Sommaire de l’évaluation des facteurs relatifs à la vie privée de Microsoft 365
Institution du gouvernement du canada : Commissariat au lobbying du Canada (CAL)
Chef de l’institution fédérale : Nancy Bélanger, commissaire au lobbying
Mandat de l’institution fédérale : Le CAL est un agent du Parlement indépendant responsable de réglementer les activités de lobbying fédérales. Le mandat du CAL est de veiller à ce que les activités de lobbying soient transparentes et éthiques en administrant la Loi sur le lobbying et le Code de déontologie des lobbyistes. Ses responsabilités comprennent la tenue d’un registre consultable des informations rapportées par les lobbyistes, la sensibilisation des parties prenantes et la vérification de la conformité des lobbyistes aux exigences. Les employés du CAL aident la commissaire à exécuter ce mandat.
Représentant gouvernemental responsable du programme ou de l’activité : François Bertrand, directeur exécutif, Services intégrés
Nom et description du programme ou de l’activité
Microsoft 365 (M365) est un modèle de logiciel service (SaaS) infonuagique qui offre les mêmes applications et services qu’Office 365 (p. ex. Word, Excel, OneDrive, Teams) en plus des solutions de mobilité et de sécurité d’entreprise. Les logiciels et applications de M365, qui sont gérés par Microsoft, sont accessibles par Internet. La suite d’applications Office sera installée sur les postes de travail du CAL. Les employés pourront utiliser les applications sur les postes ou encore les versions en nuage grâce à l’accès direct au nuage qu’offrent les ordinateurs et appareils mobiles fournis par le CAL, qui seront connectés au réseau du CAL. Les boîtes de courriel seront transférées dans l’environnement Exchange Online de Microsoft prochainement. À l’heure actuelle, le service infonuagique est hébergé par Microsoft dans deux (2) centres de données au Canada (Toronto et Québec). Le CAL configurera, mettra en œuvre et surveillera les activités de l’administrateur et des utilisateurs finaux liées aux produits de M365 et aux solutions de sécurité et d’appareils mobiles et produira des rapports à ce sujet.
Le projet M365 relève du volet Technologie de l’information (TI) de la Direction des services intégrés. La Direction fournit aux employés du CAL les activités entreprises en vue de rendre l’utilisation des TI plus efficiente et plus efficace pour favoriser l’exécution des priorités et des programmes du CAL, accroître la productivité et améliorer les services offerts au public. De plus, le projet appuie la gestion efficace du matériel informatique et des logiciels connexes pour les réseaux informatiques institutionnels et les postes de travail des employés; le développement et l’entretien des systèmes électroniques; le soutien technique pour les réseaux, les systèmes et les bases de données, y compris les systèmes et plateformes de courriel; et l’acquisition de logiciels.
La mise en œuvre de ce projet permettra au CAL de prendre des décisions concernant la modernisation tout en composant avec les difficultés actuelles, en améliorant la prestation de ses services, l’exécution de ses programmes et son efficacité globale et en offrant des services de TI plus agiles, plus souples et plus rentables. Le projet servira à fournir des services de soutien aux utilisateurs finaux et des services liés au maintien de l’exploitation, de l’entretien et du soutien de l’infrastructure de TI du CAL. Les appareils, les identités, les applications, les courriels, les données, les charges de travail et le nuage de M365 sont dotés de fonctions complètes de prévention et de détection des menaces et d’intervention en cas d’attaque. M365 vise à renforcer la posture de sécurité de l’organisation, à protéger les charges de travail contre les cybermenaces modernes et à faciliter la mise au point d’applications plus sécurisées. Il offre également des fonctions de prévention des pertes de données ainsi que de gestion des appareils mobiles et des applications. Ces solutions visent à renforcer la position de sécurité de l’organisation, à protéger les charges de travail contre les cybermenaces modernes et à atténuer les risques liés à l’utilisation et à la divulgation non autorisées de renseignements personnels et sensibles.
Autorité juridique du programme ou de l’activité
Conformément à la Loi sur le lobbying, à la Loi sur l’emploi dans la fonction publique, à la Loi sur la gestion des finances publiques ainsi qu’aux règlements et aux décrets connexes, la commissaire au lobbying peut nommer et embaucher des cadres et des employés du CAL pour exécuter le mandat prévu par les lois.
En vertu de ces pouvoirs législatifs et délégués, le CAL est autorisé à recueillir et à traiter les renseignements personnels des employés et entrepreneurs internes et des personnes qui participent aux programmes et aux activités propres au CAL.
Le CAL a le pouvoir de gérer sa propre infrastructure de TI et ses fonds de renseignements conformément au paragraphe 161(1) de la Loi sur la gestion des finances publiques et aux politiques et directives applicables du Secrétariat du Conseil du Trésor du Canada (SCT).
