Examen des pratiques d'approvisionnement et plaintes du fournisseur : Résumé de l'évaluation des facteurs relatifs à la vie privée

Sur cette page

Introduction

Dans le cadre des activités de programme qu'il exerce, sans lien de dépendance avec le gouvernement, le Bureau de l'ombudsman de l'approvisionnement :

Ainsi, ces activités permettent au Bureau de l'ombudsman de l'approvisionnement de promouvoir l'équité et la transparence du processus d'approvisionnement.

Aperçu du mandat du Bureau de l'ombudsman de l'approvisionnement

Selon la Loi sur le ministère des Travaux publics et des Services gouvernementaux, le mandat de l'ombudsman de l'approvisionnement est :

L'ombudsman de l'approvisionnement peut également exercer toute autre fonction que le gouverneur en conseil ou le ministre peut lui attribuer par décret ou arrêté, selon le cas, à l'égard des pratiques d'acquisition de matériel et de services des ministères.

Analyse des données

Le système de gestion des cas est le système utilisé par le Bureau de l'ombudsman de l'approvisionnement comme outil de collecte et d'analyse des données. Chaque secteur d'activité conserve aussi des copies papier et électroniques des dossiers, lesquelles sont sauvegardées sur un disque partagé. Les dossiers papier qui contiennent des renseignements de nature personnelle ou délicate sont clairement marqués au niveau « protégé B » et conservés dans un classeur verrouillé approuvé. Ces dossiers sont chiffrés avant d'être sauvegardés sur le disque partagé. Le système contient une variété de renseignements et est conçu de manière à stocker, à analyser et à faire rapport des informations nécessaires à un processus décisionnel et à une production de rapports plus efficaces. Les principales fonctions comprennent notamment :

Le système de gestion permettra d'obtenir des renseignements sur les activités passées, présentes et futures du Bureau de l'ombudsman de l'approvisionnement. Le système peut se définir comme un système intégré visant à mettre à jour les données, les convertir et les regrouper dans les bonnes informations, à fournir les mêmes renseignements aux utilisateurs appropriés et à faire rapport des activités du Bureau de l'ombudsman de l'approvisionnement. Le personnel qui utilise le système pourra extraire les renseignements nécessaires uniquement, sans recevoir d'information extrinsèque, réduisant ainsi la surcharge d'information et la confusion. Le principal objectif du système est de fournir les bonnes informations aux bonnes personnes au moment propice et d'en faire rapport. Le système est le principal élément qui permet au Bureau de l'ombudsman de l'approvisionnement de bien gérer l'information en appui aux exigences législatives.

Les investissements dans le système et sa mise en œuvre efficace permettent de s'assurer que le Bureau de l'ombudsman de l'approvisionnement traite les renseignements de manière appropriée et qu'il est en mesure d'exécuter son mandat législatif d'une manière qui favorise la confiance des intervenants envers les informations générées par le Bureau de l'ombudsman de l'approvisionnement.

Le système recueille les informations fournies par les fournisseurs canadiens et les représentants des ministères fédéraux dans les formulaires de plainte officielle, les lettres, les courriels, les télécopies ou lors de conversations téléphoniques et de demandes informelles. Le système recueille aussi des renseignements sur les examens des pratiques réalisés par le Bureau de l'ombudsman de l'approvisionnement et sur les recommandations connexes formulées aux ministères. Les informations afférentes à la correspondance entrante et sortante relative aux examens des pratiques d'approvisionnement et aux plaintes des fournisseurs, ainsi que toute correspondance d'affaires sont également saisies dans le système. De plus, les informations recueillies peuvent parfois être considérées comme des renseignements « personnels » en raison de la nature sensible de la question. Les informations recueillies sont fournies directement par le fournisseur canadien ou le fonctionnaire. Le Bureau de l'ombudsman de l'approvisionnement demande des renseignements précis afin de résoudre une plainte ou un enjeu, ou d'enquêter sur ceux-ci. À ces fins, le plaignant ou le fonctionnaire pourraient devoir fournir plus de plus amples informations.

Les informations considérées comme des renseignements « personnels » sont classées « personnels » et sont marquées et stockées dans un environnement « protégé B », selon la nature sensible du document. Ces renseignements sont également stockés dans un classeur verrouillé approuvé.

