Projet pilote du Système national d’acheminement(SNA) – Fonctionnalité d’interrogation de Passeport Canada

Sommaire exécutif

Une évaluation préliminaire des facteurs relatifs à la vie privée (EPFVP) a été effectuée concernant la fonctionnalité d’interrogation du projet pilote du Système national d’acheminement(SNA) qu’utilisera Passeport Canada (PPTC) pour valider des données statistiques de l’état civil, afin de déterminer l’admissibilité au passeport. On a décidé de procéder à une EPFVP, car le SNA en était à un stade précoce de son développement. La conception a été validée par le biais du projet pilote du SNA. L’EPFVP ne porte que sur le projet pilote du SNA.

L’EPFVP a révélé des risques mineurs en matière de protection des renseignements personnels et a suggéré des options pour atténuer ces risques. La plupart des risques identifiés touchaient la gestion de l’information/technologie de l’information et le risque inhérent associé à la saisie, au stockage et à la transmission des renseignements personnels. Voici un résumé des risques identifiés et des mesures d’atténuation proposées :

Réduction des risques en matière de protection des renseignements personnels

Risques identifiés

Accès de personnes non autorisées à des renseignements personnels. Pour atténuer ce risque, Passeport Canada a mis en place les protocoles d’authentification nécessaires pour contrôler l’accès à l’infrastructure technique et matérielle qui sera utilisée dans le cadre du projet pilote.

Les données qui sont acheminées d’un partenaire à un autre risquent d’être acheminées vers une entité non autorisée ou interceptées par des personnes non autorisées. Pour atténuer ce risque, les données sont cryptées à la source, en utilisant des méthodes cryptographiques approuvées, et ne sont décryptées que lorsqu’elles se trouvent dans le réseau interne sécurisé de l’organisation à qui elles sont adressées.

Accès de personnes non autorisées, telles que des pirates informatiques, à un système contenant des renseignements personnels. Diverses mesures de sécurité des systèmes sont utilisées pour atténuer ce risque, dont des pare-feu, des dispositifs de déconnexion du réseau, des logiciels de détection de virus et de contrôle de réseaux et un accès limité à l’environnement informatique (protection matérielle des biens).

La modification des renseignements personnels après qu’ils ont été enregistrés dans la base de données présente un risque. Pour atténuer ce risque, les exigences de la politique de PPTC relatives à la journalisation interne et au contrôle de l’accès semblent convenir pour prévenir la modification à l’interne.

Le rapport de l’EPFVP n’a identifié aucun risque en matière de protection des renseignements personnels nécessitant la réalisation d’une EFVP. Une évaluation de la menace et du risque sera effectuée pour compléter l’analyse des risques réalisée dans le cadre de l’EPFVP. En outre, si l’on envisage d’apporter des changements à la conception du SNA, une analyse devra être effectuée pour déterminer s’il faut ou non procéder à une EFVP.

Risques potentiels en matière de protection des renseignements personnels

Sont résumés dans la présente section divers problèmes qui ont été identifiés durant cette évaluation préliminaire des risques en matière de protection des renseignements personnels. Il n’y aura pas de communication directe entre le Système de vérification du certificat de naissance et les requérants qui envoient des renseignements à PPTC dans le cadre d’une demande de passeport. De plus, le Service sécurisé d'acheminement de messages de la Voie de communication protégée ne tient pas nécessairement compte du contenu, mais sert plutôt à acheminer les demandes qu’il reçoit de Passeport Canada, les transmettant aux organismes provinciaux compétents, chargés de récolter les données de l’état civil, puis les acheminant de nouveau à Passeport Canada, aux fins du traitement des résultats. Les outils de ce genre facilitent la vérification effectuée dans le cadre du processus actuel servant à déterminer l’admissibilité d’une personne à un passeport canadien. Dans ce contexte, il existe très peu de nouveaux problèmes ou problèmes « directs » concernant la protection des renseignements personnels.

Authentification

Définition du risque :

L’authentification est nécessaire lorsque l’on veut savoir qui fournit l’information ou qui accède à un système particulier, afin de s’assurer que seules les personnes autorisées ont accès aux renseignements personnels dont il est question.

Évaluation du risque :

Dans ce cas-ci, l’authentification ne vise que les employés de Passeport Canada, car les requérants n’ont accès ni au certificat de naissance ni à leur demande. Passeport Canada a mis en place les protocoles d’authentification nécessaires pour contrôler l’accès à l’infrastructure technique et matérielle qui sera utilisée dans le cadre du projet pilote.

Interception de données lors de l’acheminement par des personnes non autorisées

Définition du risque :

Les données qui sont acheminées d’un partenaire à un autre risquent d’être acheminées vers une entité non autorisée ou interceptées par des personnes non autorisées.

