Régime de télétravail au bureau de l'AIPRP du Service correctionnel du Canada

Aperçu

Conformément à la Politique de télétravail du Secrétariat du Conseil du Trésor (SCT), qui « encourage les ministères à mettre en œuvre des régimes de télétravail lorsque de tels régimes sont rentables et réalisables sur le plan opérationnel, et ce d'une manière juste, équitable et transparente », le Service correctionnel du Canada (SCC) a pris les arrangements nécessaires pour mettre en place un régime de télétravail à l'intention de ses analystes du bureau de l'AIPRP, en 2000. En date de la présente évaluation, cinq analystes sur 22 travaillent principalement de leur domicile.

Sommaire des risques et des recommandations

Général

Risque

Les renseignements qui sont classés « protégés C » sont transmis par l'entremise du réseau électronique sans commentaire ou examen de la part des responsables de la sécurité des TI. Les mesures de sécurité des systèmes de TI ne sont pas fonction de la nature délicate des renseignements.

Les documents « protégés C » sont régulièrement retirés des bureaux du SCC aux fins d'examen à l'endroit oû s'effectue le télétravail. Les télétravailleurs n'examinent pas préalablement les dossiers pour déterminer la mesure dans laquelle les documents qu'ils contiennent sont de nature délicate. Ils ne sont pas tenus d'obtenir l'approbation du gestionnaire du SCC avant de retirer un dossier contenant des documents classés « protégés C ». En de rares occasions, les dossiers peuvent également contenir des documents classés « secrets ». Les mesures de sécurité pour les documents matériels ne sont pas fonction de la nature délicate des renseignements.

Élaboration de plans et de procédures d'urgence non précis pour les télétravailleurs. Il n'est pas clair si les plans et les procédures d'urgence actuellement en place pour les personnes n'effectuant pas de télétravail s'appliquent entièrement aux télétravailleurs.

Recommandations liées à l'atténuation

Le groupe de sécurité des TI du SCC a mené une EMR par rapport aux systèmes de TI, aux dispositifs de télécommunications et aux biens utilisés par les télétravailleurs, comme l'accès à distance à ATIPflow, au SGD, à Internet et au courriel.

Les risques déterminés dans le cadre de l'EMR ont été atténués au moyen de l'intégration des recommandations aux politiques, aux procédures, aux lignes directrices et à la formation du SCC.

Il faudrait modifier les politiques, les procédures, les pratiques et les lignes directrices pour veiller à ce que les documents « protégés C » et classifiés ne soient pas retirés des bureaux du SCC, sauf dans des situations exceptionnelles et uniques, notamment l'exigence de respecter une ordonnance de tribunal.

Adapter les bureaux de télétravail pour qu'ils correspondent aux spécifications d'une pièce sécuritaire.

Veiller à ce que les classeurs utilisés pour le télétravail satisfassent aux exigences de sécurité actuelles concernant l'utilisation à l'extérieur des zones opérationnelles.

Sceller les documents « protégés C » dans une enveloppe sur laquelle sont inscrites les mentions de sécurité adéquates et les transporter dans une boîte sécurisée quand on les apporte à l'extérieur des zones à accès restreint aux fins du télétravail.

Veiller à ce que les télétravailleurs soient au courant des protocoles liés au transport des documents « protégés C » à l'extérieur des zones à accès restreint.

Mettre fin au programme de télétravail.

Examiner les lignes directrices du SCC sur la violation de la protection des renseignements personnels ainsi que les plans et les procédures d'urgence existants et veiller à ce qu'ils s'appliquent entièrement aux ententes de télétravail.

Fournir des séances de formation aux télétravailleurs sur la violation de la protection des renseignements personnels et les plans et les procédures d'urgence.

Protection

Risque

L'ampleur des mesures de protection pour les ententes de télétravail diminuera au fil du temps. Aucune vérification ni aucun examen de la conformité relativement aux exigences liées à la protection des renseignements personnels ne sont prévus.

Recommandations liées à l'atténuation

Élaborer un plan pour les programmes continus d'assurance de la qualité et de vérification en vue de l'évaluation de l'état continu des mesures de protection applicables à l'entente de télétravail. Cela devrait comporter la tenue régulière de visites sur place et d'examens.