Aux termes de l’alinéa k) du décret C.P. 2015-1071 de Services partagés Canada (SPC), le CAL n’est pas tenu d’obtenir les services de TI pour les utilisateurs finaux de SPC. Par conséquent, le CAL a conclu un protocole d’entente avec le Commissariat à la protection de la vie privée (CPVP) pour assurer l’hébergement du Système d’enregistrement des lobbyistes, du site Web du CAL et de ses systèmes de bureau, ses serveurs et ses systèmes de soutien dans l’infrastructure de TI du CPVP.
Conformément aux exigences du SCT concernant l’utilisation des services infonuagiques par les institutions fédérales, le CAL aide le Centre canadien pour la cybersécurité (CCC), une division du Centre de la sécurité des télécommunications (CST), à exécuter ses activités de cyberdéfense. La Loi sur le Centre de la sécurité des télécommunications confère au CST le pouvoir de fournir des services pour protéger les renseignements électroniques et les infrastructures d’information des institutions fédérales.
Objectif de l’évaluation des facteurs relatifs à la vie privée (EFVP)
- Veiller à ce que la protection de la vie privée soit l’un des principaux facteurs pris en compte lors de la détermination initiale des objectifs et des activités du projet.
- Veiller à ce que la responsabilisation concernant les questions liées à la protection de la vie privée soit clairement intégrée dans le rôle des gestionnaires de projet et des intervenants.
- Aider les décideurs à prendre des décisions éclairées liées aux politiques, à la conception des systèmes et à l’approvisionnement en leur fournissant les renseignements dont ils ont besoin pour mieux comprendre les répercussions sur la protection de la vie privée et les différentes façons d’atténuer les risques.
- Réduire les risques de devoir abandonner ou modifier considérablement le projet après sa mise en œuvre pour assurer le respect des exigences relatives à la protection de la vie privée.
- Fournir des documents de base sur les processus opérationnels et le flux des renseignements personnels pour qu’ils soient utilisés, au besoin, et qu’ils orientent les consultations menées auprès des intervenants, les modalités des contrats, les processus relatifs à la sécurité et à la protection des renseignements personnels ainsi que les communications.
- Faire connaître les responsabilités du CAL prévues par la Loi sur la protection des renseignements personnels (LPRP) ainsi que cerner et atténuer les risques d’atteinte à la vie privée jusqu’à un niveau de risque acceptable.
- Aider à démontrer comment le CAL satisfait aux exigences législatives de la LPRP et des règlements connexes ainsi qu’aux instruments de politique du SCT en matière de protection des renseignements personnels.
Point de mire de l’EFVP
- Les activités de traitement de l’information liées aux différents produits et services de M365 et les activités réalisées par les administrateurs et les utilisateurs finaux du CAL.
- Les activités de surveillance et de production de rapports de M365 liées aux registres des activités et des vérifications ainsi que les activités d’utilisation et d’analyse de M365. Les activités liées aux activités de protection des renseignements et de prévention des pertes de données.
- La création d’un locataire du nuage Microsoft Azure pour le CAL, d’éléments de sécurité de base et de paramètres de configuration et la production du rapport d’évaluation et d’autorisation de sécurité.
- La position en matière de protection de la vie privée et de sécurité du CAL.
- Les activités de traitement de l’information, les activités de configuration, les mesures de protection de la vie privée et la position de sécurité de Microsoft.
Exclusions de la portée de l’EFVP
- Le contrat de Services publics et Approvisionnement Canada, l’accord d’entreprise de Microsoft (AEM) (utilisation de l’évaluation de l’AEM réalisée par SPC); les activités de cyberdéfense du CST et les activités de soutien technique et opérationnel de SPC.
- L’élément de TI du CAL dans son ensemble, y compris les activités de surveillance du réseau; les processus de reprise après sinistre et de continuité des activités; les activités de gestion des services; et les processus de sécurité et d’exploitation.
- Les activités de traitement de l’information liées à l’utilisation des produits et services de M365.
- Les mesures de sécurité matérielle et les autres mesures de contrôle liées aux appareils utilisés pour accéder aux services.
- La vérification des mesures de sécurité et de protection de la vie privée mises en œuvre par Microsoft. On s’appuie sur les renseignements, les documents et les réponses fournis par Microsoft, qui n’ont pas été vérifiés pour ce qui est du fonctionnement réel des mesures en place.
- Les caractéristiques et les solutions mentionnées dans la présente EFVP à titre d’information ou qui pourraient être mises en œuvre plus tard.