Flux des données du système de gestion

Groupe de renseignements sur l'inscription

Gestion des risques d'entrave à la protection des renseignements personnels

La présente section fait état de certains risques d'entrave à la protection des renseignements personnels associés aux procédures du système de gestion, ainsi qu'au stockage et au traitement des dossiers papier et électroniques. Cette information est précisée dans l'évaluation des facteurs relatifs à la vie privée. Les risques, qui sont résumés ci-dessous, décrivent aussi les mesures d'atténuation relatives à la sécurité et à la vie privée devant être prises :

Responsabilité à l'égard des renseignements personnels

Risque 1

Puisque le Bureau est en cours d'établissement, des directives doivent continuer d'être élaborées pour déterminer ce qui constitue des « renseignements personnels » et comment l'information connexe doit être saisie dans le système. Il faut aussi aborder le traitement et le stockage des renseignements « personnels » du Bureau de l'ombudsman de l'approvisionnement dans le système de classement de dossiers papier et le disque partagé.

Risque 1 : Mesures d'atténuation des risques

Afin de réduire les risques liés à la protection des renseignements personnels dans le système de gestion, le classeur des dossiers papier et le disque partagé, le Bureau de l'ombudsman de l'approvisionnement prévoit établir des directives sur la sécurité et la protection des renseignements personnels pour s'assurer de la sécurité entourant le traitement des renseignements personnels de nature délicate à chaque étape de leur cycle de vie.

Ces règles administratives officielles permettent d'établir des procédures de sécurité standards qui abordent le traitement des renseignements « personnels » dans le système de gestion, le classeur des dossiers papier et le disque partagé.

Risque 2

La responsabilité particulière liée aux enjeux de la protection des renseignements personnels n'a pas été déterminée. La responsabilité à l'égard des renseignements communiqués entre les ministères et les organismes, élément visé par l'annexe I.1 de la Loi sur la gestion des finances publiques, n'a pas été établie et pourrait entraîner une mauvaise gestion et un manque de confiance.

Risque 2 : Mesures d'atténuation des risques

Les questions de responsabilité seront abordées dans les directives sur la sécurité et la protection des renseignements personnels. Le Bureau de l'ombudsman de l'approvisionnement est l'autorité fonctionnelle responsable des renseignements reçus et saisis dans le système de gestion, les dossiers papier et le disque partagé. En ce qui concerne les ministères, les règles n'ont pas encore été mises en place pour indiquer dans quelle mesure ils sont responsables de l'information transmise par le Bureau de l'ombudsman de l'approvisionnement à l'égard d'une plainte ou d'un règlement extrajudiciaire des différends (particulièrement en ce qui a trait à la production, au marquage, à l'enregistrement et à la transmission de l'information).

Consentement à la divulgation des renseignements personnels

Risque 3

Lorsque l'information est recueillie auprès du plaignant ou du fonctionnaire, on lui demande de confirmer si les renseignements fournis peuvent être communiqués au ministère concerné. Toutefois, le Bureau de l'ombudsman de l'approvisionnement n'a pas encore abordé la question de savoir comment les ministères doivent gérer les renseignements divulgués une fois qu'ils les reçoivent; il y a donc un risque que les informations soient communiquées à d'autres parties ou utilisées sans consentement. La question du consentement se pose lorsque des « renseignements personnels » fournis par les correspondants doivent être divulgués à une autre institution (ministère).

Risque 3 : Mesures d'atténuation des risques

En fournissant l'information au Bureau de l'ombudsman de l'approvisionnement pour répondre à leurs plaintes, les fournisseurs canadiens donnent leur consentement implicite à la collecte de renseignements personnels, mais pas précisément à la divulgation de ces renseignements. Conformément au mandat du Bureau de l'ombudsman de l'approvisionnement, il est déduit que le « renseignement personnel » ne doit pas être divulgué au-delà de son principal objectif, qui est de permettre de répondre à une plainte. Les renseignements sont recueillis conformément au Règlement concernant l'ombudsman de l'approvisionnement, dans le cadre de la Archivé – Loi fédérale sur la responsabilité, afin que la plainte soit déposée et examinée. Par conséquent, le Bureau de l'ombudsman de l'approvisionnement doit souvent communiquer des renseignements « personnels », conformément au paragraphe 8(2) (a) de la Loi sur la protection des renseignements personnels, aux fins desquelles ils ont été obtenus ou recueillis, ou pour un usage compatible avec ces fins, à savoir répondre à la plainte.

