Résumé de l'EFVP sur la migration d'OTNhub vers le nuage

Date du rapport de l'EFVP : 12 février 2020 (l'EFVP reflète les renseignements reçus jusqu'à cette date) 

Date de la dernière révision et mise à jour du résumé de l'EFVP : 9 mai 2025

Ce qui suit est un résumé de l'évaluation des facteurs relatifs à la vie privée (EFVP) mentionnée ci-dessus, y compris un bref aperçu du projet de migration d'OTNhub vers le nuage, les principales conclusions, les risques et recommandations, ainsi que les dates cibles d'achèvement.  L'EFVP relative à la migration d'OTNhub vers le nuage a été initialement réalisée par un consultant externe en février 2020. En octobre 2020, l'EFVP a été mise à jour afin de refléter le transfert du Réseau Télémédecine Ontario (RTO) à Santé Ontario. Aucun risque supplémentaire n'a été relevé en lien avec ce transfert. Si vous avez des questions, consultez notre page de contact sur la vie privée pour savoir comment contacter le Bureau de la protection de la vie privée de Santé Ontario.

Contexte

Santé Ontario gère l'un des programmes de visites virtuelles les plus vastes et les plus complets au monde. Grâce à des technologies de l'information et de communication avancées, Santé Ontario soutient la prestation de soins cliniques, de formations professionnelles et de services administratifs liés à la santé dans l'ensemble de l'Ontario. Les services de Santé Ontario comprennent des consultations cliniques et éducatives en temps réel par vidéoconférence, ainsi que des programmes de stockage et de transmission asynchrones. 

Santé Ontario favorise l'innovation en matière de soins virtuels afin que la population de l'Ontario puisse recevoir les soins dont elle a besoin, au moment et à l'endroit où elle en a besoin : à domicile, dans leur communauté ou à l'hôpital. Depuis plus d'une décennie, Santé Ontario améliore l'accès aux soins et à l'éducation à l'échelle de la province grâce à l'un des réseaux de visites virtuelles les plus étendus au monde. En collaboration avec de nombreux partenaires et en tirant parti de son expertise unique en soins de santé et en technologie numérique, Santé Ontario répond aux défis du système de santé en introduisant et en déployant de nouvelles méthodes de prestation de soins qui profitent aux patients, aux fournisseurs de soins de santé et au système de santé. 

OTNhub constitue la plateforme de base sur laquelle reposent de nombreux services de soins virtuels offerts par Santé Ontario. La plateforme OTNhub fournit une communauté privée et sécurisée qui utilise des solutions de soins virtuels pour communiquer avec les patients, leur offrir des soins et discuter avec des pairs et des spécialistes. Les utilisateurs d'OTNhub se connectent à OTNhub pour accéder aux services de Santé Ontario auxquels ils sont abonnés, y compris eConsultation, la messagerie sécurisée, eVisite et le répertoire. Actuellement, l'infrastructure d'OTNhub est hébergée sur site, mais elle vieillit, ce qui entraîne des pannes prolongées et imprévues. De plus, les déploiements nécessitent de longues séances nocturnes, ce qui aggrave les périodes de temps d'arrêt et entraîne des mises à jour moins fréquentes que souhaité. Santé Ontario a donc décidé de migrer l'infrastructure sur site d'OTNhub vers des centres de données canadiens hébergés par Amazon Web Services (AWS). 

De plus, l'infrastructure de vidéoconférence, auparavant basée sur la technologie Vidyo, a récemment été remplacée par la technologie Pexip. L'infrastructure de vidéoconférence eVisite est utilisée à la fois par le matériel de vidéoconférence installé dans les salles de réunion des clients et pour l'hébergement de séances de vidéoconférence personnelles à partir d'appareils individuels tels que des ordinateurs portables et des appareils mobiles. Les serveurs de contrôle utilisés par les services de vidéoconférence de Santé Ontario demeureront dans les locaux de Santé Ontario, mais les serveurs Pexip, qui hébergent les flux de vidéoconférence, ainsi que les applications de planification Telemedicine Service Manager (TSM) et Ncompass, seront hébergés sur AWS. 

Cette EFVP a permis d'identifier six (6) risques et/ou domaines d'amélioration de la protection de la vie privée, dont trois (3) à risque élevé et trois (3) à risque modéré. Les conclusions, observations et recommandations présentées dans ce rapport reposent sur l'examen de la documentation du projet au moment de l'évaluation.

Principales conclusions

L'analyse de la protection de la vie privée de l'initiative a permis d'identifier six risques. La politique d'EFVP de Santé Ontario recommande que tous les risques élevés et modérés soient atténués à un niveau acceptable avant la mise en service d'un projet. Par conséquent, les recommandations suivantes devraient être mises en œuvre avant ou lors du lancement du projet. Les recommandations devraient permettre de réduire les cotes de «  élevé » à « modéré » et de « modéré » à « faible ». Les risques jugés faibles devraient être atténués dans un délai raisonnable déterminé par l'équipe de protection de la vie privée. 