Fichiers de renseignements personnels (FRP)
Numéro d’autorisation de disposition de documents : 98/001
Numéro de dossier connexe : PRN 932
Numéro d’enregistrement au SCT : À déterminer
Numéro du FRP : À déterminer
| Type de programme ou d’activité | Niveau de risque |
|---|---|
| Programme ou activité qui NE nécessite PAS de prendre une décision concernant une personne identifiable. Les renseignements personnels sont seulement utilisés pour réaliser des travaux de recherche, établir des statistiques ou réaliser des évaluations, y compris une liste d’envoi où aucune des décisions prises n’a d’incidence directe sur une personne identifiable. |
1 |
| Gestion des programmes, activités et services Les renseignements personnels sont utilisés pour prendre des décisions qui touchent directement la personne (p. ex. déterminer l’admissibilité à des programmes, procéder à l’authentification pour accéder à des programmes ou services, administrer les paiements de programme et les trop payés, offrir des services de soutien à la clientèle, délivrer ou refuser des permis ou des licences, traiter des appels). |
2 |
| Enquêtes réglementaires ou de conformité et exécution de la loi Les renseignements personnels sont utilisés pour détecter la fraude ou mener des enquêtes sur les abus possibles dans le cadre de programmes, dont les conséquences sont de nature administrative (p. ex. imposition d’une amende, interruption du versement de prestations, vérification de la déclaration de revenus d’une personne, déportation d’une personne pour des raisons qui ne sont pas liées à la sécurité nationale ni à un acte criminel). |
3 |
| Enquête criminelle et application de la loi ou sécurité nationale Les renseignements personnels sont utilisés aux fins d’enquête et d’application des lois dans un contexte criminel (p. ex. décisions pouvant mener à des accusations, à des peines au criminel ou à une déportation pour des raisons liées à la sécurité nationale ou à un acte criminel). |
4 |
Niveau 2 : Administration des programmes, activités et services
Le programme de TI est considéré comme faisant partie de la catégorie de l’administration des programmes internes pour fournir aux employés du CAL les activités entreprises en vue de rendre l’utilisation des TI plus efficiente et plus efficace pour favoriser l’exécution des priorités et des programmes du gouvernement, accroître la productivité et améliorer les services offerts au public. Le projet appuie la gestion efficace du matériel informatique et des logiciels connexes pour les réseaux informatiques institutionnels et les postes de travail des employés; le développement et l’entretien des systèmes électroniques; le soutien technique pour les réseaux, les systèmes et les bases de données, y compris les systèmes et plateformes de courriel; et l’acquisition de logiciels. Le CAL a acquis une licence d’entreprise M365 E5, qui fournit la suite de produits infonuagiques de collaboration et de productivité de M365, la mobilité et la sécurité d’entreprise (MSE), les licences de Windows 11 et des solutions de sécurité avancées au moyen de la plateforme de SaaS de Microsoft.
La mise en œuvre de ce projet comprendra l’utilisation de renseignements personnels pour identifier et authentifier les administrateurs et les utilisateurs finaux sur la plateforme infonuagique de Microsoft; attribuer des contrôles d’accès en fonction des rôles et des principes du moindre privilège; créer, protéger et conserver les registres et les dossiers de vérification des systèmes d’information pour faciliter la surveillance, la production de rapports, les analyses, les enquêtes et la mise en œuvre de mesures correctives, au besoin, conformément aux exigences du SCT; élaborer, surveiller et appliquer les politiques d’accès conditionnel et de prévention des pertes de données pour protéger les renseignements personnels et sensibles contre les divulgations non autorisées; gérer les appareils mobiles et les applications; et fournir à la haute direction des observations et des capacités de production de rapports sur l’utilisation. Les renseignements personnels peuvent également être utilisés pour évaluer le rendement des applications, gérer les répercussions possibles sur la sécurité ou la vie privée et faciliter la prise de décisions. Les renseignements personnels peuvent être compilés pour étayer une enquête sur une utilisation inappropriée soupçonnée ou présumée, un cas de non conformité aux politiques ou encore une atteinte ou une compromission délibérée ou involontaire des réseaux électroniques du gouvernement par des employés du CAL ou d’autres personnes à l’extérieur de l’institution. Les renseignements personnels recueillis sont organisés ou destinés à être récupérés à l’aide du nom de la personne, d’un numéro d’identification ou de tout autre renseignement sur la personne.
Si on soupçonne une utilisation inappropriée, un non respect des politiques organisationnelles ou des politiques d’information ou une compromission du réseau électronique du CAL, les renseignements recueillis dans les registres des activités et des vérifications peuvent être utilisés pour appuyer la sous activité de surveillance du réseau électronique du CAL. Le projet ne comprend pas d’enquêtes ni de mesures d’application de la loi liées à la réglementation et à la conformité, mais le CAL aide le CST à exécuter son mandat en matière d’activités de cyberdéfense en vertu de son autorité législative découlant de la Loi sur le CST. Dans le cadre de son programme de cyberdéfense, le CST peut recueillir et utiliser des renseignements et des dossiers personnels pour exécuter des activités de cyberdéfense en vue de surveiller les réseaux du gouvernement pour détecter les cybermenaces et analyser, évaluer et atténuer les événements de cybersécurité qui menacent ou pourraient menacer l’infrastructure du GC et les systèmes importants pour le GC et se défendre contre ceux-ci.
