Bouton d'achat du receveur général : Résumé de l'évaluation des facteurs relatifs à la vie privée
Sur cette page
Introduction
L'intégration du bouton d'achat du receveur général à la Voie de communication protégée illustre clairement l'engagement de Travaux publics et Services gouvernementaux Canada à l'égard de la sécurité ainsi que de la protection de la vie privée et des renseignements personnels. Le présent rapport sommaire d'évaluation des incidences sur la protection des renseignements personnels contribuera à rassurer les Canadiens et les Canadiennes en démontrant que le gouvernement du Canada a pris des mesures rigoureuses pour assurer la confidentialité des renseignements personnels les concernant recueillis lorsqu'on utilise le bouton d'achat du receveur général.
Conformément à la politique du Conseil du Trésor applicable en la matière, une évaluation de l'incidence de l'utilisation du bouton d'achat du receveur général sur la protection des renseignements personnels a été effectuée et les résultats de cette évaluation ont été soumis à l'examen du Commissariat à la protection de la vie privée. Le Commissariat à la protection de la vie privée a terminé son examen et il a fait observer que, compte tenu des engagements pris pour régler un certain nombre de questions signalées dans l'évaluation, il considère que l'utilisation du bouton d'achat du receveur général ne comporte pas de risques sérieux du point de vue de la protection des renseignements personnels des Canadiens et des Canadiennes. Des solutions satisfaisantes et appropriées à tous les problèmes soulevés dans l'évaluation sont proposées dans le Plan de gestion des risques d'entrave à la vie privée.
L'évaluation des incidences de l'utilisation du bouton d'achat du receveur général sur la protection des renseignements personnels fait ressortir cinq sujets de préoccupations, tous considérés comme étant sans grande gravité dans la mesure où ils sont surtout en rapport avec la documentation du processus. La mise en application des recommandations du Plan de gestion des risques d'entrave à la vie privée ont permis d'éliminer ou d'atténuer les risques en question.
Modèle opérationnel
Le bouton d'achat du receveur général est un service commun que les ministères et organismes fédéraux et, éventuellement, d'autres ordres de gouvernement utilisent pour l'acceptation électronique des paiements et l'archivage protégé de l'information sur les paiements. Le bouton d'achat offre en outre aux particuliers et aux entreprises du pays des services de paiement commodes, fiables et sûrs pour leurs transactions en ligne avec le gouvernement fédéral. Les ministères qui vendent des biens et des services en ligne peuvent intégrer leur propre « vitrine » Web au bouton d'achat pour la collecte, l'autorisation et l'archivage protégé de l'information sur les paiements fournie par le public pour les transactions commerciales.
La seule information personnelle qu'on demande aux particuliers lorsqu'ils utilisent le bouton d'achat est le numéro et la date d'expiration de leur carte de crédit. On demande et conserve en outre l'information des ministères vendeurs requise pour le traitement des transactions, soit l'identificateur du ministère vendeur, le genre de transaction, le numéro de référence du ministère, le montant de la transaction et la langue utilisée la dernière fois par l'utilisateur dans le site Web du ministère vendeur (afin que la page Web du bouton d'achat puissent être présentée dans la même langue, par souci d'homogénéité). On attribue à l'information sur la transaction obtenue du ministère vendeur un identificateur de transaction du bouton d'achat et on joint au dossier l'information obtenue du client.
Après avoir choisi, dans la vitrine Web du ministère vendeur, les biens et les services qu'il souhaite acheter, le client peut choisir de faire son paiement en ligne par carte de crédit, auquel cas le processus de paiement du bouton d'achat est appelé. Le client sera alors redirigé vers le site Web du bouton d'achat, où il sera invité à fournir de l'information pour son paiement dans un format protégé. Simultanément, le ministère vendeur enverra au bouton d'achat l'information sur la transaction (par exemple, nom du ministère, identificateur et montant de la transaction) pour qu'elle soit affichée et jointe à l'information sur le paiement fournie par le client.
Le client est ensuite invité à indiquer le numéro et la date d'expiration de la carte de crédit qu'il veut utiliser pour le paiement. Il doit alors cliquer sur le bouton « procéder avec le paiement pour continuer ». Quand le client clique sur ce bouton, le bouton d'achat établit et envoie une demande d'autorisation de paiement au fournisseur du service de paiement. Dès qu'il reçoit une réponse de ce fournisseur, le bouton d'achat affiche l'information reçue (transaction acceptée ou refusée) à l'intention du client et informe le ministère vendeur du résultat. Le client est ensuite invité à faire imprimer la réponse affichée et à revenir à la vitrine Web du ministère vendeur pour conclure la transaction ou choisir une autre méthode de paiement.
