Secteur de risque |
Niveau de risque |
Détails |
A) Type de programme ou d'activité |
3 |
Microsoft Azure est utilisé par les administrateurs du système pour gérer les comptes utilisateurs. La plateforme est également utilisée pour appliquer les politiques d'utilisation, suivre les modifications apportées par les utilisateurs sur la plateforme et détecter les comportements anormaux. Les actions effectuées sur la plateforme sont régulièrement examinées et peuvent parfois donner lieu à des mesures disciplinaires à l'encontre d'un individu. |
B) Type de renseignements personnels recueillis et contexte |
2 |
Les informations requises pour la création d'un nouvel utilisateur dans Microsoft Azure peuvent être collectées directement auprès de l'utilisateur, d'un gestionnaire ou de Services partagés Canada. Les informations saisies pour la création d'un utilisateur sont : le courriel professionnel, le nom et le prénom, le lieu de travail, le numéro de téléphone professionnel et le nom du gestionnaire. |
C) Partenaires de programme ou d'activité et participation du secteur privé |
4 |
Bien que Microsoft Azure soit une plateforme en nuage hébergée sur l'infrastructure de Microsoft, les renseignements personnels ne sont pas partagées avec eux. Les renseignements personnels utilisées pour gérer les comptes d'utilisateurs ne sont partagées qu'avec Services partagés Canada. |
D) Durée du programme ou de l'activité |
3 |
Microsoft Azure sera adopté dans un avenir prévisible. Il n'y a actuellement pas de date de fin. La durée du programme dépendra de la durée pendant laquelle Microsoft soutiendra cette solution et des tendances futures en matière d'adoption des technologies. |
E) Population du programme |
3 |
Microsoft Azure aura besoin des coordonnées des personnes qui recherchent des services ou collaborent avec l'École de la fonction publique du Canada. Il s'agit d'utilisateurs et de clients internes et externes. Les informations de contact requises pour cette activité comprennent le nom, l'adresse, le numéro de téléphone et l'adresse électronique de la personne. |
F) Technologie et vie privée
1. L'activité ou le programme, nouveau ou modifié, exige-t-il la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, y compris un collecticiel (ou logiciel de groupe), afin de faciliter la création, la collecte ou le traitement de renseignements personnels? |
Oui |
|
2. Le programme, nouveau ou modifié, ou l'activité est-il une modification des anciens systèmes et services de la TI? |
Non |
|
3. Le programme, nouveau ou modifié, ou l'activité comprend la mise en œuvre d'une ou de plusieurs des technologies suivantes :
- les méthodes d'identification améliorées;
- le recours à la surveillance;
- l'utilisation de techniques automatisées d'analyse des renseignements personnels, de mise en correspondance des renseignements personnels et de découverte de connaissances.
|
Oui |
Les ordinateurs portables sont équipés de puces TPM (Trusted Platform Module) qui seront enregistrées dans Microsoft Azure. Les services de fédération Active Directory (ADFS), l'authentification unique (SSO) et l'authentification multifactorielle (MFA) seront également utilisés. |
Oui |
Certaines fonctionnalités de Microsoft Azure peuvent être exploitées pour collecter des données d'audit et contrôler les activités. |
Oui |
Les adresses IP, les noms d'utilisateur et d'autres données relatives au trafic sur le réseau peuvent être utilisés pour surveiller les schémas de connexion et identifier les activités suspectes potentielles. |
G) Transmission des renseignements personnels |
4 |
Alors que les serveurs utilisent des connexions internet filaires dans les centres de données de Microsoft, les utilisateurs peuvent utiliser des connexions sans fil à leur domicile lorsqu'ils se connectent à Microsoft Azure. |
H) Risque potentiel qu'en cas d'atteinte à la vie privée, il y ait une incidence sur le particulier ou l'employé |
Faible |
Le niveau de risque est faible. Afin de fournir des services Microsoft Azure aux clients, les administrateurs de systèmes informatiques n'ont besoin que d'informations de contact de base telles que les noms des employés, les adresses électroniques, les numéros de téléphone, les adresses des départements et les adresses IP.
De plus amples informations sur les atteintes à la vie privée sont disponibles dans la directive sur les pratiques en matière de protection de la vie privée sur le site web du SCT. |
I) Risque potentiel qu'en cas d'atteinte à la vie privée, il y ait une incidence sur l'institution |
Faible |
Le niveau de risque est faible. Les informations personnelles stockées sur la plateforme Microsoft Azure peuvent être menacées. La crédibilité et la perception de l'école peuvent être affectées en cas de violation de la vie privée. |