Système des contrôles des exportations en direct (CEED)

Sommaire exécutif

Le Canada est signataire d'ententes internationales qui établissent des contrôles des exportations canadiennes en vue de limiter la circulation des marchandises stratégiques. Cette réglementation est conçue pour empêcher la circulation de certains biens qui ne serait pas dans l’intérêt stratégique du Canada ni de ses alliés ou qui irait à l'encontre des engagement bilatéraux et multilatéraux du Canada.

La Direction des contrôles à l'exportation (TIE) de la Direction générale des contrôles à l'exportation et à l'importation (DGCEI) d'Affaires étrangères et Commerce international Canada (MAECI) est chargée d'évaluer et d'approuver les demandes de licences visant l'exportation de marchandises et de technologies stratégiques contrôlées. Il incombe également à TIE de délivrer des licences d'exportation pour les marchandises contrôlées, de faire le suivi des marchandises exportées selon les licences autorisées, et d'appuyer les autres processus d'importation et d'exportation comme la vérification des livraisons. Le processus de délivrance et de gestion des licences d'exportation est conçu de façon à ce que les exportations canadiennes ne contribuent pas à la production ni à l'utilisation d'armes nucléaires, chimiques ou biologiques.

Au début de 2006, le Direction générale a lancé le Système des contrôles des exportations en direct (CEED) pour remplacer l'ancien système de licences manuel, qui était utilisé depuis 1988. Le CEED est une application informatisée interactive qui permet aux clients de soumettre en ligne leur demande de licence et leur certificat d'exportation à l'aide d'une voie de communication protégée. Une Évaluation des facteurs relatifs à la vie privée (EFVP) était nécessaire à la grande transformation de l'ancien système de contrôles des exportations manuel en service électronique, dont les mécanismes d'exécution ont évolué en conséquence. On a réalisé l'EFVP.

Il faut suivre un processus d'inscription pour obtenir l’accès au CEED. Tous les utilisateurs doivent être identifiés et autorisés par la Direction générale et obtenir un ePass protégé administré par la Voie de communication protégée.

Les renseignements relatifs à l'inscription sont d'abord recueillis sur papier et lela processus est finalisé par voie électronique au moment de l'ouverture de la première session du CEED. Le particulier doit prendre connaissance d'un énoncé de confidentialité et reconnaître avoir lu et compris l'énoncé. Ces renseignements sont utilisés pour créer un compte d’utilisateur électronique protégé du CEED.

En vertu de la Loi sur les licences d'exportation et d'importation (L.R.C. (1985), ch. E–1 9) et du Règlement sur les licences d'exportation (DORS/97–204), on recueille un minimum de renseignements personnels dans le cadre des demandes de licences. Il s’agit du nom du particulier et des coordonnées d’affaires.

Selon la nature et la destination des marchandises exportées, les demandes de licence peuvent être communiquées, sous réserve d’approbation, à d’autres ministères aux fins de consultation. La licence d’exportation présentée à l’Agence des services frontaliers du Canada (ASFC) à la frontière au moment de l’exportation comprend ces renseignements personnels.

Le système automatisé CEED a été conçu, perfectionné et mis en œuvre par un intégrateur de systèmes local, CGI Group Inc., dans le cadre d’un marché visant l’exploitation, le soutien et le développement de systèmes à long terme conclu avec la Direction des services administratifs et technologiques (TIC) de la Direction générale. Le CEED a été conçu pour être logé et fonctionner intégralement au centre informatique de CGI, situé sur le chemin Blair, à Ottawa.

Tous les renseignements du CEED sont classés dans une base de données du SGDDI et dans la base de données des comptes CEED au centre informatique de CGI, à Ottawa. Les renseignements sont conservés pendant un minimum de deux ans et un maximum de sept ans. L’accès à ces bases de données est hautement contrôlé, tant physiquement qu’électroniquement.

Les menaces propres à tout système de données électronique, telles la destruction délibérée ou la divulgation volontaire ou accidentelle sont toujours des risques possibles. L’évaluation de la menace et des risques du CEED illustre cette question et explique en détail les stratégies d’atténuation des risques en place.