Tout le processus de paiement doit être exécuté suivant le protocole Secure Sockets Layer (SSL) version 3 avec chiffrement de 128 bits. Après que le client a fourni l'information personnelle selon un format protégé, le numéro de carte de crédit est immédiatement chiffré par le bouton d'achat dans la mémoire des transactions protégées et il n'est plus accessible sous forme non chiffrée.
Le numéro de carte de crédit du client est caché (par une série de x) durant l'exécution de toutes les fonctions administratives ainsi que dans toutes les pages d'écran et dans tous les rapports. De plus, les remboursements et autres opérations s'y rattachant sont effectués en faisant mention de la transaction d'achat initiale, sans qu'il ne soit nécessaire d'indiquer le numéro de carte de crédit chiffré déjà archivé en format protégé.
L'objectif lié à l'utilisation du bouton d'achat du point de vue de la protection des renseignements personnels est d'empêcher le couplage, le partage et le recoupement de données et l'accès à des renseignements personnels sans autorisation. Cet objectif est tout à fait en accord avec les exigences fondamentales de conception et de mise en place de l'infrastructure de la Voie de communication protégée. Le bouton d'achat fournit en outre des outils administratifs qui aident à répondre aux demandes d'accès à l'information et qui permettent de conserver une piste de vérification juridiquement valable.
Dans la mesure où le client a le choix d'utiliser ou non le processus de paiement du bouton d'achat du receveur général, son choix de le faire équivaut à un consentement. Le client peut tout de même prendre connaissance de la déclaration sur la sécurité et la protection des renseignements personnels et de l'avis sur la protection des renseignements personnels du bouton d'achat avant de fournir des renseignements personnels. Le client peut aussi annuler la transaction et revenir au site Web du ministère vendeur pour choisir parmi les autres méthodes de paiement proposées, le cas échéant.
La déclaration sur la sécurité et la protection des renseignements personnels fournit des indications sur la collecte, l'utilisation et la communication de tous les renseignements personnels obtenus au moyen du site et du fichier de renseignements personnels (FRP) dans lequel ces renseignements sont conservés d'une façon sûre. L'avis sur la protection des renseignements personnels résume la politique et les méthodes de protection des renseignements personnels auxquelles le site doit satisfaire.
Analyse des données
Comme on l'a indiqué précédemment, les seuls renseignements personnels que les acheteurs doivent fournir au bouton d'achat du receveur général sont le numéro et la date d'expiration de leur carte de crédit. Ces renseignements sont ajoutés aux renseignements sur la transaction reçus du ministère vendeur et communiqués au fournisseur de services de paiement à la seule fin d'obtenir l'autorisation de paiement durant le traitement de la transaction. Les numéros de cartes de crédit sont chiffrés et conservés d'une façon sûre dans le bouton d'achat du receveur général, avec l'information sur la transaction, dans des dossiers. Les numéros de cartes de crédit des clients sont cachés (par une série de x) durant l'exécution de toutes les fonctions administratives ainsi que dans tous les rapports et dans toutes les pages d'écran.
- Description du groupe d'information personnelle : Numéro et date d'expiration de carte de crédit
- Recueillie par : Bouton d'achat du receveur général
- Type de support (papier, électronique, etc.) : Électronique
- Utilisé par : Bouton d'achat du receveur général et le fournisseur de services de paiement
- Raison de la collecte de l'information : Obtenir une autorisation de paiement par carte de crédit
- Communiquée à : Fournisseur de services de paiement uniquement à des fins d'autorisation
- Site de stockage ou de conservation : Stockée ou conservée dans le site de la Voie de communication protégée
Gestion des risques liés à la protection des renseignements personnels
Les sujets de préoccupation et les risques mis en lumière durant l'évaluation de l'incidence de l'utilisation du bouton d'achat du receveur général sur la protection des renseignements personnels sont décrits ci-dessous. On y indique en outre comment ces risques ont été éliminés ou atténués grâce à la mise en œuvre des quatre stratégies suivantes recommandées dans le plan de gestion des risques liés à la protection des renseignements personnels.