Évaluation du risque :

Le risque d’interception est très faible et ne compromettrait qu’un seul document, par rapport à un accès non autorisé à des données de l’état civil. Pour atténuer ce risque, les données sont cryptées à la source, en utilisant des méthodes cryptographiques approuvées, et ne sont pas décryptées avant qu’elles ne se trouvent dans le réseau interne sécurisé de l’organisation à qui elles sont adressées. Le projet pilote du SNA veillerait à ce que la transmission des données se fasse de façon sécuritaire et conforme aux normes convenues par les partenaires concernés. L’utilisation de la Voie de communication protégée et de ses éléments de sécurité additionnels (p. ex., le cryptage du trafic de messages) atténue davantage ce risque.

Accès non autorisé à un système

Définition du risque :

Il existe toujours un risque tout à fait réel que des personnes non autorisées, telles que des pirates informatiques, aient accès à un système contenant des renseignements personnels.

Évaluation du risque :

La meilleure façon d’atténuer le risque relatif à un accès non autorisé est de faire en sorte que l’accès par le personnel de soutien ou de PPTC aux renseignements personnels se limite au strict « besoin de savoir ». Seules les personnes à qui l’on autorise l’accès au projet pilote du système (c’est-à-dire les administrateurs des systèmes et les employés du projet pilote) auront accès aux renseignements personnels traités dans les demandes en question (renseignements sur le certificat de naissance). Des registres d’accès seront utilisés pour identifier les personnes qui ont accédé aux demandes et pourraient être utilisés pour contrôler cet accès. L’utilisation de diverses mesures de sécurité des systèmes, dont des pare-feu, des dispositifs de déconnexion du réseau, des logiciels de détection de virus et de contrôle de réseaux et un accès limité à l’environnement informatique (protection matérielle des biens) permettra d’atténuer davantage ce risque.

Exactitude des renseignements personnels

Définition du risque :

La modification de renseignements personnels peut présenter un risque d’usurpation d’identité ou des préoccupations concernant l’exactitude des renseignements (et le besoin correspondant de corriger les renseignements inexacts et d’envoyer un avis de correction). Lorsque des renseignements personnels relatifs à une demande de passeport sont soumis, ils ne peuvent être modifiés que lorsqu’ils sont enregistrés dans la base de données.

Évaluation du risque :

Les exigences de la politique de PPTC relatives à la journalisation interne et au contrôle de l’accès semblent convenir pour prévenir la modification à l’interne ou pour identifier les modifications qui ont eu lieu après l’enregistrement des renseignements dans la base de données. Les renseignements visés par cette EPFVP sont les renseignements sur le certificat de naissance qui sont extraits et vérifiés tels quels. Dans ce sens, les renseignements ne sont pas modifiés. Il est toutefois possible qu’un employé commette une erreur au stade de l’entrée des données. Les décisions prises à l’interne par la Section de la sécurité concernant les demandes de renseignements visant à confirmer la validité des résultats d’une demande de PPTC permettront d’atténuer le risque de « faux négatifs ». De plus, aucune décision administrative ne sera prise par PPTC avant que ces vérifications et, le cas échéant, les enquêtes de la GRC ne soient terminées.

Consentement

Définition du risque :

Les requérants qui présentent une demande de passeport consentent à ce que les renseignements qu’ils fournissent soient vérifiés et que des enquêtes sur la sécurité soient effectuées. Leur consentement englobe bien sûr la validation des données de l’état civil (tels que les renseignements sur le certificat de naissance) et la vérification de l’état de la demande (notamment pour voir si des indicateurs de « décès » ou de « passeport perdu/volé » y ont été ajoutés).

Évaluation du risque :

Pour ce qui est des demandes de passeport, le consentement du requérant est explicite et implicite. On y trouve plusieurs exemples dans le formulaire de demande :

  1. le requérant déclare solennellement que les déclarations faites sont vraies et appose sa signature à côté de cette déclaration;
  2. le requérant appose sa signature sur chaque page du formulaire;
  3. le requérant et le répondant sont mis en garde contre toute fausse déclaration ou fausse représentation ou contre la dissimulation de tout fait substantiel sur le formulaire de demande, ou sur tout autre document d’appui, car ces actes constitueraient une infraction au Code criminel;
  4. il est indiqué dans le formulaire qu’une fausse déclaration, une fausse représentation ou la dissimulation de tout fait substantiel constituent également un motif de refus de délivrance d’un passeport;
  5. un avis sur le formulaire indique au requérant que tous les renseignements fournis font l’objet de vérifications systématiques et d’enquêtes sur la sécurité;
  6. en apposant sa signature, le requérant affirme solennellement que les déclarations faites et les renseignements fournis dans le formulaire sont vrais et consent à ce que ces renseignements soient vérifiés/validés et qu’une enquête sur la sécurité soit effectuée.

Le requérant consent donc à ce que les données de l’état civil soient validées, ce qui élimine le risque en matière de protection des renseignements personnels.