Les contrôles de l’exportation et de l’importation des marchandises désignées en vertu de la Loi sur les licences d'exportation et d'importation (LLEI) sont des outils essentiels à la réalisation des priorités de politiques nationale ou étrangère, entre autres, aux fins suivantes : assurer la sécurité nationale, mettre en œuvre les accords internationaux en matière de non–prolifération (armes conventionnelles et armes de destruction massive), protéger les industries canadiennes vulnérables (p. ex. les textiles), tirer parti des accords commerciaux internationaux, appuyer les programmes canadiens de régulation de l'offre et appliquer les sanctions des Nations Unies.

Les clients qui s’inscrivent au CEED (clients reconnus) sont en mesure de :

  • déposer une demande de licence d’exportation;
  • déposer une demande de certification (CVL, AC, CII);
  • rechercher, visualiser et gérer leurs demandes, licences et certificats.

Les clients non inscrits au CEED (clients non reconnus) peuvent uniquement demander une licence d’exportation selon l’une des deux métdodes suivantes :

  • remplir le formulaire en ligne, avec protection Web SSL, ce qui verse la demande directement au CEED;
  • imprimer un formulaire de demande en ligne, le remplir et le poster.

Utilisateurs internes du CEED

  • Le personnel et les gestionnaires de TIE;
  • Le personnel technique et administratif des Services d'administration et de technologie (TIA);
  • Les ressources de l’ASFC qui se sont inscrites. L’ASFC est considérée comme « interne » car elle est l’utilisatrice finale du processus de délivrance des licences au sein du gouvernement fédéral. Elle aura la permission d’effectuer « en lecture seule » des vérifications en ligne des licences délivrées, s’il y a lieu.
  • Utilisateurs externes du CEED (clients) :
  • TIE connaît les clients externes reconnus (nom d’utilisateur du CEED) et leur accorde un accès limité aux fonctions internes du CEED;
  • Les clients externes non reconnus (sans nom d’utilisateur du CEED) qui sont peut–être connus de TIE et non inscrits au CEED n’ont pas accès aux fonctions internes du CEED. Ces clients peuvent remplir et soumettre électroniquement un formulaire en ligne ou l’imprimer et le faire parvenir par la poste ou par télécopieur à la Direction des contrôles à l’exportation.

Remarque concernant les bases de données

Deux bases de données distinctes sont utilisées dans le cadre du processus d’inscription au CEED : 1) la base de données d’enregistrement des entreprises du Système des contrôles à l'exportation et à l'importation (SCEI) et 2) la base de données des comptes en ligne protégés du CEED.

La Direction générale des contrôles à l'exportation et à l'importation (DGCEI) attribue les numéros d’entreprise, qui sont utilisés aux fins d’identification interne des entreprises. Les numéros du DGCEI sont créés et gérés dans les bases de données du SCEI. Toutes les entreprises qui font affaire avec la Direction générale reçoivent un numéro d’entreprise, peu importe leur forme de communication (électronique ou écrite).

On recueille les renseignements d’entreprise suivants (sur papier) dans la demande d’un numéro du DGCEI :

Nom complet de l’entreprise Adresse, code postale/code de zoneNuméros de téléphone et de télécopieurNuméro d’entreprise TVONom d’une personne–ressource

Lorsque TIA reçoit un formulaire demandant un numéro de la DGCEI dans le cadre d’une inscription au CEED, il attribue le numéro au client, inscrit les coordonnées de l’entreprise au SCEI et confirme au système que le client est « inscrit au CEED ».

Une migration des données (« poussée ») est immédiatement effectuée et copie toutes les nouvelles données « inscrites au CEED » dans la base de données du CEED, et celles–ci deviennent ensuite les données d’utilisateur associées au client. Les renseignements du compte du CEED en ligne proviennent des formulaires de demande d’inscription et du formulaire de demande d’un numéro de la DGCEI.

Stratégies d’atténuation

Cette partie résume les stratégies d’atténuation spécifiques pour répondre aux risques relevés durant le processus d’EFVP.