Les renseignements personnels peuvent être recueillis directement auprès de l’administrateur ou de l’utilisateur final ou encore tirés du matériel utilisé pour accéder aux produits et aux services.
| Type de renseignements personnels recueillis et contexte | Niveau de risque |
|---|---|
| Seuls les renseignements personnels, sans contexte de nature sensible, recueillis directement auprès de la personne ou avec son consentement aux fins de communication dans le cadre d’un programme autorisé. Par exemple : L’obtention générale de permis ou le renouvellement de documents de voyage ou de pièces d’identité. |
1 |
| Renseignements personnels, sans contexte de nature sensible après la collecte, fournis délibérément par la personne, notamment aux fins d’utilisation par une autre source. Par exemple : Un processus de demande exigeant une vérification indépendante de certains renseignements factuels non sensibles. |
2 |
| Le numéro d’assurance sociale, les renseignements médicaux et financiers et certains autres renseignements personnels, ou encore le contexte de ceux ci, sont considérés comme sensibles. Renseignements personnels sur les mineurs ou les personnes ayant une incapacité ou renseignements qui mettent en cause un représentant agissant au nom de la personne visée. Par exemple : La présence du nom d’une personne dans une liste précise peut révéler des renseignements sensibles sur la santé, la situation financière, les choix religieux ou le mode de vie de cette personne. |
3 |
| Renseignements personnels sensibles, y compris les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou le contexte de ces renseignements personnels, sont considérés comme particulièrement sensibles. Par exemple : Renseignements personnels qui révèlent des détails intimes sur la santé, la situation financière, les choix religieux ou le mode de vie de la personne et qui, par association, révèlent des détails similaires sur d’autres personnes comme des membres de sa famille. |
4 |
Les renseignements personnels peuvent comprendre le nom d’une personne (prénom, identifiant de connexion, nom de l’utilisateur délégué, nom d’utilisateur); ses coordonnées (adresses courriel, alias de courriel, adresses de bureau, numéros de téléphone cellulaire); son rôle d’utilisateur; les renseignements de son profil d’emploi; son lieu de travail; ses mots de passe; la langue qu’elle préfère; ses numéros d’identification uniques (adresses IP du client, numéros d’identification de l’appareil, numéro d’IMEI, adresse MAC et identifiant du client, du message, du dossier ou de l’élément); l’historique de connexion et de déconnexion; la date et l’heure de l’accès ou du changement effectué; les données de localisation tirées du matériel/des appareils; le contenu des réunions Teams; l’historique de clavardage; l’historique des appels; le contenu des courriels; les images; les enregistrements vidéo et audio; l’historique de recherche de l’utilisateur; le contenu d’un document ou d’un courriel divulgué à la suite d’une analyse de sécurité ou d’un processus de détection de menaces; les alertes, l’état d’un cas d’incident; la gravité des alertes; la cote de risque; les facteurs de risque; ou une combinaison de ces derniers. Les renseignements personnels reçus ou envoyés dans le cadre des programmes et des activités de services internes de l’institution peuvent contenir des renseignements personnels sensibles sur des personnes qui communiquent avec le CAL ou des utilisateurs finaux.
| Participation des partenaires et du secteur privé au programme ou à l’activité | Niveau de risque |
|---|---|
| Au sein du ministère (pour au moins un des programmes du ministère) | 1 |
| Avec d’autres institutions fédérales | 2 |
| Avec d’autres institutions ou avec une combinaison des gouvernements fédéral, provinciaux et municipaux | 3 |
| Avec des gouvernements étrangers, des organisations internationales et des organisations du secteur privé | 4 |
Niveau de risque 1 – Les produits et solutions de sécurité de Microsoft seront configurés, exploités, surveillés et entretenus par le programme de TI du CAL et utilisés par les utilisateurs finaux du CAL. Les divers produits et les caractéristiques de la solution de sécurité cadreront avec les politiques organisationnelles et les politiques de sécurité et de gestion de l’information du CAL. Le programme de TI fournira des services de soutien aux utilisateurs finaux. Le projet tirera profit de la migration de la boîte de courriel Exchange pour faire la transition vers le nouvel environnement prochainement. Le programme de TI doit également assurer la gestion du traitement des incidents de sécurité et l’harmonisation des processus de gestion des incidents de sécurité de Microsoft avec les attentes du GC en matière de sécurité.
