Deux rapports font état d’améliorations et de lacunes dans l’utilisation des TIC pour la gestion des renseignements sur l’identité dans quatre institutions fédérales.
La Vérificatrice générale du Canada, Sheila Fraser, et la Commissaire à la protection de la vie privée, Jennifer Stoddart, ont consacré des rapports à la gestion des renseignements sur l’identité au sein de certaines institutions du gouvernement fédéral. Ces renseignements sur l’identité, couramment utilisés, sont le nom, la date de naissance, le sexe, la citoyenneté, l’adresse ou un numéro d’identification personnel – comme le numéro de passeport, le numéro d’assurance sociale ou le numéro d’un certificat de naissance.
Pour la première fois, les deux entités ont collaboré pour procéder à des vérifications en simultané de quatre institutions fédérales qui gèrent chacune une grande base de données de renseignements personnels, ce qui inclut des renseignements sur l’identité. Elles ont déposé en même temps leurs rapports (Cadres de gestion de la protection de la vie privée de certaines institutions fédérales, La gestion des renseignements sur l’identité) au Parlement canadien.
La Vérificatrice s’intéressait à la façon par laquelle les institutions fédérales assuraient la qualité des renseignements sur l’identité et de quelle façon elles collaboraient pour « garantir l’utilisation efficiente des fonds de renseignements du gouvernement ». La Commissaire, qui avait constaté la nécessité des institutions fédérales de recourir à un cadre efficace de gestion de la protection de la vie privée pour atteindre leurs objectifs de programmes et appliquer des pratiques exemplaires en protection des renseignements, souhaitait faire l’état de la situation au sein de certaines institutions fédérales.
Les quatre institutions fédérales scrutées par les deux entités, qui exploitent au moins une importante base de données, sont Élections Canada (23 millions de dossiers dans le registre des électeurs) Service Canada (31 millions de dossiers dans la base de données des numéros d’assurance sociale valides), Passeport Canada (17 millions de dossiers pour les passeports valides) et l’Agence de revenu du Canada (33 millions de dossiers dans une base de données).
Constats, pertes et améliorations technologiques
Dans son rapport, la Commissaire à la protection de la vie privée évoque à quelques occasions le recours aux technologies de l’information par les institutions fédérales. En introduction, elle souligne l’importance de la fourniture d’une formation sur la protection de la vie privée aux employés et aux gestionnaires des institutions fédérales, en évoquant l’impact de l’utilisation des TIC dans le cadre du travail.
« Toutes ces personnes doivent composer avec des plates-formes technologiques vieillissantes qui ne répondent peut-être pas aux nouveaux besoins opérationnels, comme le cybergouvernement, et aux nouvelles menaces à la sécurité que posent, par exemple, les pirates informatiques de plus en plus habiles », indique-t-elle.
À propos d’Élections Canada, le rapport évoque l’utilisation de CD-ROM pour la distribution de listes des électeurs aux partis politiques, aux candidats et aux députés dans le cadre des élections, mais on souligne le recours au chiffrement et l’exigence d’un mot de passe pour en protéger le contenu. Au sujet d’un dossier d’atteinte à la vie privée, le rapport fait état de documents d’élection, dont des bandes de stockage de données magnétiques, qui étaient introuvables dans une circonscription le jour d’un scrutin.
Au sujet de la collecte de renseignements personnels sur des conducteurs automobiles de 16 et 17 ans, alors qu’il n’a pas le droit de recueillir des données liées à des enfants, Élections Canada assure qu’il supprimera sous peu ces renseignements de sa base de données et qu’il supprimera des fichiers relatifs à des mineurs qu’elle recevra des fournisseurs avant de les traiter. De plus, lorsqu’un délai de conservation sera échu, les CD-ROM, disquettes et autres supports physiques qui ont servi à la transmission de ses renseignements seront détruits.
À propos de l’Agence de revenu du Canada, la Commissaire souligne que la Direction de l’accès à l’information et de la protection des renseignements personnels a augmenté le nombre d’outils de référence en ligne qui sont mis à la disposition des employés et des gestionnaires par le biais d’un intranet.
