Initiative de renouvellement des permis d'armes à feu et de traitement des paiements en ligne

Sommaire

1. Introduction

La mission du Programme canadien des armes à feu (PCAF) est de renforcer la sécurité publique en contribuant à la réduction du nombre de décès, de blessures et de menaces liés aux armes à feu. Pour ce faire, il encourage la possession, l'utilisation et l'entreposage responsables des armes à feu. Le PCAF fournit aussi aux services de police et à d'autres organismes le soutien opérationnel et technique nécessaire à la prévention et aux enquêtes relatives aux crimes commis avec des armes à feu et à la mauvaise utilisation de celles-ci au Canada.

Le PCAF est un secteur d'activité de la Gendarmerie royale du Canada (GRC) et il est composé d'organismes d'application de la loi accrédités et d'institutions provinciales chargées de la sécurité publique. L'un des principaux domaines de responsabilité du PCAF est la délivrance de permis.

De façon générale, toutes les personnes qui possèdent ou qui utilisent des armes à feu doivent être titulaires d'un permis. Il existe deux types de permis pour les particuliers, à savoir le permis de possession seulement (PPS) et le permis de possession et d'acquisition (PPA). Ces permis sont valides pour une période de cinq ans, aux termes de la Loi sur les armes à feu, et les titulaires d'un permis ont la responsabilité de le renouveler avant son expiration.

Le renouvellement des permis de possession d'armes à feu des particuliers est la principale activité opérationnelle du PCAF. En tant que volet du projet de transformation Web, le PCAF introduit des modes de transmission automatisée pour cette activité opérationnelle par le biais du Projet de renouvellement des permis d'armes à feu et de traitement des paiements en ligne du PCAF.

L'Évaluation des facteurs relatifs à la vie privée (EFVP) dont il est question dans le présent document est de nature multi-juridictionnelle, car elle comprend le volet fédéral du PCAF de la GRC de même que le volet du programme administré par un contrôleur des armes à feu (CAF) provincial désigné, comme c'est le cas en Ontario, au Québec, au Nouveau-Brunswick, à l'Île-du-Prince-Édouard et en Nouvelle-Écosse. Il s'agit d'une nouvelle EFVP et elle se limite à l'information recueillie auprès des particuliers dans la partie Projet du renouvellement des permis en ligne des services Web du PCAF.

Depuis le 17 mai 2006, date à laquelle le commissaire de la GRC a été désigné par le gouverneur en conseil à titre de commissaire des armes à feu et ce conformément à l'article 81.1 de la Loi sur les armes à feu, la GRC est l'organisation principalement responsable de recueillir, d'utiliser et de conserver les renseignements personnels aux fins du PCAF. En outre, dans le cadre des enquêtes sur l'admissibilité de particuliers à un permis, les CAF peuvent recueillir, utiliser et entreposer des renseignements personnels additionnels dans leurs dossiers format papier. Tous les renseignements personnels recueillis, utilisés et entreposés aux fins du PCAF sont assujettis aux lois et règlements applicables, incluant le Règlement sur les registres d'armes à feu. Aucune des dispositions législatives susmentionnées ne devra être modifiée en raison du Projet du renouvellement des permis en ligne.

Le directeur général du Programme canadien des armes à feu est l'officier délégué de cette initiative, et un analyste d'affaires principal du PCAF s'est vu confier la responsabilité globale de cette EFVP.

2. Modèle opérationnel

Le volet demande de renouvellement des permis en ligne du Projet de transformation Web du PCAF permettra aux clients de présenter une demande de renouvellement de leur permis d'armes à feu en ligne, ce qui améliorera le service à la clientèle, et permettra également d'accroître l'efficacité du Programme. Les autorités législatives permettant de recueillir, d'utiliser et d'entreposer les renseignements personnels provenant des demandes de permis de particuliers proviennent de la Loi sur les armes à feu et de ses règlements d'application. Les renseignements personnels recueillis dans le cadre d'une demande de renouvellement des permis en ligne seront gérés de la même manière que dans les fichiers de renseignements personnels (FRP) actuels, qui déterminent l'information dans le Programme canadien des armes à feu (GRC PPU 100) et le Système canadien d'information relativement aux armes à feu (GRC PPU 037).