Niveau de risque 2 – SPC est le courtier de services infonuagiques qui facilite la prestation des services SaaS infonuagiques de Microsoft au CAL. SPC gérera la relation avec Microsoft, y compris la facturation ainsi que la surveillance et la consommation des services infonuagiques, et fournira la connectivité réseau pour connecter l’environnement local du CAL à la plateforme de locataires de nuage Microsoft Azure. SPC est responsable de préparer et de tenir à jour l’AEM entre SPC et Microsoft Canada.
CPVP : Le CAL a conclu une entente avec le CPVP pour assurer l’hébergement du Système d’enregistrement des lobbyistes, du site Web du CAL et de ses systèmes de bureau, ses serveurs et ses systèmes de soutien dans l’infrastructure de TI du CPVP.
CST : Le CST entreprendra des activités d’évaluation à l’appui de l’infrastructure du CAL pour aider ce dernier à cerner, à isoler ou à prévenir les dommages aux systèmes et aux réseaux informatiques du CAL.
Niveau de risque 4 – Microsoft fournit au secteur privé la suite de produits et de services infonuagiques de M365, qui tire parti de la plateforme Microsoft Azure et des centres de données de Microsoft du Canada. Microsoft est responsable de l’infrastructure sous jacente, des intergiciels ainsi que des logiciels et des données d’application dans le centre de données de Microsoft et gérera le matériel, les logiciels ainsi que la disponibilité et les contrôles de sécurité de l’application et des données.
| Durée du programme ou de l’activité | Niveau de risque |
|---|---|
| Programme ou activité ponctuel Programme ou activité qui consiste généralement à fournir une mesure de soutien ponctuelle sous la forme d’une subvention versée dans le cadre d’un programme de soutien social. |
1 |
| Programme à court terme Programme ou activité qui favorise l’atteinte d’un objectif à court terme et dont la date de fin est fixée. |
2 |
| Programme à long terme Programme ou activité existant qui a été modifié ou dont la date de fin n’a pas été fixée. |
3 |
Le projet est une activité à long terme dont la date de fin n’a pas été fixée. L’AEM expire en 2026, mais il comporte une option de renouvellement du service de trois ans. La durée d’utilisation des produits et des services de M365 dépendra de la période où Microsoft prendra en charge la solution ainsi que des tendances futures en matière d’adoption de la technologie.
| Personnes concernées par le programme | Niveau de risque |
|---|---|
| Le programme touche certaines personnes à des fins administratives internes. | 1 |
| Le programme touche toutes les personnes à des fins administratives internes. | 2 |
| Le programme touche certaines personnes à des fins administratives externes. | 3 |
| Le programme touche toutes les personnes à des fins administratives externes. | 4 |
Tous les employés et les entrepreneurs du CAL doivent utiliser les produits et les services de M365. Les renseignements sont utilisés pour fournir et gérer les offres de produits de M365, mettre en œuvre les solutions de sécurité et assurer la gestion des appareils et des applications.
Les renseignements personnels peuvent être utilisés pour identifier et authentifier les administrateurs et les utilisateurs; gérer les appareils et les applications mobiles; assurer la protection contre les menaces infonuagiques et détecter les menaces à la sécurité, les comportements inhabituels et les menaces dans les courriels, les liens, les pièces jointes et les outils de collaboration; gérer et surveiller les incidents et les politiques d’alerte; et faire fonctionner les processus d’enquête automatisés. Les renseignements personnels peuvent être utilisés pour faciliter la gestion des services de données au moyen de solutions de données gouvernementales et mettre en œuvre des solutions de sécurité des données en vue d’aider à détecter et à protéger les renseignements sensibles, y compris la prévention des pertes de données, les obstacles à l’information, la protection des renseignements et la gestion des risques internes et des accès privilégiés.
Les renseignements personnels peuvent être utilisés pour repérer les utilisateurs ou les connexions qui présentent un risque, mener une enquête à leur sujet et attribuer une cote de risque; appliquer des politiques de contrôle d’accès fondées sur les rôles et les risques; et affecter des utilisateurs à des ressources précises. Il est possible que les utilisateurs finaux considérés comme pouvant présenter un risque soient surveillés, fassent l’objet d’un suivi et soient signalés à la haute direction. Les renseignements personnels peuvent être utilisés sous forme regroupée pour mieux comprendre la façon dont l’organisation adopte les différents services de M365.
Les renseignements contenus dans les registres des vérifications peuvent être compilés pour étayer une enquête sur une utilisation inappropriée soupçonnée ou présumée, un cas de non conformité aux politiques ou encore une atteinte ou une compromission délibérée ou involontaire des réseaux électroniques du gouvernement par des employés de l’institution ou d’autres personnes à l’extérieur de l’institution (POU 905). Les renseignements personnels peuvent être utilisés par le CST pour évaluer les menaces qui pèsent sur les systèmes de technologie de l’information visés par l’évaluation et améliorer la sécurité de ces systèmes électroniques (voir le programme de cyberdéfense du CST, PPU 007).
