(English follows)

Information concernant la disparition dun disque dur contenant des donnes personnelles sur des employs
Le point sur la situation pour les employs : 22 avril 2014 Linformation ci-dessous sajoute aux renseignements fournis par la commissaire par intrim la runion de tous les employs tenue le jeudi 17 avril. Jattire votre attention particulirement que nous sommes en contact avec Travaux publics et Services gouvernementaux Canada, qui accepte de travailler avec nous afin de mettre en place des mesures dauthentification supplmentaires pour confirmer lidentit des employs actuels et antrieurs du Commissariat la protection de la vie prive du Canada et du Commissariat linformation du Canada. Andra Rousseau, Directrice de lAIPRP, responsable de la protection de la vie prive Commissariat la protection de la vie prive du Canada Contexte lheure actuelle, nous croyons quun disque dur externe, qui tait branch lun de nos serveurs situs au 112, rue Kent, est disparu durant notre dmnagement le 14 fvrier. Nous croyons comprendre que le personnel a constat la disparition du disque la mi-mars, au moment o nous prouvions quelques difficults avec le serveur en question. Le 9 avril, on nous a informs que notre personnel charg des TI a dtermin que le disque dur externe contenait des renseignements personnels. Le disque dur ntait pas chiffr, mais ntait pas facilement lisible. Il avait t utilis pour reconstruire un serveur. Il y est demeur branch aprs lachvement des travaux dans le centre de donnes scuris du 112, rue Kent. Vers la fin de lt 2013, on a utilis le disque dur pour y mettre les copies de sauvegarde du systme Performance Budgeting for Human Capital. Puisque le disque tait branch au serveur, il napparaissait pas comme un disque externe au moment dy sauvegarder des donnes. Information touche

Le disque dur contenait une copie de sauvegarde du systme Performance Budgeting for Human Capital (un logiciel servant effectuer des prvisions budgtaires), dont les donnes remontaient 2002. Les renseignements personnels denviron 800 employs actuels et antrieurs du Commissariat la protection de la vie prive et du Commissariat linformation du Canada se trouvaient sur ce disque dur, soit leur nom, leur code didentification personnel (CIDP), ainsi que de linformation sur les transactions de paie et des descriptions des versements effectus (par exemple rmunration dintrim, versements forfaitaires et arrrages), ainsi que linformation qui figure gnralement dans un organigramme, notamment les niveaux de classification et les numros de poste. Le Performance Budgeting for Human Capital est un systme financier permettant de grer et de prvoir le salaire des employs. Nous lutilisons conjointement avec le Commissariat linformation du Canada. Chronologie des vnements 14 fvrier Dmnagement du 112, rue Kent au 30, rue Victoria. Mi-mars Le personnel des TI dcouvre quun disque dur devant se trouver dans le centre des donnes a disparu; il ignore ce moment que le disque contient des renseignements personnels. 9 avril Le personnel des TI dcouvre que le disque dur contenait des renseignements personnels, soit des renseignements personnels au sujet demploys. 10 avril La commissaire par intrim est avise. Elle demande que le personnel prenne des mesures additionnelles pour tablir ce qui est advenu du disque dur, confirmer les renseignements personnels quil contenait et dterminer les rpercussions et les risques potentiels sur le plan de la vie prive, puis de lui faire un compte rendu dans les vingt-quatre heures. Du 10 au 16 avril Examen de lincident et de ses rpercussions. 16 avril On avise le commissaire spcial la protection de la vie prive. 17 avril Le personnel du CPVP et du CI est inform; le Secrtariat du Conseil du Trsor est inform; des lettres sont envoyes au prsident du comit ETHI ainsi quaux prsidents de la Chambre des communes et du Snat. Dispositif manquant et donnes quil contient

