Application TEAM
Sommaire
Le 1er janvier 2010, les ministres du Conseil du Trésor ont approuvé la Politique sur la gérance des systèmes de gestion financière (SGF). Cette politique est entrée en vigueur immédiatement et a remplacé la Politique sur la gérance des systèmes de gestion financière du 1er octobre 1996. Elle vise à garantir que tous les systèmes de gestion financière fournissent, en temps opportun, de l'information financière exacte, fiable et accessible.
À ce titre, la Politique sur la gérance des systèmes de gestion définit les responsabilités des administrateurs généraux à l'égard des systèmes de gestion financière :
- Assurer le leadership et l'orientation stratégique en matière de SGF, de données et de processus opérationnels;
- Veiller à réaliser des investissements conservateurs en matière de SGF qui répondent aux exigences opérationnelles et qui sont harmonisés à l'orientation stratégique des SGF dans l'ensemble du gouvernement, conformément aux directives du Conseil du Trésor (CT);
- Allouer des ressources appropriées pour assurer la mise en œuvre opportune des configurations normalisées du SGF, des processus opérationnels communs de gestion financière et des exigences communes en matière de données opérationnelles définis par le Bureau du contrôleur général (BCG);
- Nommer un représentant ministériel auprès du regroupement d'utilisateurs des SGF concerné, qui sera chargé de veiller activement à la prise en compte des besoins opérationnels du ministère dans le cadre de ce forum et au respect de l'orientation fournie par le BCG au sujet des SGF.
Le présent rapport comprend une évaluation des facteurs relatifs à la vie privée (EFVP) qui touche sept fonctions opérationnelles prises en charge par l'application TEAM. Le système TEAM procure des fonctions de gestion financière et d'actifs à la GRC et à Sécurité publique Canada (SPC). L'application TEAM appui donc l'organisation en matière de responsabilité budgétaire, de contrôle des dépenses, de gestion des recettes, de gestion du matériel, d'indépendance acquise, d'intégration des systèmes généraux, la gestion de portefeuilles et de projets et la planification des investissements.
Bien qu'il s'agisse d'un système administratif, TEAM joue un rôle crucial dans le processus de gestion des deux organisations, permettant de transmettre aux Comptes publics les données exigées par le gouvernement du Canada (GC) et de traiter toutes les opérations financières des deux organisations. TEAM est un système intégré que le GC a acquis auprès de SAP dans le cadre de l'Initiative des systèmes partagés (ISP) du Secrétariat du Conseil du Trésor (SCT).
Dans le cadre de l'engagement continu de maintenir les versions les plus récentes de la suite de produits SAP pour tirer parti des efforts communs, la GRC a mis à jour son système de la version SAP 4.7 à la version SAP ECC 6.0 en novembre 2011. Avec cette mise à niveau, la GRC a été en mesure de prendre en charge le développement continu de nouvelles fonctions opérationnelles TEAM et des initiatives ultérieures du GC.
Les objets de cette EFVP sont les sept fonctions opérationnelles suivantes qui se rapportent aux renseignements personnels dans TEAM :
- Dépôt direct
Solution qui permet de déposer le remboursement de frais de déplacement directement dans le compte bancaire d'un employé. - Calculs des allocations de logement
Solution qui permet de consigner des renseignements sur les conjoints et les personnes à charge afin de produire le calcul des allocations de logement. - Prévisions salariales
Solution qui permet d'utiliser des renseignements sur la classification et le salaire de l'employé pour établir des prévisions salariales. - Voyages
Solution qui prend en charge tous les aspects du traitement des demandes d'autorisation de voyager et des remboursements de frais. - Établissement des horaires
Solution pour les membres et les employés qui permet de planifier les horaires de quarts de travail de manière électronique. - Paye pour fonctions supplémentaires
Solution pour les versements des payes pour fonctions supplémentaires des membres qui simplifie les processus d'approbation et de paiement par l'entremise du Système de rémunération des membres (SRM). - Pouvoir de signer des documents financiers
Solution qui permet d'attribuer des cartes de signature à des employés sélectionnés afin de leur accorder des niveaux précis de pouvoirs financiers.
Même si l'application TEAM contient peu de données personnelles, son profil de risque est fortement influencé par le nombre de processus financiers qu'elle prend en charge et l'ampleur de la base d'utilisateurs à l'échelle de la GRC.
Voici les principales recommandations :
1. Fichiers de renseignements personnels (FRP)
Le SCT a élaboré les fichiers de renseignements personnels ordinaires pour décrire les renseignements personnels que l'on retrouve dans les dossiers créés, recueillis et conservés par la plupart des institutions du gouvernement dans le cadre de leurs fonctions, activités et programmes internes courants. De plus, selon l'article 11 de la Loi sur la protection des renseignements personnels, les institutions fédérales sont tenues de décrire leurs fonds de renseignements personnels dans les sections pertinentes d'Info Source. Par conséquent, la GRC doit obligatoirement inscrire auprès du SCT tous les FRP qui s'appliquent aux fonctions opérationnelles de TEAM dans le cadre de la responsabilité du programme.
Recommandation 1 : La GRC doit s'assurer que les numéros des FRP PSU 931, PSE 903, PSU 935 et PSE 904 sont inscrits auprès du SCT comme étant liés à TEAM d'ici le 30 septembre 2015. De cette façon, la GRC s'assure de sa conformité lors de la publication de renseignements FRP à jour dans Info Source (création, collecte et tenue à jour des renseignements personnels des employés). Ces FRP ordinaires prennent en charge la collecte de renseignements personnels par la GRC pour les sept fonctions opérationnelles TEAM visées par la présente EFVP.