Le Bureau de l'ombudsman de l'approvisionnement s'efforce d'assurer une surveillance diligente pour veiller à ce que l'information considérée comme « personnelle » ne soit pas communiquée à d'autres fins.

Aussi, un avis sur la protection des renseignements personnels a été ajouté sur le formulaire de plainte, et sur le site Internet du Bureau de l'ombudsman de l'approvisionnement dans les deux langues officielles, précisant que les renseignements « personnels » seront uniquement utilisés pour répondre à la demande du plaignant. L'avis précise aussi que les renseignements pourront être communiqués avec un autre ministère lorsque l'enquête vise ce ministère.

Dans le cas où il est nécessaire de divulguer des renseignements à un autre ministère (comme dans le cas d'un renvoi), le requérant est mis au courant avant que l'information soit divulguée et il est avisé que le Bureau de l'ombudsman de l'approvisionnement pourrait transmettre une copie de la plainte à un autre ministère pour répondre à la demande. Cette procédure est aussi indiquée dans l'article 8 du Règlement concernant l'ombudsman de l'approvisionnement.

Collecte des renseignements personnels

Risque 4

La rétention superflue de renseignements personnels rend considérable le préjudice qui serait provoqué par un accès non autorisé ou par le personnel n'ayant pas le besoin de connaître.

Risque 4 : Mesures d'atténuation des risques

Le système de gestion est conçu de manière à stocker les renseignements « protégé B » et l'équipe d'infotechnologie de Travaux publics et services gouvernementaux Canada de gestion doit s'assurer que le système est sur une plateforme « protégé B ». Toutefois, des lignes directrices et directives sont élaborées pour la sécurité et la protection des renseignements personnels, lesquelles prévoient des procédures détaillées qui définissent le type d'informations de nature délicate incluses et la manière dont les personnes ayant accès aux données doivent les traiter. Par exemple, veiller à ce que l'impression des renseignements « personnels » se fasse uniquement par le biais de l'imprimante sécurisée.

Les renseignements recueillis et stockés sur le disque dur partagé ou dans le système de classement des copies papier doivent respecter la Politique sur la sécurité et de l'information, et les informations considérées comme « personnelles » doivent être chiffrées avant d'être sauvegardées sur le disque partagé. Tous les documents qui contiennent des renseignements « personnels » seront correctement identifiés avec le niveau adéquat de marquage de sécurité et entreposés dans un contenant approuvé.

Les documents désignés comme « Protégé C », « Secret » et « Très secret » ne sont jamais numérisés dans le système de gestion, ni stockés sur le disque partagé. Le dossier papier doit présenter le marquage de sécurité adéquate et être stocké dans un classeur approuvé.

Utilisation, divulgation et conservation des renseignements personnels

Risque 5

Les employés pourraient avoir un accès non autorisé aux renseignements « personnels » par l'entremise du système de gestion, des dossiers papier ou du disque partagé.

Risque 5 : Mesures d'atténuation des risques

Il n'y a pas d'utilisations secondaires des renseignements saisis dans le système de gestion, et, dans la mesure on l'on peut le déterminer, aucune utilisation non autorisée de l'information n'est prévue.

Un contrôle d'accès du système axé sur les rôles est déjà en place. Les droits d'accès sont établis conformément à un besoin de connaître les renseignements. L'information est actuellement uniquement stockée sur des ordinateurs personnels désignés et contrôlés par mot de passe. Cela permet de vérifier qui à accès au système. Les comptes des utilisateurs sont tenus à jour en envoyant un courriel demandant un accès au système, lequel est vérifié et approuvé par le directeur du système. L'accès non autorisé est donc impossible. Actuellement, il n'y a que quelques utilisateurs du système et on ne s'attend pas à ce qu'il y ait plus de 15 utilisateurs. Ceci facilite la gestion et le contrôle. L'accès au disque partagé est limité au personnel du Bureau de l'ombudsman de l'approvisionnement et les informations « personnelles » stockées sur le disque partagé électronique doivent être chiffrées et l'on doit permettre uniquement aux personnes ayant un besoin de savoir d'y accéder. Les dossiers papier qui contiennent des renseignements « personnels » sont stockés dans un classeur verrouillé approuvé et seuls ceux qui ont un besoin de connaitre y ont accès.

