Système d'information intégré : Résumé de l'évaluation des facteurs reliés à la vie privée
Sur cette page
Introduction
Ce résumé de l'évaluation des facteurs reliés à la vie privée vise à confirmer aux fonctionnaires fédéraux que le gouvernement du Canada a pris des mesures rigoureuses dans le but d'assurer la confidentialité des renseignements personnels qu'ils fournissent quand ils utilisent le Système d'information intégré du Bureau de la traduction, de Travaux publics et Services gouvernementaux Canada.
Selon la Politique d'évaluation des facteurs relatifs à la vie privée, l'évaluation des facteurs reliés à la vie privée menée relativement à l'application du Système d'information intégré doit être présentée pour examen au Commissariat à la protection de la vie privée. Le processus d'examen officiel est terminé et, par sa réponse, le Commissariat à la protection de la vie privée a confirmé que, puisqu'on s'est engagé à régler certaines préoccupations soulevées dans l'évaluation des facteurs reliés à la vie privée, le Système d'information intégré comporte peu de risques sérieux du point de vue de la protection des renseignements personnels des Canadiens. Le plan de gestion des risques d'atteinte à la protection des renseignements personnels apporte des solutions à tous les problèmes soulevés dans l'évaluation des facteurs reliés à la vie privée et aborde d'autres solutions de communication avec le Commissariat à la protection de la vie privée de façon satisfaisante et appropriée.
L'évaluation des facteurs reliés à la vie privée du Système d'information intégré soulève cinq préoccupations liées à la protection des renseignements personnels qui peuvent être atténuées par la mise en œuvre des recommandations du plan de gestion des risques d'atteinte à la protection des renseignements personnels. Les risques d'atteinte à la protection des renseignements personnels définis sont tous d'un niveau de gravité peu élevé, et sont liés, pour la plupart, au traitement des documents.
Modèle opérationnel
Le Système d'information intégré est une application Web d'entrée des commandes essentielle à la mission utilisée par tous les secteurs du Bureau de la traduction et ses clients fédéraux, y compris la Chambre des communes et le Sénat. Le Système d'information intégré facilite la demande et la prestation de services de traduction et de services linguistiques. L'application permet de simplifier et d'optimiser les processus opérationnels du Bureau, comme la gestion du flux des travaux et le suivi des incitatifs des traducteurs, et d'améliorer les services offerts aux clients (c'est-à-dire la gestion des commandes). Le Système d'information intégré est également la source qui fournit les données au système de facturation du Bureau de la traduction.
Le Système d'information intégré est hébergé par plusieurs serveurs protégés par un pare-feu au Centre de données de la promenade de l'Aviation. Les clients branchés au réseau du Bureau de la traduction le sont par l'intermédiaire du Réseau de la Voie de communication protégée (VCP) du gouvernement, une infrastructure sécuritaire. L'application du Système d'information intégré est offerte seulement sur le Réseau de la VCP.
Les processus d'authentification et d'autorisation relatifs au serveur de la base de données Oracle 9i sont mis en œuvre de sorte que seuls l'administrateur de base de données et les serveurs de l'application Système d'information intégré peuvent avoir accès aux données. Il n'y a aucun autre accès direct à la base de données. L'application du Système d'information intégré est accessible seulement par un port de communication encodé, protocole SSL version 3 (SSLv3) et seuls les utilisateurs autorisés ont accès à l'application.
Inscription des clients
Les clients des ministères fédéraux souhaitant utiliser le Système d'information intégré dans le but de commander des services de traduction ou des services linguistiques doivent d'abord s'inscrire au Système d'information intégré. Pendant le processus d'inscription, on demande aux utilisateurs de fournir des renseignements dont leur nom, la langue de correspondance qu'ils préfèrent, leur numéro de téléphone, leur adresse, leur adresse postale (si elle est différente) et leur adresse de courriel. Une fois qu'ils sont inscrits, les utilisateurs (c'est-à-dire les contacts) peuvent utiliser le Système d'information intégré et faire des commandes. De plus, les contacts peuvent avoir accès en tout temps aux renseignements qu'ils ont fournis lors de leur inscription et les modifier au besoin.
