les modifications apportées à la méthode de traitement des renseignements personnels doivent également être mises à l’essai pour veiller à ce que des contrôles de confidentialité et de sécurité adéquats soient en place. |
Négligeable | Atténué à un niveau acceptable (faible) | Le CAL développera un plan afin de s’assurer que les modifications apportées à la configuration sont mises à l’essai pour atténuer les risques d’utilisation et de divulgation non autorisées. | Services intégrés (gestionnaire, Opérations des TI et gestion des systèmes) | 31 mars 2025 | Complété |
| 7. | Exactitude | Un plan officiel de migration Exchange Online doit être élaboré et mis à l’essai pour vérifier qu’il garantit l’intégrité des données. | Faible | Atténué | Le CAL a mis au point le plan de migration Exchange Online en fonction du plan de migration du CPVP et des recommandations de Microsoft. | Services intégrés (gestionnaire, Opérations des TI et gestion des systèmes) | Juin 2024 | Complété |
| 8. | Ouverture | Le site Web externe devrait être mis à jour pour informer les ressortissants étrangers dans un autre pays de leurs droits prévus par la LPRP. Un FRP propre à l’institution est créé et publié dans l’Info source du CAL pour fournir des preuves de l’administration du programme. | Moyen | Atténué | Le site Web du CAL sera mis à jour pour informer les ressortissants étrangers dans un autre pays de leurs droits prévus par la LPRP. | Services intégrés (gestionnaire, Services intégrés) | 31 octobre 2024 | Complété |
| Le CAL créera un FRP propre à l’institution et le publiera dans l’Info source du CAL suite à l’approbation du SCT. | 31 mars 2025 | Complété |
- Date de modification :