De quel type de dispositif sagit-il? quoi ressemble-t-il? Il sagit dun disque LaCie de la grosseur dun petit livre. Il est orange et argent. Il ne portait aucune tiquette pouvant indiquer quil appartient au CPVP, ou ce quil contient. Pourquoi le disque dur ntait-il pas chiffr? Ce disque dur ne peut pas tre chiffr de faon indpendante. Il naurait pas d tre utilis aux fins de conservation de donnes personnelles. Toutefois, les donnes ne peuvent pas tre lues moins de disposer dun logiciel prcis et des connaissances techniques ncessaires lutilisation de celui-ci. Pourrait-on utiliser le numro de lemploy (code didentification de dossier personnel (CIDP)) pour avoir accs de linformation sur la pension ou les avantages sociaux, ou pour commettre une fraude? Selon linformation laquelle on tente davoir accs, dautres renseignements seraient ncessaires. Autrement dit, le CIDP seul ne donne pas accs dautres informations. Par mesure de prudence, nous sommes en contact avec Travaux publics et Services gouvernementaux Canada, qui accepte de travailler avec nous afin dadopter des mesures dauthentification supplmentaires pour confirmer lidentit des employs actuels et antrieurs du Commissariat la protection de la vie prive et du Commissariat linformation du Canada. Quels sont les risques pour les employs touchs? Nous en saurons plus au cours des prochaines semaines. Notre examen interne est en cours, et nous esprons qu'il sera termin dici le 25 avril 2014. Avez-vous communiqu avec la GRC? Pour le moment, nous navons aucune raison de croire que le disque dur ait t drob des fins malveillantes. Linformation remonte 2002 auriez-vous d la conserver si longtemps? Non. La priode de conservation de ce type de renseignements est de sept ans. Linformation naurait pas d tre conserve aussi longtemps. Il sagit l dune des questions que nous tudions. Mesures prises la suite de lincident Que faites-vous pour attnuer le risque quun tel incident se reproduise?

Nous prenons toutes les mesures possibles pour nous assurer que ce genre dincident ne se reproduit pas. Nous menons un examen interne que nous prvoyons le conclure dici le 25 avril 2014 et lincident sera soumis un examen externe. Nous avions dj prvu soumettre nos fonctions de TI/GI une vrification externe au cours du prsent exercice. Une valuation de la menace et des risques est galement en cours afin dvaluer la pertinence de nos mesures de scurit pour ce qui est de protger nos ressources cls, notamment linfrastructure de TI et linformation. Dans limmdiat, la lumire de cet incident, lon procdera un examen de nos politiques et procdures en matire de gestion des biens matriels et de scurit. Notification Pourquoi les employs nont-ils pas t immdiatement aviss lorsque lincident a t constat le 9 avril? Nous avons avis le personnel ds que nous avons estim avoir suffisamment dinformation pertinente fournir. Nous avons essay de localiser le lecteur manquant et dliminer les scnarios possibles. Nous voulions galement confirmer la nature des renseignements personnels quil contenait et dterminer les rpercussions possibles sur la protection de la vie prive ainsi que les risques ventuels. De plus, en raison de la faon dont les donnes taient configures, il sest avr laborieux de dterminer ce qui se trouvait sur le lecteur. Nous navions pas suffisamment dinformation pour aviser le personnel avant le 17 avril. Mme ce moment, de nombreuses questions demeurent sans rponse puisque notre examen de la situation se poursuit. Vous avez avis les employs actuels du CPVP et du CI propos de latteinte. Quen est-il des anciens employs? Nous avons commenc aviser ces personnes. Nous poursuivons le signalement par courrier au cours des prochains jours. Pourquoi ne diffusons-nous pas un communiqu propos de lincident? Nous prvoyons que cet incident sera rendu public. Nous serons tout fait transparents et rpondrons toutes les questions des journalistes et des intervenants concernant lincident.

 lheure actuelle, nous navons mme pas eu loccasion dinformer toutes les personnes touches. Nous tions davis quil ntait pas appropri de publier un communiqu sans avoir pralablement communiqu avec les personnes touches par latteinte. Nous avons avis le personnel actuel ainsi que dautres personnes qui, selon nous, devaient tre averties immdiatement plus prcisment, le commissaire spcial la protection de la vie prive, le Secrtariat du Conseil du Trsor, et le Parlement. Que devrais-je dire si des intervenants me posent des questions propos de latteinte? Le courriel de notification de la commissaire par intrim destin au personnel permet dtablir ltat actuel de notre analyse. Puisque de nombreuses questions demeurent sans rponse, il serait important de ne pas mettre dhypothses qui pourraient donner lieu des renseignements errons dans le domaine public. Vous pouvez trs certainement dire aux intervenants que notre examen interne se poursuit et que nous en saurons plus au sujet de lincident au cours des prochaines semaines. Craignez-vous que cela naffecte votre crdibilit dans vos relations avec dautres organisations? Nous avons de bonnes relations avec les organisations sous notre surveillance. Jespre que ces dernires continueront de considrer notre approche comme tant raisonnable, juste et quilibre. Nous devons dmontrer une prise en charge de nos responsabilits dans la faon dont nous grons lincident cest ce que nous attendrions dune autre organisation. Commissaire spcial la protection de la vie prive Quels sont les pouvoirs du commissaire spcial la protection de la vie prive? En 2007, notre bureau est devenu assujetti la Loi sur la protection des renseignements personnels. Nous tions davis quil tait important quun mcanisme indpendant soit mis en place pour enquter sur nos propres actions en ce qui a trait ladministration de la Loi sur la protection des renseignements personnels. Lactuel commissaire spcial la protection de la vie prive est M. John H. Sims, qui la commissaire a dlgu la majorit de ses pouvoirs, devoirs et fonctions prvus aux articles 29 35 et larticle 42 de la Loi, afin quil puisse faire enqute sur les plaintes dposes contre le CPVP relativement la Loi sur la protection des renseignements personnels. Une courte notice biographique de M. Sims est affiche sur notre site Web. M. Sims a pris sa retraite de la fonction publique fdrale en 2010 aprs 32 ans de service, dont cinq en tant que