Le projet M365 touche notamment les employés du CAL et les autres personnes qui utilisent les réseaux électroniques du CAL (p. ex. les étudiants, les employés contractuels, le personnel d’agence, les membres du public, le personnel ministériel et les députés qui envoient des courriels ou des pièces jointes à des employés du CAL).
| Risques possibles pour le ministère | Niveau de risque |
|---|---|
| Préjudice pour la direction. Il faut examiner les processus, changer les outils ainsi que changer le fournisseur/partenaire. |
1 |
| Préjudice pour l’organisation. Changements apportés à la structure organisationnelle et décisionnelle de l’organisation, à la répartition des responsabilités et à l’architecture des activités de programme; départ d’employés; et réaffectation de ressources humaines. |
2 |
| Préjudice financier. Poursuites, montants supplémentaires requis et réaffectation de ressources financières. |
3 |
| Atteinte à la réputation, embarras, perte de crédibilité. Diminution de la confiance du public, représentants élus sous les feux de la rampe, résultats stratégiques ministériels et priorités gouvernementales compromis, répercussions sur les secteurs de résultats du GC. |
4 |
Les répercussions sur l’organisation dépendent de la gravité et de la nature de l’atteinte ainsi que de l’ampleur des renseignements personnels touchés. Il peut s’agir d’une atteinte interne ou externe, et l’atteinte peut avoir des répercussions sur les personnes. Parmi les répercussions possibles, mentionnons :
- un préjudice à la direction, qui peut nécessiter de modifier les processus;
- un préjudice à l’organisation si les renseignements ou les données sont volés, perdus ou utilisés de manière inappropriée en raison de mesures de protection inadéquates;
- un préjudice financier si un cas de négligence ou de divulgation de renseignements sensibles entraîne une poursuite;
- une atteinte à la réputation, de l’embarras ou une perte de crédibilité; une diminution de la confiance du public et une attention accrue accordée aux représentants des ministères et aux représentants élus en cas d’atteinte substantielle. Dans le cas d’une atteinte à la sécurité des données, ces répercussions susciteraient probablement des critiques de la part des médias et risqueraient d’entraîner une perte de crédibilité et de confiance encore plus importante.
Cet élément importe au CAL, puisque le CAL est censé fournir un environnement infonuagique à locataires multiples sécurisé, tout en respectant les attentes des personnes quant à la confidentialité des messages qu’elles envoient à des destinataires. Une atteinte externe est peu probable en raison des mesures de sécurité mises en place par le CAL et Microsoft et de l’évaluation sous jacente effectuée par SPC.
| Risques possibles pour la personne ou l’employé | Niveau de risque |
|---|---|
| Inconvénient. | 1 |
| Atteinte à la réputation, embarras. | 2 |
| Préjudice financier. | 3 |
| Préjudice physique ou psychologique. | 4 |
L’incidence des risques dépend de la nature et de l’ampleur de l’atteinte et pourrait vraisemblablement causer un certain préjudice aux personnes. Les renseignements personnels et les dossiers traités par Microsoft peuvent être considérés comme des renseignements personnels sensibles, et il est normal qu’une personne s’attende à ce que les messages et les pièces jointes qu’elle envoie aux destinataires prévus et reçoit d’eux soient confidentiels.
À l’extrémité inférieure du spectre, l’utilisateur peut subir des inconvénients si l’environnement Microsoft Azure est compromis et devient indisponible lorsqu’une menace est détectée. Les personnes peuvent devoir trouver d’autres outils de communication.
Les personnes pourraient être victimes d’une atteinte à la réputation ou ressentir de l’embarras, tant sur le plan professionnel que personnel. Les renseignements personnels peuvent être exposés et utilisés à des fins autres que celles prévues par l’utilisateur final ou le programme. Une atteinte à la vie privée peut exposer les personnes à des risques comme l’embarras et engendrer des conséquences liées au milieu de travail. Les personnes pourraient subir un préjudice financier lié à un vol d’identité, à la perte d’un emploi ou d’une occasion d’affaires et à l’incapacité d’obtenir un emploi ou de faire progresser leur carrière. Les personnes pourraient subir un préjudice physique ou psychologique si des renseignements liés à des enquêtes confidentielles, à leur état de santé ou à leurs mesures d’adaptation en milieu de travail étaient divulgués dans le cadre d’une atteinte externe.
Si les renseignements contenus dans l’environnement sur place étaient compromis, l’atteinte résultante pourrait avoir une incidence négative sur les intérêts en matière de protection de la vie privée des personnes et sur la confiance des personnes dont les renseignements sont compromis envers le gouvernement fédéral. La compromission des renseignements personnels dans Azure (c. à d. renseignements nécessaires à l’authentification sur le portail des administrateurs Azure) aurait une incidence limitée sur la protection de la vie privée des administrateurs, car les renseignements personnels en question sont des coordonnées de base peu sensibles.