Tableau sommaire de gestion des risques d’entrave à la vie privée

Délocalisation du Stockage et du Traitement de Données aux Installations de CGI
Nature des risquesDivulgation : accès abusif du personnel (notamment le personnel de soutien) aux données; profils d’utilisateurs; couplage des données
Probabilité/menaceFaible
Niveau de risqueFaible à moyen
CommentairesRien
Stratégie d’atténuationBien que le marché conclu avec CGI ne contienne aucun renvoi à la Loi sur la protection des renseignements personnels ni à la Loi sur la protection des documents personnels et les documents électroniques, les dispositions de sécurité sont jugées suffisantes. Le marché suivant (en date de mars2006) a corrigé cette lacune en incluant des renvois spécifiques à la Loi sur la protection des renseignements personnels et des dispositions obligatoires relatives à la USA Patriot Act des États–Unis.

Les utilisateurs et le personnel ont été identifiés et autdentifiés. L’accès est limité au minimum requis pour que les particuliers s’acquittent de leurs tâches.

L’accès à l’application est contrôlé. L’accès et la mise à jour de tous les types de renseignements sont inscrits dans un registre. Le personnel chargé de ces tâches est bien formé et a fait l’objet d’une enquête de sécurité.

La formation et les procédures de traitement des renseignements délicats destinées à sensibiliser les utilisateurs abordent la vulnérabilité de la formule d’autorisation nom d’utilisateur/ mot de passe.

La Politique sur l’utilisation acceptable des réseaux électroniques est lue et signée par tous les employés.

Les privilèges d’accès sont retirés aux particuliers qui quittent l’organisation et mis à jour en cas de mutation à un poste n’exigeant pas le même niveau d’accès.

Transmission à D’autres Ministères par Courriel de Données issues des Demandes de Licences aux fins de Consultation
Nature des risques« L’interception illicite » des courriels est un risque élevé
Probabilité/menaceÉlevé
Niveau de risqueÉlevé
CommentairesUn « courriel aux fins de consulta–tion » transmispar le CEED fait partie d’un processus à deux étapes :
  1. le CEED transmet le texte à l’utilisateur qui le demande, puis
  2. l’utilisateur envoie le courriel au destinataire.

Des mesures protégées sont nécessaires à chaque étape.

Stratégie d’atténuation
  1. Un réseau privé virtuel (RPV) est établi entre le CEED à CGI et l’interface SIGNET afin d’éliminer le risque de transmissions vides.
  2. Le CEED comprend des accès en lecture seule aux parties consultées aux fins d’examen des renseignements nécessaires et de rétroaction à même le système, ce qui élimine le besoin de transmettre des renseignements personnels par courriel.

Lorsque cette solution n’est pas techniquement possible, on utilise des certificats de l’ICP pour crypter les pièces jointes au courriel.

Collecte de Données : Les Renseignements Personnels du Destinataire sont Fournis par L’exportateur
Nature des risquesCela va à l’encontre des pratiques équitables de traitement de l'information.

Le Ministère pourrait être tenu responsable dans un cas de divulgation de renseignements personnels selon un mode non autorisé.

Probabilité/menaceFaible
Niveau de risqueFaible
CommentairesRien
Stratégie d’atténuationLes destinataires doivent être avisés que leurs renseignements sont recueillis et classés dans une base de données du gouvernement du Canada. Cette collecte de renseignements dépend de l’exportateur car la Direction générale ne fait pas affaire avec le destinataire.

Une nouvelle « déclaration d’utilisation finale » qui comprend un énoncé de confidentialité aux fins de signature du destinataire est maintenant en vigueur.

Absence de Protocoles D’entente avec Ceux qui Consultent – (Autres Ministères)
Nature des risquesEn l’absence d’une entente formelle, il n’y a aucune garantie d’éviter l’utilisation abusive des données de CICan par d’autres ministères.
Probabilité/menaceFaible
Niveau de risqueFaible
CommentairesCes consultations durent depuis des années sans protocole d’entente à cet effet.

Les consultations sont considérées comme une utilisation cohérente fidèle au but premier de la collecte de renseignements.

Stratégie d’atténuationDes protocoles d’entente seront négociés avec les parties consultées.
Divulgation ou destruction des données – Par un virus
Nature des risquesRenseignements personnels perdus ou exposés
Probabilité/menaceMoyen
Niveau de risqueMoyen
CommentairesRemarque : les données sont fréquemment sauvegardées aux fins de restauration.
Stratégie d’atténuationLa mise à jour régulière du logiciel antivirus fait partie intégrante de l’architecture des solutions du CEED.

On discute actuellement de la mise en œuvre d’un système de détection d’intrusion.