2. Ambiguïté liée au contrôle des renseignements personnels
TEAM est utilisé pour consigner des renseignements personnels en appui aux fonctions opérationnelles Dépôt direct, Établissement des horaires, Calcules des allocations de logement, Prévisions salariales, Pouvoir de signer des documents financiers, Voyages et Paye pour fonctions supplémentaires. La GRC garde et contrôle les renseignements personnels alors qu'ils se trouvent dans TEAM. La GRC fournit des renseignements personnels à Travaux publics et Services gouvernements Canada (TPSGC), étant entendu que les renseignements personnels fournis sont utilisés directement aux fins prévues, et ce conformément aux lois et aux règles applicables. La méthode de mise en commun des renseignements n'a pas changé dans la nouvelle architecture, mais il s'agit d'un bon moment pour officialiser l'entente de confidentialité entre les parties (GRC et TPSGC).
Recommandation 2 : La GRC doit élaborer une entente officielle au sujet des renseignements transmis à un tiers comme quoi celui-ci reconnaît sa responsabilité légale d'assurer la protection des renseignements personnels qui lui sont transmis en conformité avec la Loi sur la protection des renseignements personnels. Un plan pour élaborer les ententes formelles sera établi d'ici le 31 mars 2016. Toutes les ententes officielles seront fournies au CPVP ou seront disponibles sur demande d'ici le 31 mars 2017.
3. Sommaire de l'EFVP
La Directive sur l'évaluation des facteurs relatifs à la vie privée du Conseil du trésor et le Manuel d'administration des politiques d'EFVP III.12.3.2.12 requièrent la publication d'un sommaire sur le site Web ministériel afin d'informer le public sur la manière dont les renseignements personnels sont collectés, utilisés, divulgués, conservés et éliminés. Le sommaire décrit également les risques relatifs à la protection des renseignements personnels liés à la collecte de renseignements personnels dans le cadre de l'utilisation de TEAM, de même que les mesures d'atténuation élaborées par la GRC pour réduire ou éliminer ces risques. La publication du sommaire doit tenir compte des exigences en matière de sécurité et d'autres facteurs juridiques et relatifs à la confidentialité.
Recommandation 3 : La GRC doit publier, dans les deux langues officielles, le sommaire de l'EFVP de TEAM sur son site Web pour expliquer l'objectif de l'EFVP de TEAM et décrire les mesures d'atténuation élaborées par la GRC afin de réduire ou d'éliminer ces risques au plus tard le 31 décembre 2015.
4. Mise en œuvre du plan d'atténuation des risques, Évaluation des menaces et des risques – TEAM
Une évaluation des menaces et des risques (EMR) du système TEAM a été effectuée en 2014. L'évaluation a permis de cerner les mesures de sécurité nécessaires pour atténuer les risques au niveau approprié en fonction de la sensibilité et du caractère critique des actifs évalués. L'évaluation était conforme à la Politique sur la sécurité du gouvernement (PSG) et à la norme opérationnelle de sécurité Gestion de la sécurité des technologies de l'information (GSTI) du SCT. Le rapport conclut que les améliorations à apporter aux fonctions opérationnelles dans TEAM nécessitent que le système TEAM communique avec des systèmes/dispositifs au-delà des connexions existantes : système d'information sur la gestion des ressources humaines (SIGRH), serveurs de télécopie, lecteurs de code à barres, serveur pour la Gestion de transfert sécurisé de fichier, serveur Solution Manager, serveurs de bases de données, serveurs de contenu SAP, serveur uPerform, serveur de courrier électronique, routeur SAP, ordinateur central de production. Le niveau de risque évalué du système TEAM est moyen. Le niveau de risque cible de la GRC est faible selon l'EMR effectuée par le secteur du DPI. Des mesures de sécurité ont été recommandées pour réduire le risque et les recommandations ont été priorisées. Un plan d'atténuation des risques a été élaboré et accepté par l'ASM de la GRC :
- SPC doit mettre en œuvre une authentification forte à deux facteurs pour ceux qui ont besoin d'accéder à TEAM à partir de son réseau. TERMINÉ
- L'agent Control-M doit être transféré dans l'environnement TEAM protégé B. TERMINÉ
- Le fichier de justificatif de code à barres qui se trouve sur le réseau Telnet doit être chiffré ou protégé adéquatement afin d'empêcher tout accès non autorisé à TEAM. Statut : Une solution provisoire a été approuvée, mais n'a pas encore été mise en œuvre.
- Le processus d'accès à distance des fournisseurs à l'environnement de production TEAM doit être établi et approuvé. Statut : Un processus a été déterminé, mais n'a pas encore été mis en œuvre.
- Le serveur uPerform Help File doit être transféré dans l'environnement TEAM protégé B puisqu'il s'agit d'un composant du système. TERMINÉ
Recommandation 4 : Pour atteindre le niveau de risque cible faible de la GRC pour le système TEAM, il faut que toutes les mesures de sécurité recommandées soient mise en œuvre au cours de la période de 24 mois déterminée dans l'Évaluation des menaces et des risques du système TEAM 2014 publiée le 7 mars 2014. À ce stade, trois des cinq mesures de protection recommandées ont été mises en œuvre.
5. Avis de collecte de données personnelles – Portail libre-service TEAM
La réalisation de l'EFVP a permis de relever une lacune sur la manière d'informer l'utilisateur de l'objet et de l'autorité responsable de la collecte de données dans cette nouvelle fonctionnalité. Le Portail devrait être mis à jour afin d'inclure cette information.
Recommandation 5 : Des renseignements supplémentaires devraient être ajoutés au Portail libre-service TEAM afin d'informer les utilisateurs de l'objet et de l'autorité responsable de la collecte de données au plus tard le 30 septembre 2015.
- Date de modification :