Mise à niveau du bouton d'achat du receveur général : Résumé de l'évaluation des facteurs relatifs à la vie privée

Introduction et contexte

La modernisation du service relatif au bouton d'achat du receveur général permettra aux clients de continuer à utiliser ce service pour accepter les paiements par carte de crédit et, désormais, de l'utiliser pour accepter les paiements par Interac. Les données de paiement sont traitées électroniquement par le bouton d'achat à partir des sites Web des clients du bouton d'achat (également appelés « vitrines ») qui acceptent les paiements électroniques.

Les clients du bouton d'achat continueront de faire appel au bouton d'achat pour le traitement des paiements des particuliers. Le bouton d'achat propose les outils permettant aux clients du bouton d'achat de gérer le paiement des biens et services en ligne, par mandat postal ou en personne, par la mise en œuvre de processus d'authentification et d'administration. L'utilisation de ces processus assure l'échange sécuritaire et protégé des données de paiement entre particuliers et fournisseurs de services, au nom des clients du bouton d'achat.

Les utilisateurs du bouton d'achat comprennent :

• les clients du bouton d'achat, notamment des ministères et organismes fédéraux et d'autres ordres de gouvernement, qui souhaitent faire appel à ce service pour accepter les paiements en provenance des vitrines de leurs sites Web pour les biens ou services achetés par des particuliers
• les particuliers qui souhaitent payer les biens ou services achetés auprès de clients du bouton d'achat

Renseignements personnels recueillis par le bouton d'achat du receveur général existant

Les différents groupes de renseignements personnels recueillis ou utilisés dans le cadre de l'exécution des divers processus opérationnels du bouton d'achat sont les suivants :

• Numéro de carte de crédit : Désigne le numéro de carte de crédit nécessaire au traitement de la demande de paiement du particulier, pour les biens ou les services achetés au moyen de sa carte de crédit
• Date d'expiration : Désigne la date d'expiration de la carte de crédit, afin de confirmer si la carte de crédit est valable ou périmée
• Adresse : Désigne l'adresse du détenteur de la carte, aux fins de la facturation ou de la vérification de l'adresse
• Codes de motif : Les codes de motif recueillis par le bouton d'achat sont des renseignements personnels puisqu'ils sont liés au numéro de carte de crédit ou au nom du détenteur de la carte. Ces codes de motif sont conservés dans le référentiel de la base de données relationnelle du bouton d'achat; les composantes de l'application y accèdent pour vérifier la validité des données de traitement du paiement fournies par le particulier au client du bouton d'achat. Toutefois, ces codes ne contiennent aucune information permettant d'identifier une personne. Les codes de motif sont affichés en langage clair

En outre, l'application recueille et conserve les données fournies par le ministère vendeur qui sont nécessaires au traitement des transactions. Ces données sont entre autres le code d'identification du ministère vendeur, le type de transaction, le numéro de référence du ministère, le montant de la transaction et la langue utilisée par le particulier lors de sa dernière visite sur le site Web du ministère (les pages Web du bouton d'achat pourront ainsi être affichées dans la même langue, aux fins de cohérence). On joint les données fournies par le particulier aux données sur les transactions recueillies auprès du ministère, auxquelles on a attribué un code de transaction du bouton d'achat.

Renseignements personnels recueillis par le bouton d'achat du receveur général mis à niveau

Les nouveaux renseignements personnels recueillis ou utilisés dans le cadre de l'exécution des divers processus opérationnels du bouton d'achat mis à niveau sont les suivants :

• Nom : Désigne le nom du détenteur de la carte de crédit qui achète le service ou le produit dans la vitrine du client du bouton d'achat.
• Adresse : Désigne le courriel ou l'adresse postale du détenteur de la carte, aux fins de l'acheminement du reçu de transaction.

D'autres éléments d'information relatifs aux transactions en ligne par le particulier sont aussi recueillis ou utilisés, dont les suivants : registres de session du particulier, contenu des témoins temporaires et registre de vérification de signature. Les caractéristiques de conception de l'architecture ne permettent toutefois pas d'identifier des personnes ou d'établir des liens avec des particuliers grâce à ces éléments d'information.

Le particulier peut passer en revue l'énoncé de protection des renseignements personnels du bouton d'achat dans la page de paiement où il doit fournir ses renseignements personnels. Cet énoncé décrit la raison pour laquelle ces renseignements sont recueillis, l'utilisation qui en sera faite, la période de conservation, la procédure d'élimination et le fichier de renseignements personnels (FRP) où l'information personnelle est archivée.

L'interface Web pour l'administration du bouton d'achat permet d'accomplir les tâches suivantes :

• réaliser des ventes par carte de crédit (et probablement par Interac, dans l'avenir) ou accorder les autorisations connexes
• rembourser ou annuler des transactions réalisées par un commerçant
• automatiser le processus de règlement et de dépôt à la fin de la journée
• stocker les données sur les transactions dans un lieu sûr
• exécuter des requêtes ponctuelles, générer des rapports et tenir les profils à jour

Risques pour les renseignements personnels

Les risques pour les renseignements personnels et des mesures possibles d'atténuation de ces risques ont été définis dans le rapport d'évaluation des facteurs relatifs à la vie privée. Ces risques sont résumés ci-après.

• s'assurer que l'information personnelle est conservée dans une infrastructure et un endroit protégés et solides
• s'assurer de tenir compte des obligations liées à la protection des renseignements personnels et à la sécurité dans les ententes (cadres de référence et formulaires d'établissement) passées entre de tierces parties et Travaux publics et services gouvernementaux Canada, les autres ministères et le fournisseur du bouton d'achat du receveur général, qui prévoient l'échange d'information au moyen d'interfaces et le soutien de services connexes
• communiquer des procédures harmonisées de conservation et d'élimination conformes aux exigences du gouvernement, à la Loi sur la protection des renseignements personnels et les documents électroniques et aux normes Payment Card Industry Data Security Standard (PCI DSS), y compris les mesures de protection de ces données jusqu'à leur élimination
• mettre à jour le fichier de renseignements personnels (FRP) et documenter sa modification conformément aux exigences courantes du bouton d'achat en matière de collecte des données
• rédiger un avis harmonisé sur la protection des renseignements personnels qui reflète de façon adéquate les exigences de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques

Conclusion

Un certain nombre de risques « peu élevés » pour la protection des renseignements personnels ont été déterminés au moment de la mise à niveau du bouton d'achat du receveur général, et un plan visant l'atténuation de ces risques dans un délai acceptable a été élaboré.

Il convient de noter que le modèle opérationnel de base du bouton d'achat n'a pas changé; seul le fournisseur de services est touché, et deux renseignements personnels supplémentaires seront consignés de sorte à veiller à ce que des paiements exacts soient traités de façon sécuritaire. La mise en place d'une passerelle de paiement proposant de multiples options à l'intérieur du bouton d'achat peut aussi soulever des questions quant à la protection des renseignements personnels. Dans ce contexte, il pourrait convenir de rappeler aux particuliers que la protection des renseignements personnels a toujours été et demeure à l'origine de la décision de confier la sous-traitance du bouton d'achat à un entrepreneur détenant une attestation de niveau 1 en vertu des normes Payment Card Industry Data Security Standard (PCI DSS). En outre, les particuliers qui souhaitent accroître la protection de leurs renseignements personnels peuvent choisir de faire appel aux services des clients du bouton d'achat par le biais d'une option de paiement distincte, comme la carte de crédit et Interac, en exigeant le traitement du paiement par numéro de carte de crédit au moyen d'un identificateur particulier et non pas d'un identificateur commun.