Sélection de la langue

Recherche

Résumé de l'évaluation des facteurs relatifs à la vie privée (EFVP) de l'EFPC : Microsoft Azure

Aperçu et mise en place d'une EFVP

Institution fédérale
École de la fonction publique du Canada
Fonctionnaire responsable de l'évaluation des facteurs relatifs à la vie privée (EFVP)
François Brunet
Directeur général
Dirigeant principal du numérique
Responsable de l'institution fédérale ou délégué aux fins de l'article 10 de la Loi sur la protection des renseignements personnels
Julie Bureau
Gestionnaire
Bureau de l'accès à l'information et de la protection des renseignements personnels
Nom du programme ou de l'activité de l'institution fédérale
Microsoft Azure

Catégories de documents spécifiques à l'institution ou ordinaires :

  • Numéro
    Numéro des catégories de documents : NDP 932
  • Information Management
    Numéro des catégories de documents : NDP 944

Fichier de renseignements personnels spécifiques à l'institution ou ordinaires :

  • Technologie de l'information
    Numéro de fichier : POE 901
  • Activités de sensibilisation
    Numéro de fichier : POU 938
  • Formation et perfectionnement
    Numéro de fichier : POE 905
  • Journaux de contrôle des réseaux électroniques
    Numéro de fichier : POU 905

Autorisation légale pour le programme ou l'activité

Résumé du projet, de l'initiative ou des modifications

Aperçu du programme ou de l'activité

Ce projet supervise la transition et l'intégration à Microsoft Azure. L'objectif est de moderniser l'infrastructure de l'École de la fonction publique du Canada, d'améliorer les outils mis à la disposition des employés et d'offrir un degré plus élevé de disponibilité et d'accessibilité. Le projet permet également aux Services numériques de mieux remplir leurs rôles et responsabilités.

Déterminition et classement du risque

Secteur de risque Niveau de risque Détails
A) Type de programme ou d'activité 3

Microsoft Azure est utilisé par les administrateurs du système pour gérer les comptes utilisateurs. La plateforme est également utilisée pour appliquer les politiques d'utilisation, suivre les modifications apportées par les utilisateurs sur la plateforme et détecter les comportements anormaux. Les actions effectuées sur la plateforme sont régulièrement examinées et peuvent parfois donner lieu à des mesures disciplinaires à l'encontre d'un individu.

B) Type de renseignements personnels recueillis et contexte 2

Les informations requises pour la création d'un nouvel utilisateur dans Microsoft Azure peuvent être collectées directement auprès de l'utilisateur, d'un gestionnaire ou de Services partagés Canada. Les informations saisies pour la création d'un utilisateur sont : le courriel professionnel, le nom et le prénom, le lieu de travail, le numéro de téléphone professionnel et le nom du gestionnaire.

C) Partenaires de programme ou d'activité et participation du secteur privé 4

Bien que Microsoft Azure soit une plateforme en nuage hébergée sur l'infrastructure de Microsoft, les renseignements personnels ne sont pas partagées avec eux. Les renseignements personnels utilisées pour gérer les comptes d'utilisateurs ne sont partagées qu'avec Services partagés Canada.

D) Durée du programme ou de l'activité 3

Microsoft Azure sera adopté dans un avenir prévisible. Il n'y a actuellement pas de date de fin. La durée du programme dépendra de la durée pendant laquelle Microsoft soutiendra cette solution et des tendances futures en matière d'adoption des technologies.

E) Population du programme 3

Microsoft Azure aura besoin des coordonnées des personnes qui recherchent des services ou collaborent avec l'École de la fonction publique du Canada. Il s'agit d'utilisateurs et de clients internes et externes. Les informations de contact requises pour cette activité comprennent le nom, l'adresse, le numéro de téléphone et l'adresse électronique de la personne.

F) Technologie et vie privée

1. L'activité ou le programme, nouveau ou modifié, exige-t-il la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, y compris un collecticiel (ou logiciel de groupe), afin de faciliter la création, la collecte ou le traitement de renseignements personnels?

Oui  
2. Le programme, nouveau ou modifié, ou l'activité est-il une modification des anciens systèmes et services de la TI? Non

 

3. Le programme, nouveau ou modifié, ou l'activité comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :

  • les méthodes d'identification améliorées;
  • le recours à la surveillance;
  • l'utilisation de techniques automatisées d'analyse des renseignements personnels, de mise en correspondance des renseignements personnels et de découverte de connaissances.
Oui

Les ordinateurs portables sont équipés de puces TPM (Trusted Platform Module) qui seront enregistrées dans Microsoft Azure. Les services de fédération Active Directory (ADFS), l'authentification unique (SSO) et l'authentification multifactorielle (MFA) seront également utilisés.

Oui Certaines fonctionnalités de Microsoft Azure peuvent être exploitées pour collecter des données d'audit et contrôler les activités.
Oui Les adresses IP, les noms d'utilisateur et d'autres données relatives au trafic sur le réseau peuvent être utilisés pour surveiller les schémas de connexion et identifier les activités suspectes potentielles.
G) Transmission des renseignements personnels 4

Alors que les serveurs utilisent des connexions internet filaires dans les centres de données de Microsoft, les utilisateurs peuvent utiliser des connexions sans fil à leur domicile lorsqu'ils se connectent à Microsoft Azure.

H) Risque potentiel qu'en cas d'atteinte à la vie privée, il y ait une incidence sur le particulier ou l'employé Faible

Le niveau de risque est faible. Afin de fournir des services Microsoft Azure aux clients, les administrateurs de systèmes informatiques n'ont besoin que d'informations de contact de base telles que les noms des employés, les adresses électroniques, les numéros de téléphone, les adresses des départements et les adresses IP.

De plus amples informations sur les atteintes à la vie privée sont disponibles dans la directive sur les pratiques en matière de protection de la vie privée sur le site web du SCT.

I) Risque potentiel qu'en cas d'atteinte à la vie privée, il y ait une incidence sur l'institution Faible

Le niveau de risque est faible. Les informations personnelles stockées sur la plateforme Microsoft Azure peuvent être menacées. La crédibilité et la perception de l'école peuvent être affectées en cas de violation de la vie privée.


Date de modification :