Gestion des renseignements personnels
Premier sujet de préoccupation concernant les renseignements personnels
Rien n'indique que les questions relatives à la protection des renseignements personnels et les obligations relatives au partage des données sont pris en considération dans les contrats et les conventions tripartites conclus entre le receveur général, la Voie de communication protégée, les établissements financiers et les différents ministères et organismes.
Premier risque d'entrave à la vie privée
Il est fait mention, dans l'évaluation, du risque que l'obligation de protéger les renseignements personnels et d'en restreindre l'utilisation ainsi que de restreindre l'accès à ces renseignements ne soit pas explicitement communiquée à toutes les parties concernées.
Mesure d'élimination ou d'atténuation du risque d'entrave à la vie privée
La protection de la vie privée et des renseignements personnels est d'une importance capitale aussi bien pour le receveur général que pour la Voie de communication protégée. Le contrat de service de carte de crédit de l'administration fédérale en vigueur exige du fournisseur de services de paiement qu'il assure la sécurité et l'intégrité des données et du traitement de ces données conformément aux normes appliquées dans le secteur bancaire. De plus, le contrat se termine le 31 décembre 2005 et le receveur général se prépare à intervenir pour qu'on intègre dans le nouveau contrat des dispositions particulières concernant la sécurité et la protection des renseignements personnels, de façon à en assurer la conformité à la politique gouvernementale.
En outre, Travaux publics et Services gouvernementaux Canada a intégré au contrat portant sur la Voie de communication protégée conclu avec un tiers fournisseur de services une description détaillée des exigences à respecter concernant la protection et la confidentialité des renseignements personnels. Des clauses particulières obligent l'entrepreneur à respecter toutes les dispositions de la Loi sur la protection des renseignements personnels ainsi qu'à assurer la protection de tous les renseignements personnels recueillis, traités ou stockés durant l'exécution du contrat.
Deuxième sujet de préoccupation concernant les renseignements personnels
Les obligations de rendre compte de la protection des renseignements personnels, par opposition à l'obligation de rendre compte de la sécurité et de la confidentialité des renseignements, et les responsabilités particulières des propriétaires et gardiens n'ont pas été établies, mises par écrit et diffusées.
Deuxième risque d'entrave à la vie privée
Il y a un risque que les propriétaires et les gardiens de renseignements personnels ne soient pas pleinement au courant de leurs responsabilités juridiques en matière de protection de ces renseignements. Il est aussi possible qu'ils ne connaissent pas ou qu'ils ne comprennent pas la nature ou le degré de confidentialité de ces renseignements.
Mesure d'élimination ou d'atténuation du risque d'entrave à la vie privée
La responsabilité de protéger les renseignements personnels dont la gestion, la collecte, l'utilisation, la communication, la conservation ou l'élimination est assurée par le bouton d'achat du receveur général est clairement définie dans le contrat portant sur la Voie de communication protégée conclu entre Travaux publics et Services gouvernementaux Canada et le tiers fournisseur de services. L'entrepreneur, en tant que gardien des renseignements personnels recueillis pour le compte de l'État, doit s'assurer que ses employés, agents et sous-traitants sont au courant de la nature confidentielle des renseignements personnels utilisés, qu'ils assurent la confidentialité de ces renseignements et qu'ils les traitent conformément aux dispositions de la Loi sur la protection des renseignements personnels.
Accès abusif
Troisième sujet de préoccupation concernant les renseignements personnels
Les mesures visant à ce que le personnel administratif des ministères et organismes ne puissent établir de liens entre les renseignements personnels recueillis par le ministère qui fournit les biens ou les services ne sont pas facilement reconnaissables.
Troisième risque d'entrave à la vie privée
Le personnel administratif des ministères peut recueillir, au cours du traitement d'une transaction, des renseignements personnels supplémentaires (par exemple, le nom et l'adresse) qui pourront être utilisés en parallèle avec l'information sur le paiement pour pouvoir plus facilement découvrir les vols et les cartes de crédit frauduleuses. Le risque est accru quand un administrateur ministériel obtient par téléphone le numéro de carte de crédit d'une personne afin de traiter la transaction au moyen de la fonction de point de vente virtuel du bouton d'achat du receveur général.