sous-ministre de la Justice et sous-procureur gnral du Canada. En 2010, le Premier ministre lui a dcern le prestigieux Prix pour services insignes de la fonction publique du Canada. M. Sims est membre du Barreau de lOntario. Est-ce que le commissaire spcial la protection de la vie prive fera enqute sur cet incident? Nous avons avis le commissaire spcial la protection de la vie prive afin quil puisse dterminer si des mesures supplmentaires sont requises. De plus, nous travaillons aviser les employs actuels et antrieurs touchs de leur droit de porter plainte auprs du commissaire spcial la protection de la vie prive. Si le commissaire spcial la protection de la vie prive dcide de ne pas faire enqute y aura-t-il un examen externe indpendant au sujet de lincident? Oui, tout fait. Nous attendons de voir comment les choses se drouleront avec le commissaire spcial. Nous tudions dj dautres options concernant un examen externe indpendant. Renseignements supplmentaires Qui peut me fournir dautres renseignements?
Si vous avez des questions ou avez besoin de renseignements supplmentaires, veuillez communiquer avec Andra Rousseau, responsable de la protection de la vie prive au CPVP, au 819-994-5970 ou andrea.rousseau@priv.gc.ca.

Information about the Disappearance of a Hard Drive Containing Employees Personal Data
Further to the information provided by the Interim Commissioner at our all-staff meeting on Thursday, April 17th, please find below additional details. In particular, please note that we have been in contact with Public Works and Government Services Canada and they have agreed to work with us to adopt additional authentication measures to verify the identities of current and former employees of the Office of the Privacy Commissioner of Canada and the Office of the Information Commissioner of Canada. Andra Rousseau, ATIP Director, Chief Privacy Officer Office of the Privacy Commissioner of Canada Background

We believe that an external hard drive, which had been attached to one of our servers at 112 Kent, disappeared during our move on February 14th. We understand that staff noticed the drive was missing in mid-March, when we experienced some difficulty with that server. We have been told that on April 9th, our IT staff realized that the missing external hard drive contained personal information. The drive was not encrypted, however, it was not readily readable. The drive had been used in the reconstruction of a server. It remained attached to the server infrastructure after the reconstruction of the server was complete. It was located in our secure data centre at 112 Kent. Later in the summer of 2013, the drive was used to back up our Performance Budgeting for Human Capital system. As it was connected to the server, it did not appear to be an external drive when saving the data to the system. Affected information The hard drive contained information from our Performance Budgeting for Human Capital system dating back to 2002. The personal information of approximately 800 current and former employees of the Office of the Privacy Commissioner of Canada and the Office of the Information Commissioner of Canada was held on the drive; specifically: names, employee number (PRI), pay transaction information and payment descriptions (for example, acting payments, lump sum payments and arrears). The drive also contained information typically found in an organizational chart, such as classification levels and position numbers. The Performance Budgeting for Human Capital system is the financial system used to manage and forecast employee salaries. Our Office shares the system with the Office of the Information Commissioner of Canada. Timeline Feb 14 - Move from 112 Kent to 30 Victoria Mid-March IT staff became aware that a hard drive normally located in our secure data centre had disappeared. The staff members who discovered the drive was missing didnt realize that it held personal information. April 9 IT staff became aware that the hard drive contained personal information; specifically, the personal information of employees.

April 10 The Interim Commissioner was advised. She requested that staff undertake further steps in an effort to determine what had happened to the drive, confirm what personal information the drive contained, and what the potential privacy implications and risks were; and report back to her in 24 hours. April 10 to 16 Ongoing review of the incident and its implications. April 16 Privacy Commissioner, Ad Hoc is informed. April 17 - Employees at OPC and OIC are informed; Treasury Board Secretariat is informed; letters are sent to inform the Chair of the ETHI Committee and Speakers of both the House of Commons and the Senate. Missing device and data it holds Exactly what kind of device was it? What does it look like? It was a LaCie Drive. It is about the size of a small book. It is orange and silver. It was not labelled to indicate that it belonged to the OPC; nor was there any information to indicate what was on the drive. Why wasnt this hard drive encrypted? The drive in question cannot independently support encryption. However, it can only be read with a specific software and with the technical knowledge to use it. Could an employee number (Personal Record Identifier - PRI) be used to access, for example, pension or benefits information, or to commit fraud? Depending on the information you are trying to access, you would need other types of information. In other words, a PRI on its own does not provide access to other information. As a precautionary measure, we have been in contact with Public Works and Government Services Canada and they have agreed to work with us to adopt additional authentication measures to verify the identities of current and former employees of the Office of the Privacy Commissioner of Canada and the Office of the Information Commissioner of Canada. What is the risk to those affected? We will know more in the coming weeks. Our internal review is ongoing and we expect it will be concluded by April 25, 2014. Have you contacted the RCMP?