Les renseignements fournis par les clients ne sont pas considérés comme des renseignements personnels aux termes de l'article 3 de la Loi sur la protection des renseignements personnels.
Inscription des employés du Bureau de la traduction
Le superviseur de chaque employé du Bureau de la traduction (soit le gestionnaire) est chargé de créer le profil de l'employé dans le Système d'information intégré. Pour ce faire, il doit :
- inscrire les renseignements sur l'employé comme le nom, la langue de correspondance, le numéro de téléphone, l'adresse et l'adresse de courriel;
- inscrire le code d'identification de dossier personnel (CIDP) et les renseignements sur la classification de l'employé;
- définir l'utilisateur comme une « ressource interne » dans le Système d'information intégré.
Nota
- Les employés du Bureau de la traduction peuvent consulter et modifier leurs renseignements personnels directement dans le Système d'information intégré, mais ils ne peuvent modifier leur CIDP;
- Seul le gestionnaire peut voir ou modifier le CIDP d'un employé;
- Seuls les utilisateurs définis comme des « ressources internes » auront un CIDP dans le Système d'information intégré.
Les seuls renseignements personnels consignés dans le Système d'information intégré sont ceux des employés du Bureau de la traduction (c'est-à-dire des utilisateurs définis comme des « ressources internes »). Les renseignements en question sont le nom de l'employé, son CIDP, le temps qu'il accorde à des tâches ou à des projets précis et la langue qu'il préfère.
Le nom de l'employé, son CIDP et ses heures de travail sont transférés aux modules de calcul des incitatifs et de facturation du Système d'information intégré dans le but de gérer les ressources, de déterminer l'incitatif de l'employé (s'il y a lieu) et de facturer les services aux clients. L'application utilise la langue de correspondance indiquée pour communiquer avec l'utilisateur.
Commandes
Après qu'on a reçu et évalué une commande (par exemple, un document qui doit être traduit), on assigne la tâche à une ressource interne disponible, qui se charge du travail.
Feuille de temps
Toutes les personnes définies comme ressources internes doivent remplir une feuille de temps pour chaque tâche ou projet (c'est-à-dire chaque commande) exécuté.
Processus de facturation
Une fois que toutes les tâches relatives à une commande sont terminées, vérifiées et approuvées, la commande est fermée et définie comme prête pour la facturation. Tous les mois, les renseignements sur la facturation sont extraits et envoyés au système de facturation du Bureau de la traduction.
Déclaration sur la protection des renseignements personnels
Conformément aux Lignes directrices sur la normalisation des sites Internet du Secrétariat du Conseil du Trésor, tous les utilisateurs du Système d'information intégré ont accès à un lien vers la Déclaration sur la protection des renseignements personnels du gouvernement du Canada, en vigueur à Travaux publics et Services gouvernementaux Canada. Cette déclaration résume la politique et les pratiques en matière de renseignements personnels liées aux sites Web de Travaux publics et Services gouvernementaux Canada.
De plus, le Système d'information intégré affiche une déclaration sur la protection des renseignements personnels soulignant les objectifs précis de la collecte de renseignements personnels et sur les pouvoirs qui s'y rattachent. Cette déclaration est seulement présentée aux « ressources internes » la première fois qu'elles ouvrent une session.
La déclaration sur la protection des renseignements personnels du Système d'information intégré décrit l'objectif de la collecte, de l'utilisation et de la divulgation des renseignements personnels obtenus par l'intermédiaire du site, et le fichier de renseignements personnels (FRP), où les renseignements personnels sont gardés en lieu sûr. La déclaration sur la protection des renseignements personnels du Système d'information intégré résume la politique et les pratiques liées à la protection des renseignements personnels régissant le site.