En outre, les Services en ligne - particuliers (SELP) de la GRC ont adopté le Service de justificatifs d'identité portant la marque du gouvernement du Canada (CléGC) et les solutions de Service de Concierge de SecureKey. Ces solutions en matière d'authentification donnent aux particuliers le droit de choisir les justificatifs d'identité qu'ils utilisent pour s'authentifier de façon sécurisée lorsqu'ils accèdent aux programmes et aux services du gouvernement du Canada.

Dans le cadre de son engagement en matière de sécurité et de protection des renseignements personnels, le PCAF de la GRC instaurera le Bouton d'achat du receveur général (BARG) dans le traitement des paiements effectués par carte de crédit.

Gestion des risques d'entrave à la vie privée

Les sujets de préoccupation et les risques cernés grâce à l'Évaluation des facteurs relatifs à la vie privée (EFVP) du Projet de renouvellement des permis d'armes à feu et de traitement des paiements en ligne sont résumés ci-après. Cette section explique aussi comment ces risques ont été évités ou atténués.

  • Accès non autorisé

  • Gestion des renseignements personnels

  • Utilisation malveillante ou mauvaise utilisation involontaire des données

  • Vol d'identité et fraude

Accès non autorisé
Problème no 1 lié à la protection des renseignements personnels

L'EFVP fait ressortir un risque possible lié à l'accès du public aux applications des Services en ligne - particuliers (SELP) sur le réseau de la GRC. Pour sécuriser l'application Web, de multiples mesures de protection et procédures ont été mises en place pour limiter les vulnérabilités et atténuer ces risques: définition du périmètre de sécurité du réseau, pare-feu d'applications Web (WAF) et mesures de protection contre les codes malveillants et les virus (McAfee), mise à profit de l'Environnement de présence dans Internet de la GRC et prévention de toute communication directe entre l'utilisateur et les applications des SELP. Aussi, l'utilisation de l'application « IBM Security Appscan » sert à trouver les vulnérabilités des applications et à réduire le risque général durant la période de développement.

Problème no 2 lié à la protection des renseignements personnels

Le contrôle de l'accès autour de l'application de renouvellement du permis en ligne est un autre risque lié à la protection des renseignements personnels qui est atténué grâce à l'utilisation de CléGC, du Service de Concierge de SecureKey et de l'hébergement de l'application sur l'Environnement de présence dans Internet de la GRC, car il réduit l'anonymat des personnes et exerce un contrôle sur l'identification et l'accès des particuliers. Par exemple, des procédures ont été mises en place pour permettre au DPI/PCAF de la GRC de bloquer l'accès à certains particuliers, au besoin.

Problème no 3 lié à la protection des renseignements personnels

Le risque d'accès non autorisé aux sources de données du Renouvellement de permis en ligne par les employés du PCAF de la GRC, comme le Système canadien d'information relativement aux armes à feu (SCIRAF), est atténué grâce au Contrôle de l'accès en fonction des rôles, de sorte qu'un employé obtient l'accès aux données en fonction de son besoin de savoir (besoin qu'a une personne d'accéder à cette information et de la connaître afin d'accomplir son travail) et de son droit de savoir (autorisation légale, y compris les cotes de sécurité appropriées pour pouvoir accéder à de l'information classifiée).

Problème no 4 lié à la protection des renseignements personnels

Pour atténuer les risques relatifs à la protection de la vie privée associés au paiement par carte de crédit, le PCAF instaurera le Bouton d'achat du receveur général (BARG). Cette option permettra d'éviter que les employés du PCAF aient accès aux renseignements personnels recueillis dans le cadre d'une demande de permis, incluant l'information relative au paiement, afin de minimiser les risques de fraude et de vol d'identité. De plus, lorsque les renseignements portant sur la carte de crédit sont recueillis par téléphone, les mesures de protection technologiques du BARG font en sorte que les renseignements ne pourront pas être récupérés une fois recueillis dans le système.