Divulgation ou Destruction des Données – Par un Pirate de L’information
Nature des risquesRenseignements personnels perdus ou exposés
Probabilité/menaceFaible
Niveau de risqueMoyen
CommentairesRemarque : les données sont fréquemment sauvegardées aux fins de restauration.
Stratégie d’atténuationLe réseau utilise une clé de chiffrement SSL v2 28 bit de bout en bout pour crypter tous les renseignements.

On discute actuellement de la mise en œuvre d’un système de détection d’intrusion.

Divulgation ou Destruction des Données – Par Voie Technique
Nature des risquesRenseignements personnels perdus ou exposés
Probabilité/menaceFaible
Niveau de risqueMoyen
CommentairesRemarque : les données sont fréquemment sauvegardées aux fins de restauration.
Stratégie d’atténuationLe CEED est situé dans l’édifice de CGI qui abrite le centre informatique. Cette installation est jugée sûre et son centre d’exploitation de réseaux/systèmes est surveillé par des caméras 24heures sur 24. Des UPS redondantes sont installées pour éviter les perturbations. Les UPS nettoient et stabilisent l’alimentation en énergie dans tout le centre informatique. L’accès au centre de traitement est très restreint. Tous les membres du personnel ont fait l’objet d’une enquête de sécurité.

L’architecture technique du CEED comprend une ligne de communication directe entre le centre de services et le serveur Web du CEED. Il s’agit du seul élément où de l’équipement d’écoute électronique clandestine pourrait être installé et nuire à l’application CEED. Cette ligne est entièrement logée dans le centre informatique de CGI et surveillée par un système de détection d’intrusion.

Questionnaire A – 7.9 « Existe–t–il des plans d'intervention et des procédures documentées pour repérer les violations de sécurité ou les divulgations de renseignements personnels faites par erreur et pour y remédier? »
Nature des risquesIntervention inefficace et retards en cas de problèmes
Probabilité/menaceFaible
Niveau de risqueFaible
CommentairesOn suivra les procédures ministérielles habituelles si une telle situation se présente.
Stratégie d’atténuationTIE doit tenir des dossiers opérationnels qui montrent son intervention face aux incidents, qui documentent le déroulement de l’incident, qui mentionnent quand ce dernier a été décelé, les mesures prises, la justification des décisions, les communications, les approbations de la gestion ou de la direction et font état des rapports internes et externes.

On doit rédiger une analyse à la suite de l’incident qui résume ses conséquences et comprend les lacunes en matière de sécurité et les mesures de prévention.

REMARQUE : la nature de l’intrusion ou de la divulgation déterminera quelle direction au sein de la Direction générale (TIE ou TIA) en assumera la responsabilité.

Questionnaire A – 7.10 « Existe–t–il des procédures documentées pour communiquer les violations de sécurité à la personne concernée, aux autorités chargées de l’application de la loi et aux directeurs de programme concernés? »
Nature des risquesIntervention inefficace et retards en cas de problèmes
Probabilité/menaceFaible
Niveau de risqueFaible
CommentairesOn suivra les procédures ministérielles habituelles si une telle situation se présente.
Stratégie d’atténuationTIE doit établir un processus afin d’aviser le personnel et les gestionnaires des opérations concernés ainsi que les parties touchées au moyen d’une liste de personnes–ressources à jour. Le CEED doit aviser l’organisme d’application de la loi compétent si la nature de l’incident semble être criminelle.

REMARQUE : la nature de l’intrusion ou de la divulgation déterminera quelle direction au sein de la Direction générale (TIE ou TIA) en assumera la responsabilité.

Questionnaire A – 7.11 « Existe–t–il un plan d'assurance de la qualité et de vérification des programmes pour évaluer l'état actuel des protections applicables au système? »
Nature des risquesUtilisation illicite ou divulgation de données par inadvertance, contribuant aux éléments de risques.
Probabilité/menaceFaible
Niveau de risqueFaible
CommentairesRien
Stratégie d’atténuationTIE doit établir un plan d’assurance de la qualité et des programmes de vérification afin d’évaluer l’état permanent des sauvegardes applicables au CEED.

REMARQUE : la nature de l’intrusion ou de la divulgation déterminera quelle direction au sein de la Direction générale (TIE ou TIA) en assumera la responsabilité.