Une fois qu'elles ont lu la déclaration, on demande aux « ressources internes » de poursuivre leur utilisation de l'application. Il n'est pas nécessaire d'obtenir le consentement des employés pour ce qui est de la collecte de renseignements personnels, car ces derniers sont nécessaires pour la gestion des ressources, la facturation des clients et le versement des incitatifs aux employés, conformément au protocole d'entente entre le Conseil du Trésor du Canada et le Syndicat canadien des employés professionnels et techniques relativement au régime d'incitatif monétaire du Bureau de la traduction.
Analyse des données
Comme on l'a dit précédemment, les seuls renseignements personnels que collecte le Système d'information intégré sont ceux des utilisateurs définis comme des ressources internes (c'est-à-dire des employés du Bureau de la traduction). Le nom de l'employé, son CIDP et ses heures de travail sont transférés aux modules de calcul des incitatifs et de facturation du Système d'information intégré dans le but de gérer les ressources, de déterminer l'incitatif de l'employé (s'il y a lieu) et de facturer les services aux clients. L'application utilise la langue de correspondance indiquée pour communiquer avec l'utilisateur.
Les renseignements fournis par les clients ne sont pas considérés comme des renseignements personnels aux termes de l'article 3 de la Loi sur la protection des renseignements personnels.
Description du groupe de renseignements personnels | Collectés par | Type de format (par exemple papier, électronique) | Utilisés par | But de la collecte | Données communiquées | Lieu de stockage ou de conservation |
---|---|---|---|---|---|---|
Données sur les employés :
|
Le Système d'information intégré | Électronique |
|
|
|
On garde dans le Système d'information intégré les renseignements sur un employé pendant six ans après la désactivation de ce dernier. |
Gestion des risques d'atteinte à la protection des renseignements personnels
Voici un résumé des préoccupations, des risques et des stratégies d'atténuation recommandées relativement aux renseignements personnels et définis dans l'évaluation des facteurs reliés à la vie privée du Système d'information intégré.
Préoccupation | Nature du risque | Mesures d'atténuation |
---|---|---|
Aucun fichier de renseignements personnels (FRP) n'a été remis au Secrétariat du Conseil du Trésor (SCT) afin qu'il soit versé dans Info Source | Les personnes ne connaîtront pas l'existence du FRP ni leur droit d'avoir accès à cette information | On a présenté une ébauche du FRP au SCT pour qu'il l'examine et l'intègre dans Info Source |
Les recommandations formulées dans l'évaluation de la menace et des risques ne sont pas toutes mises en œuvre | Il se peut que les mesures de protection relatives à l'accès aux renseignements personnels et à la protection des renseignements personnels ne soient pas abordées | L'évaluation de la menace et des risques est terminée et on met actuellement en œuvre les recommandations. De plus, on a préparé un plan de travail pour la certification et on passera bientôt à son exécution |
Il faut documenter les procédures de sécurité et les plans de secours | Il se peut que le gardien ne dispose pas des procédures de sécurité nécessaires pour protéger les renseignements personnels | Il faut s'assurer que le gardien est au fait de ce besoin et que les mesures nécessaires sont prises pour définir et documenter les procédures de sécurité et les plans de secours |
Les plans et les procédures de secours visant à relever les atteintes à la sécurité ou à la protection des renseignements personnels et à y réagir ne sont pas entièrement documentés | Si les procédures et les plans de secours ne sont pas documentés, on risque de ne pas relever les atteintes à la sécurité ou à la protection des renseignements personnels ou la divulgation par erreur de ces derniers, et de ne pas corriger la situation | On révise actuellement les politiques ministérielles sur le signalement des atteintes à la sécurité dans le but d'incorporer les procédures à observer en cas d'atteinte à la protection des renseignements personnels |
On ne dit pas aux utilisateurs de garder leurs codes d'accès confidentiels | Les utilisateurs peuvent révéler leurs codes d'accès aux autres, ce qui peut exposer leurs renseignements personnels | On affiche maintenant sur l'écran de connexion de l'application un avis à ce sujet |
- Date de modification :