Confidentialité et le système de paye Phénix
Le gouvernement du Canada prend très au sérieux la protection des renseignements personnels des employés. Vous trouverez ci-dessous une liste de questions et réponses sur les cas d'atteinte à la vie privée liés au système de paye Phénix.
Que s'est-il passé?
De février à octobre 2016, Services publics et Approvisionnement a décelé plusieurs cas d’atteintes à la vie privée à la suite de la mise en œuvre du système de paye Phénix. Dans la plupart de ces cas, le code d'identification de dossier personnel (CIDP), le nom, la date de naissance, l’adresse à domicile et le montant de la paye des employés ont été mis à la disposition d’autres employés qui n’avaient pas besoin d’avoir accès à ces données, et ce, par inadvertance. Par exemple, tous les conseillers en rémunération de l’ensemble du gouvernement ont pu voir les données sur la paye de tous les employés dont le dossier figure dans Phénix. D’habitude, les conseillers en rémunération n’ont accès qu’aux renseignements des employés des ministères qu’ils desservent. En guise d’autre exemple, les gestionnaires et les agents financiers ont eu accès aux renseignements personnels d’employés.
Il n'existe aucune preuve selon laquelle les renseignements personnels des employés auraient été consultés par d'autres personnes que des employés (notamment des conseillers en rémunération) ou des entrepreneurs du gouvernement fédéral à la suite de ces cas d’atteinte à la vie privée. Toutefois, dans quelques cas, il aurait été possible de traiter des mouvements non autorisés. Ces mouvements ont été validés, et les correctifs nécessaires ont été apportés au système, sans aucune incidence sur les personnes concernées.
Dès que Services publics et Approvisionnement Canada a pris connaissance de ces cas d’atteinte à la vie privée, le Ministère a cherché à connaître la cause et a pris rapidement des mesures correctrices. Ces incidents ont ensuite été signalés au Commissariat à la protection de la vie privée du Canada aux fins d’examen.
Que fait-on pour prévenir des cas similaire d’atteinte à la vie privée?
Services publics et Approvisionnement Canada a procédé à des examens approfondis. Ces cas d’atteinte à la vie privée sont attribuables à des erreurs humaines ou à de défauts de logiciel, qui ont depuis été résolus pour éviter tout autre problème.
Le Commissariat à la protection de la vie privée du Canada a fait plusieurs recommandations pour protéger davantage les renseignements personnels, et toutes ces recommandations ont été mises en œuvre ou sont en voie de l’être. Le Ministère offre une formation supplémentaire aux conseillers en rémunération et définit clairement leurs rôles et leurs responsabilités. Il met aussi en œuvre des processus plus solides, cherche une meilleure façon de surveiller l’accès à Phénix et les activités du système, et réexamine ses méthodes et protocoles. Services publics et Approvisionnement Canada élabore présentement une série de requêtes qui permettront aux ministères de surveiller le travail qu’effectuent les conseillers en rémunération dans Phénix. Ainsi, il pourra mieux cerner les situations selon lesquelles les utilisateurs auraient modifié incorrectement des renseignements dans le système.
Parmi les mesures supplémentaires que prend le Ministère, mentionnons aussi un examen complet de l’accès de sécurité nécessaire pour accéder à chacune des sections dans Phénix. Cet examen a pris fin le 30 juin 2017. Le Ministère examine également son protocole visant à informer les employés des mesures à prendre en cas d’atteinte à la vie privée. Toute mise à jour nécessaire qui découle de ces examens sera mise en œuvre très prochainement.
Les employés courent-ils des risques en raison des cas d'atteinte à la vie privée?
Il n'est pas possible d'utiliser seulement le nom et le code d'identification de dossier personnel (CIDP) pour accéder aux comptes de paye ou de pension; un mot de passe et une maCLÉ sont aussi requis.
Il n'existe aucune preuve selon laquelle les renseignements personnels des employés auraient été consultés par d'autres personnes que des employés ou des entrepreneurs du gouvernement fédéral à la suite de ces cas d’atteinte à la vie privée.
Les numéros d’assurance social ont-ils été communiqués à quiconque?
Non. Les numéros d'assurance sociale n'ont été communiqués à personne et n'ont été mis à risque en aucun temps dans les cas d'atteinte à la vie privée signalés.
Pourquoi les employés n'ont-ils pas été mis au courant des cas d'atteinte à la vie privée?
Services publics et Approvisionnement Canada publie sur son site Web des renseignements sur ces cas d’atteinte à la vie privée, et la sous-ministre transmet aussi ces renseignements aux autres ministères. Conformément à un engagement qui vise l’amélioration constante, Services publics et Approvisionnement Canada examinera ses protocoles afin d’améliorer les avis à l’avenir.
De quelle façon le Ministère s'y prend-il pour protéger les renseignements personnels des employés?
Services publics et Approvisionnement Canada prend très au sérieux la protection des renseignements personnels des employés; celle-ci fait partie intégrante des cadres, de la culture, des opérations quotidiennes et des comportements des employés au sein du Ministère. Le Ministère s’est engagé à protéger les renseignements personnels des employés et prend toutes les mesures nécessaires pour renforcer ses pratiques de protection.
En cas d'atteinte à la vie privée, nous suivons une approche systématique pour nous pencher sur les causes et les conséquences. Cette approche est conforme à la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada.
Conformément à la Directive, nous rendons compte des atteintes substantielles à la vie privée au Commissariat à la protection de la vie privée du Canada, et ce, afin qu'il procède aux examens nécessaires.