At this time, we have no reason to believe the drive was taken for malicious purposes. This information dates back to 2002 should you have been keeping it that long? No. The retention period for this information is seven years. It should not have been kept for so long. This is one of the issues we are examining. Response to the Incident What are you doing to mitigate the risk in the future? We are taking every possible step to ensure this kind of incident doesnt happen again. We are conducting an internal review and we expect it will be concluded by April 25th, 2014. There will also be an external review of the incident. We had already planned for an external audit of our IT/IM functions during this fiscal year. A threat and risk assessment is also underway to evaluate the adequacy of our security measures to protect key assets, including IT infrastructure and information. In light of the incident, there will also be an immediate review of our physical asset management and security policies and procedures. Notification Why werent employees immediately notified when this incident came to light on April 9th? We informed staff as soon as we felt we had enough accurate information to provide. We wanted to try to locate the missing drive and rule out possible scenarios. We also wanted to confirm what personal information the drive contained, and what the potential privacy implications and risks may be. As well, determining exactly what information was on the drive has proven to be timeconsuming because of the way the data is configured. We did not have enough information to notify staff earlier than April 17th. Even at that point, many questions remain unanswered as our review of the situation is ongoing. You have notified current employees at OPC and OIC about the breach. What about former employees? We have begun notifying those individuals and will continue to do so in the coming days.

Why arent we issuing a news release about the incident? We fully anticipate this incident will become public knowledge. We will be fully transparent and answer all questions about the incident from journalists and other stakeholders. However, at this point, we have not even had the opportunity to inform all of the people affected. We didnt think it would be appropriate to issue a news release without having reached out to those affected. We have notified current staff as well as others we felt should be advised immediately specifically, the Privacy Commissioner, ad hoc; Treasury Board Secretariat; and Parliament. What should I say if stakeholders ask me about the breach? The Interim Commissioners notification email to staff sets out our current understanding of the incident. Given that many unanswered questions remain, it would be important not to offer speculative comments which could result in misinformation in the public domain. You can certainly tell stakeholders that our internal review is continuing and that we will know more about the incident in the coming weeks. Do you worry this will affect your credibility when dealing with other organizations? We have a good relationship with the organizations we oversee. I hope they will continue to see us as reasonable, fair and balanced in our approach. Whats important is that we demonstrate accountability in how we handle the incident thats what we would expect of others. Privacy Commissioner, Ad Hoc What are the powers of a Privacy Commissioner, ad hoc? In 2007, our Office became subject to the Privacy Act. We were of the view that it is important that our Office has an independent mechanism for investigating its own actions with respect to the administration of the Privacy Act. The current Privacy Commissioner, ad hoc is Mr. John H. Sims, to whom the Privacy Commissioner has delegated the majority of her powers, duties and functions as set out in sections 29 through 35 and section 42 of the Act in order that he can investigate Privacy Act complaints lodged against the OPC. A brief biography of Mr. Sims is available on our website. Mr. Sims retired from the Public Service of Canada in 2010 after 32 years, five as Deputy Minister of Justice and Deputy Attorney General of Canada. In 2010, the Prime Minister presented Mr. Sims with the prestigious

Outstanding Achievement Award of the Public Service of Canada. He is a member of the Ontario Bar. Will the Privacy Commissioner, Ad Hoc investigate this incident? We have notified the Privacy Commissioner, Ad Hoc, so that he can determine whether additional action is required. As well, we are advising affected current and past employees that they have the right to complain to the Privacy Commissioner, Ad Hoc. What if the Privacy Commissioner, Ad Hoc does not choose to investigate will there be an independent external review of the incident? Yes, absolutely. We are waiting to see how matters unfold in relation to the Privacy Commissioner, Ad Hoc, and are already exploring other options for an independent external review. Further information Who can provide me with further information?
If you have any questions or require additional information, please contact the OPCs Chief Privacy Officer, Andra Rousseau at 819-994-5970 or andrea.rousseau@priv.gc.ca.