Facteurs relatifs à la vie privée touchant le portail sur les directives sur le service extérieur

Résumé

Affaires étrangères et Commerce international Canada (MAECI) gère les Directives sur le service extérieur (DSE) qui touchent plus de 1 800 employés qui travaillent dans des missions du Canada à l’étranger et leurs personnes à charge. Ces employés relèvent du MAECI ou d’autres ministères ayant signé un protocole d’entente (PE) avec le MAECI afin que ce dernier gère les DSE en leur nom. Les dépenses engagées dans le cadre des DSE au cours de l’exercice 2009-2010 ont atteint 131,7 millions de dollars.

Les DSE décrivent les conditions générales qui régissent les avantages auxquels ont droit les employés du gouvernement du Canada affectés à l’étranger et leurs personnes à charge et font partie de la convention collective des employés.

La Direction générale de la politique et des services relatifs aux Directives sur le service extérieur du Ministère a mis en place le projet de Portail des DSE en vue d’automatiser la gestion des DSE grâce à de nouveaux processus opérationnels et à une nouvelle application. Le Portail des DSE est une application qui sera utilisée pour gérer la clientèle des missions (employés) à l’extérieur du Canada et les DES qui les concernent. Des données provenant du Système de gestion des ressources humaines (données personnelles) et concernant tous les clients du MAECI y seront versées. Les renseignements des autres ministères clients seront saisis manuellement dans l’application Web du Portail des DSE. Cette application sera liée à LiveCycle, un outil qui sert à traiter les formulaires de voyage (DSE 50.01, 50.02 et 70). Le Portail des DSE fournira également au Système de gestion intégrée du MAECI les renseignements nécessaires pour faire en sorte que les clients soient payés en temps opportun.

Le Portail des DSE permettra d’automatiser le traitement des DSE visant les clients dans les missions à l’étranger. Ces clients peuvent relever du Ministère ou d’autres ministères, mais ils doivent avoir accès à l’environnement SIGNET D.

Une évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée dans le cadre de l’engagement du Ministère à protéger la confidentialité des renseignements personnels auxquels il a accès. L’EFVP répond également aux exigences de la Gestion de la sécurité des technologies de l'information (GSTI), selon lesquelles les applications commerciales qu’utilise le Ministère doivent être soumises à une évaluation de la sécurité et de la protection de la vie privée.

Des risques inhérents sont associés à la saisie, la collecte, la conservation et la circulation de renseignements dans le cadre des caractéristiques opérationnelles du Portail des DSE, un système/outil accessible par l’intranet. La réalisation de l’EFVP a permis de mettre en évidence des risques associés à cette initiative, que les recommandations suivantes permettront d’atténuer.

• Recommandation 1 : Il est recommandé de supprimer tous les renseignements après le traitement de chaque demande, notamment les renseignements personnels communiqués au moyen du Portail des DSE à l’environnement Adobe LiveCycle.
• Recommandation 2 : La Direction de la politique et de l'administration des DSE et le Centre de ressources sur les DES doivent conclure des ententes d'échange de renseignements avec leurs partenaires internes, comme la Direction des affectations et de la gestion des bassins communs, qui sont responsables des ressources humaines et du système financier.
• Recommandation 3 : Bien que la question de l’objet de la collecte initiale ne fasse pas partie de l’EFVP, il est recommandé que le SGRH et la Direction des opérations des ressources humaines ajoutent l’échange de données avec le Portail des DSE dans leur Avis de confidentialité, ainsi que toutes les banques de renseignements personnels connexes.

Bien que ces stratégies d’atténuation ne suppriment pas entièrement les risques, elles les réduisent suffisamment pour que le Ministère et sa haute direction puissent les assumer et s’attendre raisonnablement à ce que leur concrétisation soit détectée grâce aux processus de surveillance avant que ces risques ne viennent insoutenables. Les risques qui persistent devront être gérés conformément aux tâches, pouvoirs, privilèges et responsabilités conférés à l’administrateur général.