La Commission d’accès à l’information demande de renforcer certaines des mesures de sécurité et de surveillance mises en place à la SAAQ

Québec, le 6 juin 2001

Au terme d’une évaluation des secteurs « permis et immatriculation » de la Société de l’assurance automobile du Québec, la Commission d’accès à l’information considère que, sur les plans organisationnels et fonctionnels, les mesures de sécurité et de surveillance élaborées et mises en place sont généralement adéquates pour assurer la protection de renseignements personnels et un accès limité à l’information. Cependant, elle croit que certaines de ces mesures doivent être revues et corrigées. Rappelons que la Commission ne visait pas à faire la lumière sur les fuites présumées de renseignements à la SAAQ, mais plutôt à analyser de façon systémique les composantes en cause dans le but de porter une appréciation sur les mesures de sécurité.

Les recommandations et les demandes de la Commission d’accès à l’information

Certains organismes externes ont légalement accès aux systèmes de la SAAQ. À ce sujet, la Commission demande à la Société de rechercher un moyen pour restreindre le plus possible l’accès aux seules données nécessaires à la réalisation du travail de ces organismes. Par exemple, si un organisme a seulement besoin d’un accès aux dossiers d’immatriculation des véhicules lourds, il ne devrait pas pouvoir consulter d’autres types de dossiers.

La Commission croit également que la SAAQ aurait avantage à mieux utiliser son mécanisme de journalisation (répertoire des transactions quotidiennes faites par les employés) à des fins de détection et de dissuasion. La SAAQ pourrait introduire dans ce mécanisme des éléments déclencheurs permettant d’identifier des comportements inappropriés.

Par ailleurs, la SAAQ attribue les accès à ses systèmes selon l’appartenance d’une personne à une unité administrative. Ceci pourrait occasionner l’attribution d’accès trop larges ou inutiles. La Commission recommande plutôt de privilégier comme critère d’accès le profil de la tâche d’une personne.

La Commission demande aussi à la SAAQ de :

  • mettre en place dans un but de suivi permanent et d’analyse un répertoire faisant état des bris de confidentialité, ce qui permettra de mieux comprendre l’origine des fuites, de détecter toute variation du phénomène et de prendre action rapidement en cas de besoin.
  • prendre les dispositions afin que toutes les données utilisées lors des tests de fonctionnement des systèmes d’information demeurent anonymes.

Organisation de la sécurité

Au chapitre de l’organisation, la SAAQ peut compter sur des mécanismes internes favorisant une application correcte des mesures de sécurité. La SAAQ s’est, en effet, dotée d’un comité de sécurité comprenant des membres de sa haute direction et elle a nommé un responsable de la sécurité. Elle a également procédé à des études de vulnérabilité de ses systèmes et élaboré un programme de formation et de sensibilisation à l’intention de ses employés.

Chez les mandataires

Des visites effectuées par la Commission chez certains mandataires de la SAAQ révèlent que les employés sont inégalement sensibilisés à la sécurité et à la confidentialité. La Commission demande à la SAAQ d’intensifier les activités de sensibilisation élaborées à l’intention de ses mandataires. Elle reste cependant très préoccupée à ce chapitre compte tenu des risques importants associés aux activités principales des mandataires.

La Commission effectuera un suivi de l’ensemble des recommandations adressées à la SAAQ.

Le rapport complet de la Commission d’accès à l’information incluant les commentaires de la SAAQ est disponible sur son site Internet : www.cai.gouv.qc.ca.

Source: Maurice Carrier
Responsable des communications