Le Bureau de l'ombudsman de l'approvisionnement entreprendra un nettoyage périodique du système et révisera la liste des utilisateurs, afin de garantir que les droits d'accès sont à jour.

Un message d'avertissement a été créé dans le but d'aviser les utilisateurs que l'information contenue dans le système ne devrait être utilisée, divulguée et supprimée qu'en vertu de la Politique du gouvernement sur la sécurité et du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. En plus de ce message, un avis général de sécurité apparaît régulièrement sur chaque poste de travail demandant à l'utilisateur de reconnaître ses responsabilités relatives à une utilisation appropriée des logiciels disponibles dans le système. De plus, le système offre la possibilité, si on en fait la demande, de générer un historique de tous les utilisateurs, des accès et des documents consultés.

Risque 6

Des renseignements personnels de nature délicate qui ne sont plus requis pour une raison distincte peuvent encore se trouver dans le système, et des employés n'ayant pas le besoin de connaître pourraient y avoir accès.

Risque 6 : Mesures d'atténuation des risques

En ce qui a trait à la rétention, les renseignements personnels sont supprimés lorsqu'ils ne sont plus requis pour une raison précise ou lorsque leur période de rétention maximale a été atteinte. Une épuration de dossier sera aussi réalisée et on maintiendra à jour un journal, identifiant le sujet et le numéro des dossiers supprimés.

Protection des renseignements personnels et de la formation

Risque 7

Bien que l'information stockée dans le système de gestion réponde aux exigences de sécurité relatives à la protection des renseignements personnels « Protégé B », il n'y a actuellement aucune directive ou ligne directrice qui traite de l'usage incorrect ou de la compromission de l'information saisie. Les procédures et les lignes directrices doivent aussi être abordées lorsque qu'on sauvegarde de l'information « Protégé B » sur le disque partagé, puisque ce dernier est de niveau « Protégé A ».

Risque 7 : Mesures d'atténuation des risques

Le Bureau de l'ombudsman de l'approvisionnement continuera d'envoyer des renseignements et des rappels ayant trait au traitement, au stockage et à l'élimination des informations personnelles dans le cadre de son initiative de sensibilisation. En outre, le Bureau de l'ombudsman de l'approvisionnement continuera de rappeler à ses employés les procédures à suivre dans les réunions périodiques, et fournira aux nouveaux employés des séances de débreffage et du matériel relatif au traitement, au stockage et à l'élimination des renseignements personnels. L'information considérée « personnelle » est marquée de manière appropriée et stockée dans un classeur approuvé. Un manuel de formation de l'utilisateur est en élaboration. Il abordera les enjeux relatifs à la sauvegarde, à la sécurité et à la protection de la vie privée lors du traitement des renseignements stockés sur le disque partagé et dans le système de gestion.

Sécurité du système de gestion

Risque 8

La sécurité du système de gestion des cas

Risque 8 : Mesures d'atténuation des risques

Le processus d'homologation et d'accréditation a déjà été entamé par la sécurité de la Direction générale des services d'infotechnologie. Une lettre d'accréditation sera émise confirmant que le niveau de risque réel correspond au niveau admis.

Conclusion

En conclusion, le Bureau de l'ombudsman de l'approvisionnement mettra en application ces mesures pour s'assurer d'éliminer les risques potentiels liés à la protection des renseignements personnels pendant tout le cycle de vie des informations. Le Bureau de l'ombudsman de l'approvisionnement réduira le risque d'accès aux renseignements de nature délicate grâce à des mesures de sécurité adéquates telles que définies dans l'évaluation des facteurs relatifs à la vie privée.

Date de modification :