Recommandations
| Risque d’atteinte à la vie privée | Risque | Niveau de risque | Recommandation |
|---|---|---|---|
| Responsabilisation | La section 4.2.1 de la Politique sur la protection de la vie privée du SCT exige que le CAL veille à ce que ses employés connaissent les procédures et les responsabilités juridiques prévues par la LPRP et les politiques liées à la LPRP. Comme il n’existe pas de formations officielles sur la protection de la vie privée destinées aux utilisateurs finaux, les utilisateurs pourraient ne pas savoir comment protéger les renseignements personnels ou ne pas connaître leurs responsabilités juridiques prévues par la LPRP. | Moyen |
Il faut mettre au point un plan de formation officiel pour veiller à ce que tous les employés connaissent les procédures et les responsabilités juridiques prévues par la LPRP et les politiques liées à la LPRP. Tous les deux ans, les formations destinées aux employés doivent être décrites dans des communiqués et être mises à jour. |
| Responsabilisation | La section 4.2.10 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT exige que le CAL informe les personnes de leur droit de déposer une plainte auprès du commissaire à la protection de la vie privée du Canada concernant le traitement des renseignements personnels des personnes par le CAL. L’énoncé sur la protection des renseignements personnels du CAL se trouve dans la page « Avis » du site externe du CAL. Il est difficile à trouver et ne comprend pas toutes les exigences du SCT concernant les avis de confidentialité. Les personnes peuvent ne pas être conscientes de la façon dont leurs renseignements personnels sont traités ou ne pas connaître leurs droits prévus par la LPRP et la Loi sur l’accès à l’information. | Négligeable | La page Web externe est mise à jour pour informer les personnes de leur droit de déposer une plainte auprès du CAL et du CPVP, et les processus de réception, d’évaluation et de traitement des plaintes relatives à la protection de la vie privée y sont décrits. |
| Détermination des fins | Selon le paragraphe 5(2) de la LPRP, « une institution fédérale est tenue d’informer l’individu auprès de qui elle recueille des renseignements personnels le concernant des fins auxquelles ils sont destinés ». La section 4.2.10 de la Directive sur les pratiques relatives à la protection de la vie privée décrit les exigences liées à l’avis de confidentialité que les institutions fédérales doivent respecter. Les personnes ne sont pas informées des activités de collecte et de traitement de renseignements liées à M365 et peuvent ne pas comprendre comment leurs renseignements personnels sont traités. | Moyen |
Un avis de confidentialité doit être mis au point pour informer les personnes des fins de la collecte et leur présenter les différentes pratiques de traitement des renseignements. L’avis de confidentialité doit être fourni aux personnes lorsqu’elles se connectent aux produits de Microsoft. L’avis de confidentialité doit respecter les exigences énoncées dans la section « Avis de confidentialité » de la Directive sur les pratiques relatives à la protection de la vie privée du SCT. |
| Mesures de protection | Selon la section 6.1.4 de l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité, les institutions fédérales « doivent effectuer des évaluations de la sécurité et de la protection contre les pertes de données de leurs systèmes d’information ou de services avant d’approuver leur mise en activité ». De plus, les mesures de protection du nuage du GC suggèrent que les ministères mettent en œuvre et valident les mesures de protection et produisent des rapports sur le respect des mesures. L’évaluation de la sécurité et des autorisations ainsi que les mesures de protection du nuage du GC n’ont pas été finalisées. | Moyen |
Les résultats de l’analyse des répercussions sur la sécurité et de l’évaluation des mesures de protection du nuage du GC sont examinés pour cerner les risques pour le droit à la vie privée des personnes. Un addenda présentant les résultats devrait être ajouté à l’EFVP. |
| Mesures de protection | La section 4.1.4 de la Directive sur les pratiques relatives à la protection de la vie privée de la SCT exige que les institutions fédérales mettent en place des plans avec des entités tierces qui définissent clairement les rôles et responsabilités de tous les intervenants et qu’elles veillent à ce que leurs procédures et communications internes soient conformes à la Politique sur la sécurité du gouvernement et à ses directives et normes connexes. Selon l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité, les ministères qui fournissent des services fondés sur l’informatique en nuage doivent instaurer des mécanismes appropriés pour intervenir de façon efficace en cas d’incident en matière de sécurité. Le CAL n’a pas établi de plan officiel d’intervention en cas d’incident de sécurité avec Microsoft pour veiller à ce qu’il soit en mesure de réagir aux événements de cybersécurité d’une manière constante, coordonnée et rapide. | Moyen |
