Sommaire de l'évaluation des facteurs relatifs à la vie privée Bouton d'achat du receveur général

Introduction et contexte

La modernisation du service relatif au bouton d'achat du receveur général (BARG) permettra aux clients de continuer à utiliser ce service pour accepter les paiements par carte de crédit et, désormais, de l'utiliser pour accepter les paiements par Interac. Les données de paiement sont traitées électroniquement par le BARG à partir des sites Web des clients du BARG (également appelés « vitrines ») qui acceptent les paiements électroniques.

Les clients du BARG continueront de faire appel au BARG pour le traitement des paiements des particuliers. Le BARG propose les outils permettant aux clients du BARG de gérer le paiement des biens et services en ligne, par mandat postal ou en personne, par la mise en œuvre de processus d'authentification et d'administration. L'utilisation de ces processus assure l'échange sécuritaire et protégé des données de paiement entre particuliers et fournisseurs de services, au nom des clients du BARG.

Les utilisateurs du BARG comprennent :

  • les clients du BARG, notamment des ministères et organismes fédéraux et d'autres ordres de gouvernement, qui souhaitent faire appel à ce service pour accepter les paiements en provenance des vitrines de leurs sites Web pour les biens ou services achetés par des particuliers;
  • les particuliers qui souhaitent payer les biens ou services achetés auprès de clients du BARG.

Renseignements personnels recueillis par le BARG existant

Les différents groupes de renseignements personnels recueillis ou utilisés dans le cadre de l'exécution des divers processus opérationnels du BARG sont les suivants :

  • NCC : Désigne le numéro de carte de crédit nécessaire au traitement de la demande de paiement du particulier, pour les biens ou les services achetés au moyen de sa carte de crédit. 
  • Date d'expiration : Désigne la date d'expiration de la carte de crédit, afin de confirmer si la carte de crédit est valable ou périmée.
  • Adresse : Désigne l'adresse du détenteur de la carte, aux fins de la facturation ou de la vérification de l'adresse. 
  • Codes de motif : Les codes de motif recueillis par le BARG sont des renseignements personnels puisqu'ils sont liés au NCC ou au nom du détenteur de la carte. Ces codes de motif sont conservés dans le référentiel de la base de données relationnelle du BARG; les composantes de l'application y accèdent pour vérifier la validité des données de traitement du paiement fournies par le particulier au client du BARG. Toutefois, ces codes ne contiennent aucune information permettant d'identifier une personne. Les codes de motif sont affichés en langage clair.

En outre, l'application recueille et conserve les données fournies par le ministère vendeur qui sont nécessaires au traitement des transactions. Ces données sont entre autres le code d'identification du ministère vendeur, le type de transaction, le numéro de référence du ministère, le montant de la transaction et la langue utilisée par le particulier lors de sa dernière visite sur le site Web du ministère (les pages Web du BARG pourront ainsi être affichées dans la même langue, aux fins de cohérence). On joint les données fournies par le particulier aux données sur les transactions recueillies auprès du ministère, auxquelles on a attribué un code de transaction du BARG.

Renseignements personnels recueillis par le BARG mis à niveau

Les nouveaux renseignements personnels recueillis ou utilisés dans le cadre de l'exécution des divers processus opérationnels du BARG mis à niveau sont les suivants :

  • Nom : Désigne le nom du détenteur de la carte de crédit qui achète le service ou le produit dans la vitrine du client du BARG.
  • Adresse : Désigne le courriel ou l'adresse postale du détenteur de la carte, aux fins de l'acheminement du reçu de transaction.

D'autres éléments d'information relatifs aux transactions en ligne par le particulier sont aussi recueillis ou utilisés, dont les suivants : registres de session du particulier, contenu des témoins temporaires et registre de vérification de signature. Les caractéristiques de conception de l'architecture ne permettent toutefois pas d'identifier des personnes ou d'établir des liens avec des particuliers grâce à ces éléments d'information.

Le particulier peut passer en revue l'énoncé de protection des renseignements personnels du BARG dans la page de paiement où il doit fournir ses renseignements personnels. Cet énoncé décrit la raison pour laquelle ces renseignements sont recueillis, l'utilisation qui en sera faite, la période de conservation, la procédure d'élimination et le Fichier de renseignements personnels (FRP) où l'information personnelle est archivée.

L'interface Web pour l'administration du BARG permet d'accomplir les tâches suivantes :

  • réaliser des ventes par carte de crédit (et probablement par Interac, dans l'avenir) ou accorder les autorisations connexes;
  • rembourser ou annuler des transactions réalisées par un commerçant;
  • automatiser le processus de règlement et de dépôt à la fin de la journée;
  • stocker les données sur les transactions dans un lieu sûr;
  • exécuter des requêtes ponctuelles, générer des rapports et tenir les profils à jour.

Risques pour les renseignements personnels

Les risques pour les renseignements personnels et des mesures possibles d'atténuation de ces risques ont été définis dans le rapport d'évaluation des facteurs relatifs à la vie privée. Ces risques sont résumés ci-après.

  • s'assurer que l'information personnelle est conservée dans une infrastructure et un endroit protégés et solides;
  • s'assurer de tenir compte des obligations liées à la protection des renseignements personnels et à la sécurité dans les ententes (cadres de référence et formulaires d'établissement) passées entre de tierces parties et TPSGC, les autres ministères et le fournisseur du BARG, qui prévoient l'échange d'information au moyen d'interfaces et le soutien de services connexes;
  • communiquer des procédures harmonisées de conservation et d'élimination conformes aux exigences du gouvernement, à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et aux normes Payment Card Industry Data Security Standard (PCI DSS), y compris les mesures de protection de ces données jusqu'à leur élimination;
  • mettre à jour le FRP et documenter sa modification conformément aux exigences courantes du BARG en matière de collecte des données;
  • rédiger un avis harmonisé sur la protection des renseignements personnels qui reflète de façon adéquate les exigences de la Loi sur la protection des renseignements personnels et de la LPRPDE.

Conclusion

Un certain nombre de risques « peu élevés » pour la protection des renseignements personnels ont été déterminés au moment de la mise à niveau du BARG, et un plan visant l'atténuation de ces risques dans un délai acceptable a été élaboré.

Il convient de noter que le modèle opérationnel de base du BARG n'a pas changé; seul le fournisseur de services est touché, et deux renseignements personnels supplémentaires seront consignés de sorte à veiller à ce que des paiements exacts soient traités de façon sécuritaire. La mise en place d'une passerelle de paiement proposant de multiples options à l'intérieur du BARG peut aussi soulever des questions quant à la protection des renseignements personnels. Dans ce contexte, il pourrait convenir de rappeler aux particuliers que la protection des renseignements personnels a toujours été et demeure à l'origine de la décision de confier la sous-traitance du BARG à un entrepreneur détenant une attestation de niveau 1 en vertu des normes PCI DSS. En outre, les particuliers qui souhaitent accroître la protection de leurs renseignements personnels peuvent choisir de faire appel aux services des clients du BARG par le biais d'une option de paiement distincte, comme la carte de crédit et Interac, en exigeant le traitement du paiement par numéro de carte de crédit au moyen d'un identificateur particulier et non pas d'un identificateur commun.