| Secteur de risque |
Niveau de risque |
Détails |
| A) Type de programme ou d'activité |
3 |
La plateforme est autorisée pour des données allant jusqu'au niveau Protégé B. Microsoft 365 facilitera la collaboration et fournira des outils de productivité qui nous aideront à offrir un meilleur service à nos clients.
ThinkOn Compass Data Protect pour M365 servira à sauvegarder les données stockées dans les différents services de M365 afin d'éviter toute perte de données. |
| B) Type de renseignements personnels recueillis et contexte |
2 |
Les renseignements requis pour la création d'un nouvel utilisateur dans Microsoft 365 peuvent être fournis directement par l'utilisateur, par un gestionnaire ou par Services partagés Canada.
ThinkOn : les mêmes renseignements seront tirés de M365 pour être sauvegardés dans ThinkOn Compass Data Protect pour M365. |
| C) Partenaires de programme ou d'activité et participation du secteur privé |
2 |
Bien que Microsoft 365 soit un service infonuagique hébergé dans l'infrastructure de Microsoft, aucun renseignement personnel ne lui est communiqué. Les renseignements personnels utilisés pour gérer les comptes des utilisateurs sont uniquement partagés avec Services partagés Canada.
Bien que ThinkOn Compass Data Protect pour M365 soit un service infonuagique hébergé dans l'infrastructure de ThinkOn, aucun renseignement personnel ne lui est communiqué. Les renseignements personnels utilisés pour gérer les comptes des utilisateurs sont uniquement partagés avec Services partagés Canada. |
| D) Durée du programme ou de l'activité |
3 |
Microsoft 365 sera adopté dans un avenir prévisible. Aucune date de fin n'est prévue pour le moment. La durée du programme dépendra de la période à laquelle Microsoft prendra cette solution en charge, ainsi que des tendances futures en matière d'adoption de technologies.
ThinkOn Compass Data Protect pour M365 sera utilisé en combinaison avec M365 dans un avenir prévisible. Aucune date de fin n'est prévue pour le moment. La durée du programme dépendra de la période à laquelle ThinkOn prendra cette solution en charge et à laquelle Microsoft prendra M365 en charge, ainsi que des tendances futures en matière d'adoption de technologies. |
| E) Population du programme |
3 |
Pour Microsoft 365, il sera nécessaire de fournir les coordonnées des personnes qui veulent obtenir des services ou qui collaborent avec l'École de la fonction publique du Canada. Cela comprend les utilisateurs et les clients internes et externes. Les coordonnées requises pour cette activité comprennent le nom, l'adresse, le numéro de téléphone et l'adresse courriel de la personne.
ThinkOn : une copie de ces mêmes renseignements recueillis dans M365 sera stockée dans les services de ThinkOn pour en assurer la sauvegarde. |
| F) Technologie et vie privée |
1. L'activité ou le programme, nouveau ou modifié, exige-t-il la mise en œuvre d'un nouveau système électronique, logiciel ou programme d'application, y compris un collecticiel (ou logiciel de groupe), afin de faciliter la création, la collecte ou le traitement de renseignements personnels? |
Yes |
Les ordinateurs portables sont munis de puces de module de plateforme sécurisée (TPM) qui seront enregistrées dans Microsoft Azure. De plus, le composant Active Directory Federation Services (ADFS), l'authentification unique et l'authentification multifacteur (AMF) seront utilisés.
Certaines fonctionnalités de Microsoft 365 peuvent être mises à profit pour recueillir des pistes de vérification et pour surveiller les activités. Les adresses IP, les noms d'utilisateur et d'autres données relatives au trafic sur le réseau peuvent être utilisés pour surveiller les modèles de connexion et repérer les activités suspectes potentielles. |
| 2. L'activité ou le programme, nouveau ou modifié, nécessite-t-il des modifications aux anciens systèmes et services des TI? |
Yes |
3. L'activité ou le programme, nouveau ou modifié, exige la mise en œuvre d'une ou de plusieurs des technologies suivantes :
- méthodes d'identification améliorées;
- recours à la surveillance;
- utilisation de techniques automatisées d'analyse des renseignements personnels, de mise en correspondance des renseignements personnels et de découverte de connaissances.
|
Yes |
| Yes |
| Yes |
| G) Transmission des renseignements personnels |
4 |
Microsoft 365 : bien que les serveurs utilisent des connexions Internet filaires, les utilisateurs peuvent utiliser des connexions sans fil pour se connecter à Microsoft 365.
ThinkOn : les serveurs utilisent des connexions Internet filaires; cependant, les administrateurs se connecteront à la plateforme de gestion des sauvegardes à partir du navigateur Internet de leur poste de travail, qui peut utiliser une connexion sans fil. |
| H) Risque potentiel qu'en cas d'atteinte à la vie privée, il y ait une incidence sur le particulier ou l'employé |
2 |
Pour Microsoft 365 et ThinkOn :
Le niveau de risque est considéré comme peu élevé. Afin d'offrir des services aux employés de l'EFPC et aux autres fonctionnaires fédéraux, les administrateurs des systèmes de TI ont besoin de leurs coordonnées, notamment leurs noms, adresses courriel, numéros de téléphone, adresse de leur ministère et adresses IP. Les administrateurs de système ne sont pas autorisés à accéder aux dossiers personnels ou protégés des utilisateurs qui sont stockés sur les plateformes de Microsoft 365, Azure ou ThinkOn Compass; ils peuvent toutefois être autorisés à accéder à ces renseignements à la demande d'une personne qui en a l'autorisation légale. |
| I) Risque potentiel qu'en cas d'atteinte à la vie privée, il y ait une incidence sur l'institution |
2 |
Pour Microsoft 365 et ThinkOn :
Le niveau de risque est considéré comme peu élevé. Les renseignements personnels stockés sur les plateformes de Microsoft 365, Azure ou ThinkOn Compass peuvent être à risque. En cas d'atteinte à la vie privée, il pourrait y avoir une incidence sur la crédibilité de l'EFPC et la manière dont elle est perçue. |
