Bulletin 10/03

17 avril 2003
Au : : Conseil exécutif
Vice-présidentes et vice - présidents régionaux adjoints
Présidentes et présidents de sections locales
Agents de relations de travail

Objet : Accès non autorisés

Je vous prie de donner à ce Bulletin la plus large diffusion possible parmi les membres. Veuillez demander à votre direction locale la permission de l'afficher et de le distribuer sur place.

Les accès non autorisés sont tous les accès aux systèmes qui ne sont pas effectués spécifiquement dans le cadre du travail que vous êtes payés pour accomplir. Le Code de déontologie et de conduite de l'ADRC énonce : « De plus, vous n'avez aucun accès aux renseignements recueillis par l'ADRC, sauf à ceux dont vous avez besoin pour exécuter votre travail. » Et il ajoute : « L'accès à des informations n'ayant pas trait à vos fonctions officielles ou la prestation de telles informations à une personne non compétente à des fins non autorisées constituent des exemples d'inconduite grave. » En plus du Code, le Manuel des finances et de l'administration illustre clairement les problèmes que posent les violations d'accès. On lit au chapitre 16 : « La présente politique vise à garantir que chaque utilisateur autorisé se voit accorder des privilèges d'accès minimum aux systèmes et aux ressources informatiques du Ministère pour l'exécution des activités de leur travail. », et au chapitre 25 : « L'objectif de cette politique est de s'assurer que les employés de l'Agence n'accèdent pas, en aucune circonstance, aux renseignements fiscaux et douaniers les concernant personnellement ni à ceux concernant les membres de leur famille ou leurs connaissances. L'accès aux renseignements fiscaux et douaniers ne peut être accordé qu'aux employés ayant le niveau de sécurité approprié et qui ont besoin de l'information dans l'exercice de leurs fonctions, ce qui exclut la possibilité pour un employé d'évaluer ses propres données fiscales et douanières ou celles des membres de sa famille ou de ses connaissances. »

Depuis quelques années, il y a eu une augmentation marquée du nombre de mesures disciplinaires à l'endroit de nos membres pour accès non autorisé. Un nombre considérable de ces mesures disciplinaires ont été infligées à des membres qui ont accédé accidentellement à des comptes qu'ils n'étaient pas spécifiquement autorisés à consulter. L'ADRC sensibilise ses employé-e-s, nos membres, aux accès non autorisés les plus importants, mais pas aux violations éventuelles imputables à leurs actions.

Dès leur embauche, nos membres sont informés des violations éventuelles évidentes : « N'allez pas voir le compte de Wayne Gretzky, n'espionnez pas votre ex-conjointe ou ex-conjoint, ne consultez pas votre compte et ne divulguez pas le moindre renseignement au grand public ». Le cas qui semble poser le plus de problèmes, aux yeux de l'Agence, est lorsqu'un membre considère une situation comme du Service au public et accède à un compte qui ne ressort pas de ses fonctions. Les membres du SEI se voient imposer des mesures disciplinaires pour avoir accédé à des comptes afin de donner au public des renseignements auxquels leur description de poste ne leur demande pas d'accéder et qu'elle ne leur demande pas de communiquer.

Par exemple, l'agent des décisions qui reçoit un appel téléphonique d'un membre de sa famille, d'une connaissance ou d'un ancien client qui demande des renseignements sur un remboursement crée un accès non autorisé, et s'expose à des mesures disciplinaires, s'il accède au compte et communique les renseignements sur le remboursement. Un agent de recouvrement qui vérifie le statut de la déclaration de revenus d'un particulier qui ne se trouve pas dans son inventaire commet également une violation et, lui aussi, s'expose à des mesures disciplinaires. Cela vient du fait qu'il n'appartient pas à l'agent des décisions de fournir des renseignements sur un remboursement ni à l'agent de recouvrement de vérifier les renseignements du dossier d'impôt qui n'est pas dans son inventaire.

Les membres du SEI doivent reconnaître que le Service au public ne veut pas dire qu'ils doivent fournir tous les services ou renseignements, quelles que soient les fonctions auxquelles ils sont affectés. Nous avons beau tous être persuadés que la vérification d'un remboursement est une tâche simple que nous pouvons tous accomplir, il faut se rappeler que cela n'est peut-être pas le travail que nous sommes payés pour accomplir. Il y a des employé-e-s de l'ADRC qui sont spécifiquement autorisés à accomplir cette tâche particulière. Il faut regarder l'extrême. Nous n'envisagerions jamais de vérifier la nouvelle cotisation d'une entreprise ou d'en expliquer l'importance au contribuable (client) si cela ne fait pas partie de notre travail. Cela serait l'affaire du vérificateur ou de la vérificatrice qui a établi la nouvelle cotisation. L'agent des services à la clientèle n'expliquerait jamais pourquoi une demande péremptoire de paiement a été émise et ne la communiquerait pas non plus, encore une fois, parce que ce n'est pas le travail qu'il est payé pour accomplir.

Le SEI vous recommande de vous poser deux questions très simples : « Les renseignements qu'on me demande de fournir font-ils partie de mes fonctions normales? » ou « Ce que je m'apprête à faire est‑il une activité qui m'est confiée dans le cadre de mon travail? » Si vous répondez « non » à l'une ou l'autre des questions, vous êtes coupables d'une violation d'accès non autorisé si vous fournissez les renseignements demandés et/ou consultez le compte.

Les accès non autorisés peuvent donner lieu à des mesures disciplinaires allant de la réprimande verbale à la destitution. Si l'on vous demande, en tant qu'employé-e de l'ADRC, de fournir des renseignements de quelque source que ce soit qui ne font pas partie intégrante des fonctions qui vous sont confiées, vous devriez renvoyer la demande à la personne compétente. Le Service au public ne signifie pas que vous devez assurer tous les niveaux de service. Il signifie que vous devez renvoyer les demandes de renseignements au secteur ou à l'employé‑e compétent, qui a pour tâche de fournir les renseignements demandés.

Un accès non autorisé pourrait vous coûter votre emploi. Le SEI travaille avec l'ADRC pour tâcher d'obtenir des séances d'information sur ce qu'est un accès non autorisé. Nous espérons que ces séances seront données à tous nos membres dans un avenir prochain. D'ici que ces séances soient offertes, le SEI demande à tous ses membres de pécher par excès de prudence et de n'accéder qu'aux renseignements qui ont spécifiquement trait au travail qu'ils sont payés pour accomplir.

Solidairement,

Betty Bannon
Présidente nationale