Gestion des renseignements personnels
Problème no 5 lié à la protection des renseignements personnels

Une préoccupation en matière de renseignements personnels ayant trait à l'échange, à la manipulation, à la communication et à la diffusion de renseignements est atténuée grâce à une attestation de la responsabilité par chaque employé à l'égard des contraintes d'usage des technologies de l'information de la GRC. Cette démarche fait en sorte que les employés respectent les politiques de la GRC et du Secrétariat du Conseil du Trésor du Canada, la Gestion de la sécurité des technologies de l'information et les pratiques de sécurité ayant trait à la protection de renseignements de nature délicate. De plus, la divulgation de renseignements personnels sera effectuée conformément à l'article 8 de la Loi sur la protection des renseignements personnels. En cas de doute, on consultera les responsables de l'accès à l'information et de la protection des renseignements personnels de la GRC.

Problème no 6 lié à la protection des renseignements personnels

L'EFVP a relevé un risque possible d'entrave à la vie privée lorsque des renseignements sur le Programme sont échangés avec des responsables de l'application de la loi au Canada et aux États-Unis. Les risques sont atténués grâce à un protocole d'entente qui précise les modalités d'accès aux renseignements sur le Programme. Par ailleurs, les politiques de la GRC en matière d'échange, de manipulation et de diffusion de l'information sont employées pour atténuer les risques d'entrave à la vie privée. Le renouvellement des permis en ligne n'augmentera pas le risque.

Utilisation malveillante ou mauvaise utilisation involontaire des données
Problème no 7 lié à la protection des renseignements personnels

La préoccupation selon laquelle l'outil de demande de renouvellement des permis en ligne pourrait permettre la communication bidirectionnelle et la manipulation des renseignements des particuliers dans le SCIRAF et une mauvaise utilisation involontaire ou malveillante des données est atténuée par un nombre de mesures de sécurité, dont les suivantes : enregistrement des demandes et des données, détection et dissuasion du codage, récupération de données limitée à un dossier à la fois dans un format en lecture seule, et mesure permettant à un particulier de ne récupérer que ses propres données personnelles.

Problème no 8 lié à la protection des renseignements personnels

La fenêtre d'ouverture de session des SELP utilise des éléments de données personnelles pour confirmer l'identité d'une personne. Un risque d'entrave à la vie privée existe si un imposteur accède sans autorisation aux SELP et utilise les données personnelles par inadvertance ou par malice. Ce risque est atténué par des mesures de protection comme le nombre limité de tentatives d'ouverture de session, après quoi le compte est verrouillé pendant une période de temps inconnue du public. De plus, l'algorithme de comparaison des données à l'ouverture de session ne sera pas rendu public. Une prochaine mise à jour apportée à la fenêtre d'ouverture de session remplacera les éléments de données personnelles par un système plus solide de nom d'utilisateur et de mot de passe. Enfin, comme il a déjà été mentionné au problème no 7, ce risque sera davantage atténué par d'autres mesures de sécurité, comme l'enregistrement des demandes et des données, la détection et la dissuasion du codage et la récupération de données limitée à un dossier à la fois dans un format en lecture seule.

Vol d'identité et fraude d'identité
Problème no 9 lié à la protection des renseignements personnels

En vue d'atténuer les risques associés au vol d'identité et à la fraude d'identité, le processus actuel de renouvellement des permis d'armes à feu effectué au moyen de formulaires sur papier comprend une vérification manuelle par comparaison de la photo précédente du client et de sa nouvelle photo. Toute anomalie déterminée entre les deux photos est communiquée au contrôleur des armes à feu approprié, qui mènera une enquête en vue de s'assurer que la demande n'est pas frauduleuse. La comparaison manuelle des photos sera également effectuée pour le renouvellement des permis en ligne.

Le présent sommaire sera affiché sur le site Web institutionnel de la GRC, conformément à l'article F (Rendre compte publiquement de l'EFVP de base) de la Directive du Secrétariat du Conseil du Trésor sur l'EFVP. Les descriptions des banques de renseignements personnels de la GRC (PPU 100, 037) seront mises à jour dans Info Source en vue d'y ajouter des renseignements sur les cartes de crédit, conformément à la mise à jour prévue des publications d'Info Source du Secrétariat du Conseil du Trésor. Enfin, le PCAF a élaboré un plan de communication en vue d'expliquer le Projet de renouvellement des permis d'armes à feu et de traitement des paiements en ligne du PCAF. Celui-ci sera publié sur le site Web institutionnel de la GRC lors du lancement du Projet.

Date de modification :