Comité de sécurité inactif
Toutefois, chez Ressources humaines et Développement social Canada – dont fait partie Service Canada -, on note une carence importante à propos d’un comité de gestion de la sécurité des TI. Ce comité a pour mandat de diriger la fonction de sécurité de la technologie de l’information, d’examiner les enjeux paragouvernementaux de la sécurité et d’agir à titre d’instance d’accréditation des systèmes, des applications et des services technologiques pour le ministère.
En reconnaissant que les comités établis dans cette institution « fournissent un régime de gouvernance solide et intégré pour la protection de la vie privée », la commissaire déplore que le comité des TI n’ait pas tenu de réunion… depuis deux ans.
« Nous avons déterminé que le Comité de gestion de la sécurité des TI n’a pas tenu de réunions depuis 2006. Le mandat du Comité consistait à évaluer les incidences potentielles des importants changements apportés aux systèmes sur la protection de la vie privée. En réalité, le Comité n’est pas fonctionnel, ce qui risque d’avoir des incidences négatives importantes sur la protection de la vie privée », indique la Commissaire.
Plus loin dans le rapport, on souligne l’existence d’un Manuel des politiques et méthodes de sécurité, consacré aux procédures de collecte et de traitement de renseignements « sensibles », qui fait état des pratiques de sécurité liées au stockage et au transport hors des lieux du travail des ordinateurs personnels, de la sécurité liée au télétravail et de la sécurité des courriels et des réseaux locaux.
Rapport de la Vérificatrice générale
Le rapport de la Vérificatrice, qui reprend quelques-unes des observations soulignées par celui de la Commissaire, fournit quelques informations additionnelles quant à l’utilisation des technologies de l’information et des communications.
En introduction, Mme Fraser souligne que les institutions évaluées, qui fournissent davantage de services à l’aide de moyens électroniques de communication et de transmission et utilisent des bases de données aux fins d’identification et d’authentification des citoyens, « doivent veiller à le faire de façon efficiente et s’assurer que l’information qu’elles utilisent est valide et exacte ».
Toutefois, la Vérificatrice affirme qu’il est difficile d’évaluer les coûts de gestion des renseignements sur l’identité. Les coûts estimatifs de mise au point des bases de données évaluées varient de 12 M$ à 31 M$ et les coûts d’exploitations annuels varient de 3 M$ à 20 M$, mais les coûts de collecte des données, les coûts des activités de contrôle de la qualité les coûts indirects ne sont pas inclus dans ces données, tandis que les coûts de retrait et d’archivage de l’information sont inconnus.
Absence de solutions communes et chevauchements
La Vérificatrice déplore que les institutions évaluées ne se soient pas dotées de mécanismes leur permettant de répondre à des besoins communs. Le rapport a observé, à cet effet, les processus d’identification et d’authentification pour la prestation des services en ligne et la validation des renseignements sur l’identité.
« Nous avons constaté que, même si les représentants de l’Agence de revenu du Canada et de Service Canada ont discuté à plusieurs reprises de la mise en oeuvre d’un système commun, ils ont finalement développé des systèmes semblables, mais distincts », note-t-on dans le rapport.
D’autre part, la Vérificatrice déplore le chevauchement de pratiques d’obtention de données de l’état civil des institutions fédérales auprès d’institutions provinciales. Notamment, pour les avis de décès, Élections Canada reçoit l’information sur CD-ROM, l’Agence de revenu du Canada par messages électroniques et Service Canada par courriel sécurisé.
« [Les coûts déboursés pour obtenir les avis de décès – 1,10 $ par avis], pris individuellement, ne sont peut-être pas importants; néanmoins, l’administration fédérale paie plus d’une fois pour recevoir les mêmes renseignements », constate la Vérificatrice.
Tout comme il est de mise dans des rapports soumis au Parlement canadien, les institutions fédérales ont, dans l’ensemble, accepté les observations et les recommandations formulées par les deux entités de vérification. Reste à savoir, lors des prochaines évaluations, si les changements promis se seront concrétisés.
Jean-François Ferland est journaliste au magazine Direction informatique.