Système informatisé de dépistage des troubles mentaux à l'évaluation initiale (SIDTMEI)

Aperçu

Le SIDTMEI est offert à tous les délinquants sous responsabilité fédérale à leur arrivée à un centre de réception. Le SIDTMEI est un processus de dépistage des troubles mentaux comportant un ensemble de tests psychométriques administrés par ordinateur qui permet de mesurer objectivement des indicateurs de santé mentale, entre autres, les dépressions, les idées de suicide, l'anxiété et les troubles obsessifs-compulsifs et psychotiques. En ce qui a trait à l'ensemble de tests psychométriques administrés par ordinateur, une fois que les délinquants terminent le processus de dépistage, les données généreront un rapport qui sera versé dans leur dossier psychologique confidentiel. Les délinquants dont la note est supérieure à un seuil préétabli seront automatiquement renvoyés au service de psychologie afin d'être évalués de façon approfondie. Comme le SIDTMEI sera mis en œuvre dans tout le système, les renseignements d'identification des délinquants (p. ex. âge, sexe) et les notes obtenues aux tests seront automatiquement recueillis pour générer des profils par établissement, par région et à l'échelle nationale quant aux besoins en santé mentale au sein de l'environnement du SCC. Par conséquent, le SIDTMEI permettra au SCC d'améliorer la planification des traitements de santé mentale et l'accès aux services connexes dans les établissements en déterminant quels délinquants ont des problèmes de santé mentale au moment du processus d'évaluation initiale.

Sommaire des risques et des recommandations

Conservation Générale et élimination

Risque

La clé USB utilisée pour transférer les renseignements d'un ordinateur autonome au réseau n'est pas chiffrée, et une violation de la protection des renseignements personnels pourrait facilement survenir si cette clé était perdue ou volée.

Ce risque est aggravé par les pratiques variées utilisées par les administrateurs de tests relativement au téléchargement des données des tests de la clé USB au réseau. Les renseignements de tests individuels et identificatoires demeurent sur les ordinateurs autonomes après qu'ils ont été enregistrés sur la clé USB. Même si les renseignements qui demeurent sur le disque dur de l'ordinateur sont convertis sous un autre nom de dossier, le nom du délinquant, son numéro SED, sa date de naissance, son sexe et ses notes brutes aux tests demeureront sur le disque dur, et on pourra y accéder. L'entreposage de ces données pose un risque relativement à l'article 6 de la Loi sur la protection des renseignements personnels, lequel a trait à la conservation, à l'exactitude et au retrait des renseignements personnels.

Recommandations liées à l'atténuation

À l'heure actuelle, les clés USB fournies à chaque administrateur de tests du SIDTMEI ne sont pas chiffrées, car les responsables de la GI-TI du SCC ont indiqué que cela n'était pas possible avec la version actuelle du SIDTMEI. La question des clés chiffrées devrait être examinée au moment de configurer la version II du SIDTMEI. Entre-temps, cependant, le risque lié à la protection des renseignements personnels est faible, car les renseignements enregistrés sur les clés ne contiennent que les données brutes des tests et, sans les réponses connexes, l'information est inutile. Parmi les autres renseignements, on compte le nom du délinquant, son numéro SED, sa date de naissance et son sexe, lesquels sont tous, conformément à la Politique sur la sécurité du gouvernement, des renseignements classés protégés A.

Les lignes directrices du SIDTMEI utilisées par les responsables de l'administration devraient être clarifiées et inclure des directives précises concernant le téléchargement des données du SIDTMEI de la clé USB à l'application réseau ainsi que des instructions particulières pour veiller à ce que les données du SIDTMEI soient adéquatement protégées, conformément aux exigences de la Politique sur la sécurité du gouvernement.

Même si les données brutes des tests demeurent sur le disque dur, les dossiers sont automatiquement renommés et les données sont enregistrées au plus profond de la mémoire du système et sont pratiquement irrécupérables pour des personnes n'œuvrant pas dans le domaine des TI. La version actuelle de l'application du SIDTMEI ne comporte pas la fonction permettant d'effacer automatiquement les données une fois que les renseignements sont enregistrés sur la clé USB; cependant, à la suite de discussions avec les responsables de la GI-TI du SCC, une fonction supplémentaire pourrait être configurée dans la version II du SIDTMEI, ce qui permettra aux administrateurs de tests de supprimer ces renseignements régulièrement.

Même si le programme comporte des renseignements sur la santé mentale qui, en eux-mêmes, sont de nature délicate s'ils sont traités inadéquatement, des directives internes existent actuellement au sein du SCC établissant des instructions claires en ce qui a trait à la façon dont les renseignements sur la santé mentale doivent être traités. Elles sont décrites dans les directives du commissaire nos 803, 840 et 850.

Le SCC a élaboré des lignes directrices sur la violation de la protection des renseignements personnels que tous les employés du SCC doivent respecter au cas où des renseignements personnels seraient traités inadéquatement.