Mesure d'élimination ou d'atténuation du risque d'entrave à la vie privée
Afin d'atténuer ce risque, on empêche l'accès aux renseignements personnels de nature délicate recueillis des particuliers par le bouton d'achat du receveur général (numéros de cartes de crédit) en les chiffrant et en assurant la transmission et l'archivage protégés des données. Une fois recueillis et chiffrés par le bouton d'achat, les numéros de cartes de crédit ne sont plus accessibles. Le numéro de carte de crédit est caché (par une série de x) dans tous les rapports et pages d'écran ainsi que durant l'exécution de toutes les fonctions administratives.
Comme précaution supplémentaire, la responsabilité des ministères chargés des programmes d'appliquer correctement la Loi sur la protection des renseignements personnels et la Loi sur la gestion des finances publiques, par exemple en assurant la séparation des fonctions administratives, leur est soulignée avant et durant leur intégration au bouton d'achat du receveur général.
Conservation et élimination
Quatrième sujet de préoccupation concernant les renseignements personnels
Les procédures de conservation et d'élimination des données et les mesures correspondantes de protection matérielle des données n'ont pas été établies et mises par écrit.
Quatrième risque d'entrave à la vie privée
Il y a un risque que les renseignements personnels obtenus des particuliers ne deviennent accessibles s'ils ne sont pas stockés et éliminés d'une manière sûre et en temps utile.
Mesure d'élimination ou d'atténuation du risque d'entrave à la vie privée
Les renseignements personnels recueillis par le bouton d'achat du receveur général sont archivés en sûreté dans l'infrastructure de la Voie de communication protégée, et le support d'archivage protégé de ces renseignements a été inscrit en tant que Fichier de renseignements personnels. Les mesures de protection matérielle du contenu du support d'archivage protégé ont été établies, mises en place et mises à l'essai avec succès. On a en outre établi des procédures de conservation et d'élimination des données conformes aux normes définies dans la Loi sur les Archives nationales du Canada et la Loi sur la protection des renseignements personnels.
Contrôle
Cinquième sujet de préoccupation concernant les renseignements personnels
Bien que les adresses Internet soient considérées comme des renseignements personnels, la collecte, la conservation et l'utilisation des adresses Internet fixes par le bouton d'achat du receveur général ne sont pas signalées.
Cinquième risque d'entrave à la vie privée
Le public doit être informé de la collecte, de l'utilisation et de la communication de tous les renseignements personnels obtenus de particuliers par le bouton d'achat du receveur général. De plus, la collecte et la conservation d'adresses électroniques fixes peut poser un risque du point de vue de la protection des renseignements personnels dans la mesure où on peut se servir de ces adresses pour établir l'identité de personnes déterminées.
Mesure d'élimination ou d'atténuation du risque d'entrave à la vie privée
Le site Web du bouton d'achat du receveur général est équipé d'un logiciel de contrôle de l'utilisation du réseau qui détecte les intrusions ainsi que les tentatives de télécharger ou de modifier de l'information sans autorisation ou de provoquer autrement des dommages. Ce logiciel reçoit et enregistre l'adresse Internet de l'ordinateur qui est entré en communication avec le site, la date et l'heure de la visite ainsi que les pages consultées.
Le contrôle de réseau consiste en la saisie temporaire de toutes les entrées en communication avec le réseau et en l'analyse de sécurité de ces entrées à l'aide d'outils automatisés (des personnes ne pourraient pas surveiller toutes les entrées en communication). Seules les entrées en communication dans un but malveillant sont enregistrées et conservées. Lorsqu'il s'agit d'activités jugées légitimes, l'adresse Internet n'est pas enregistrée ou conservée.
L'avis sur la protection des renseignements personnels du site Web du bouton d'achat a été modifié de manière à ce que les personnes qui y accèdent sachent que leur adresse Internet est temporairement enregistrée par un logiciel de contrôle de l'utilisation du réseau qui détecte les activités malveillantes. L'avis indique en outre qu'on n'essaiera pas de relier les adresses au nom des personnes qui visitent le site, sauf si une tentative précise d'endommager le site est détectée.
Afin de réduire encore davantage les risques, Travaux publics et Services gouvernementaux Canada continuera de s'assurer que les adresses Internet fixes ne sont pas relevées et conservées ou, si on a besoin de ces adresses pour fournir efficacement le service, qu'on fait le nécessaire pour informer les intéressés de la raison pour laquelle l'information est recueillie, utilisée et communiquée.
- Date de modification :