Les rôles et les responsabilités de SPC, du CAL et de Microsoft concernant les activités de gestion des incidents de sécurité n’ont pas été confirmés. Une entente de gestion des incidents de sécurité devrait être en place avec Microsoft pour veiller à ce que le CAL respecte ses exigences en matière de signalement rapide des atteintes. Le plan d’intervention en cas d’incident de sécurité entre le CAL et Microsoft doit préciser le moment où Microsoft doit communiquer avec le CAL ainsi que les intervenants avec lesquels il faut communiquer, et la définition d’une atteinte à la sécurité doit être convenue. |
| Protection | Selon la section 3.1.3 de la Politique sur la protection de la vie privée du SCT, les institutions fédérales doivent veiller à ce que les renseignements personnels qui relèvent d’elles soient protégés et gérés efficacement. On ignore si les activités de configuration futures seront mises à l’essai pour veiller à ce que des mesures de protection adéquates soient en place en vue d’empêcher l’utilisation et la divulgation non autorisées de renseignements personnels. | Négligeable |
Désormais, les modifications apportées à la configuration devraient être mises à l’essai pour atténuer les risques d’utilisation et de divulgation non autorisées. Toutes les modifications apportées à la méthode de traitement des renseignements personnels doivent également être mises à l’essai pour veiller à ce que des contrôles de confidentialité et de sécurité adéquats soient en place. |
| Exactitude | Selon la section 4.3.1.9 de la Directive sur les services et le numérique du SCT, les institutions fédérales doivent protéger les renseignements et les données en consignant et en atténuant les risques et en tenant compte de la protection des renseignements personnels. En l’absence d’un plan de migration officiel, il existe un risque que la migration des données de l’environnement actuel vers le nouvel environnement engendre une corruption des données ou des pertes de données. | Faible |
Un plan officiel de migration Exchange Online est élaboré pour garantir l’intégrité des données. Le plan de migration doit être mis à l’essai pour vérifier qu’il garantit l’intégrité des données. |
| Ouverture | Selon le paragraphe 10(1) de la LPRP, les institutions fédérales doivent créer des FRP pour tous les renseignements personnels qui relèvent d’elles et qui « ont été, sont ou peuvent être utilisés à des fins administratives; sont marqués de façon à pouvoir être retrouvés par référence au nom d’un individu ou à un numéro, symbole ou autre indication identificatrice propre à cet individu ». Les renseignements personnels recueillis dans le cadre de la mise en œuvre des produits de M365 et des solutions de sécurité et de la gestion des appareils et des applications mobiles sont organisés ou destinés à être récupérés au moyen du nom ou du numéro d’identification d’une personne. | Moyen |
Le site Web externe devrait être mis à jour pour informer les ressortissants étrangers dans un autre pays de leurs droits prévus par la LPRP. Un FRP propre à l’institution est créé et publié dans l’Info source du CAL pour fournir des preuves de l’administration du programme. |
Technologie
Les données seront stockées dans les centres de données de Microsoft au Canada. Le CAL configurera, déploiera et maintiendra son locataire du nuage de M365, et Microsoft ne pourra pas avoir accès au locataire du CAL sans avoir obtenu l’approbation écrite du CAL. Le CAL transférera les boîtes de courriel Exchange dans la solution ou la plateforme infonuagique pour qu’elles soient compatibles avec certains produits, logiciels et services de Microsoft Office. Pour que les administrateurs aient accès, il faut modifier les privilèges de rôle et avoir recours à l’authentification à facteurs multiples. Les utilisateurs finaux doivent s’authentifier à l’aide de leurs identifiants actuels. Les solutions de sécurité de Microsoft assurent la protection complète des applications de Microsoft en fournissant des outils de surveillance et de protection des données des applications infonuagiques. Le CAL tirera parti de divers outils de surveillance assistés par ordinateur de la suite M365 (pour la consignation des vérifications), notamment l’activité et les événements des utilisateurs finaux et des administrateurs; la prévention de la perte de données; les activités de connexion; la protection de l’identité; l’approvisionnement des produits; les renseignements sur l’utilisation; les applications et les transactions de l’interface de programmation d’applications. M365 aura la capacité de corréler les renseignements tirés de divers registres pour comprendre le risque et la culture de sécurité de l’organisation. Le CAL pourra utiliser les données tirées de diverses sources de données et de divers registres pour établir des mesures d’utilisation des produits par les utilisateurs et en rendre compte et pour produire des rapports sur la sécurité et les événements. Les processus de surveillance de la cybersécurité du CST comprendront un balayage et une analyse automatisés. Le couplage de données peut avoir lieu à la suite d’une enquête sur un incident de sécurité ou en vue de détecter et de corréler des incidents de sécurité antérieurs. Le projet permettra d’importer dans M365 les courriels, les contacts et d’autres renseignements concernant la boîte de courriel des utilisateurs finaux.
- Date de modification :