Les définitions des niveaux de risque utilisées pour évaluer chaque écart identifié sont disponibles sur demande. 

Risques et recommandations

L'EFVP formule les risques et recommandations suivantes :

Risque 1 : L'architecture détaillée de l'infrastructure de Santé Ontario hébergée sur Amazon Web Services (AWS) ou des interfaces avec Santé Ontario et d'autres systèmes n'est pas connue et pourrait ne pas avoir été entièrement développée au moment de l'évaluation. Bien qu'AWS offre de nombreuses mesures de sécurité, sans connaissance détaillée de l'architecture ni de la configuration et de la maintenance des ressources AWS, il est possible que des vulnérabilités de sécurité inconnues subsistent dans l'infrastructure migrée, pouvant mener à un accès non autorisé aux données de Santé Ontario. 

Niveau de risque : Élevé

Recommandations : Une fois l'architecture AWS post-migration finalisée (et avant la mise en production), effectuer une évaluation complète des menaces et des risques (EMR). 

État : Terminé

Risque 2 : Les procédures actuelles de consolidation et de surveillance des journaux ne tiennent pas compte de la gestion des journaux générés par AWS. Il n'est pas encore connu quels journaux AWS seront produits ni quel niveau de détail ils contiendront. Il n'est pas non plus déterminé comment le personnel de Santé Ontario surveillera ces journaux, c'est-à-dire s'il utilisera les capacités de surveillance offertes par AWS ou s'il intégrera les nouveaux journaux AWS à l'infrastructure existante de surveillance et de consolidation des journaux. Si l'infrastructure et les procédures de surveillance de Santé Ontario ne collectent pas et ne surveillent pas adéquatement les journaux d'audit, il est possible 

que des incidents de sécurité passent inaperçus, augmentant ainsi la gravité des atteintes potentielles. 

Niveau de risque : Élevé

Recommandations : Une fois l'architecture AWS post-migration finalisée (et avant la mise en production), effectuer une évaluation complète des menaces et des risques. 

État : Terminé

Risque 3 : La migration est effectuée en quatre phases, ce qui implique de nombreux changements entre celles-ci, tels que l'ajout de nouveaux composants, la modification des connexions entre composants, etc. Ces changements entre les phases pourraient introduire des vulnérabilités inconnues susceptibles d'exposer des RPS.

Niveau de risque : Élevé

Recommandations : S'assurer qu'une évaluation des menaces et des risques soit réalisée pour chaque phase de migration avant sa mise en service. Que ces évaluations soient incluses dans l'EMR recommandée précédemment ou effectuées sous forme d'évaluations différentielles avant chaque phase dépendra du niveau de détail connu concernant l'ensemble des phases de migration au moment de l'évaluation initiale, ainsi que d'autres facteurs pertinents pour Santé Ontario. 

État : Terminé

Risque 4 : L'Entente d'utilisation d'OTNhub (juin 2018) ne reconnaît pas explicitement que les données des clients de Santé Ontario, y compris les RPS, peuvent être traitées dans le cadre de services fournis par des fournisseurs de services tiers. Sans reconnaissance de l'utilisation par Santé Ontario de fournisseurs de services tiers, il existe un manque de transparence et d'ouverture ainsi qu'un risque de plaintes futures concernant le recours de Santé Ontario à ces fournisseurs de services tiers. Les conditions d'utilisation d'OTNhub pour les organismes membres (juin 2018) reconnaissent l'utilisation de fournisseurs de services tiers, mais ne précisent pas que ces fournisseurs peuvent être situés dans une juridiction étrangère. En l'absence de cette reconnaissance, il existe un manque de transparence et d'ouverture ainsi qu'un risque de plaintes futures concernant le recours de Santé Ontario à des fournisseurs de services tiers. 

Niveau de risque : Modéré

Recommandations : Conformément aux pratiques exemplaires et par souci de transparence envers les clients de Santé Ontario, Santé Ontario devrait modifier l'Entente d'utilisation d'OTNhub (juin 2018) afin d'y préciser clairement que les données de l'utilisateur, y compris les renseignements personnels sur la santé (RPS), peuvent être traitées et stockées par un fournisseur de services tiers assujetti aux lois d'une juridiction étrangère, pour le compte de Santé Ontario. Dans cette optique, Santé Ontario devrait envisager d'inclure un libellé faisant référence à l'engagement d'AWS en matière de protection de la vie privée et de sécurité (par exemple, sa conformité aux normes ISO) ainsi qu'à tout autre facteur d'atténuation pertinent. 

Afin d'assurer une transparence complète et de réduire le risque de plaintes éventuelles, Santé Ontario devrait aussi modifier les conditions d'utilisation d'OTNhub pour les organismes membres (juin 2018) afin d'y ajouter une mention concernant le recours à un fournisseur de services tiers assujetti aux lois d'une juridiction étrangère. 

Par ailleurs, l'avis de confidentialité sur la protection des renseignements personnels devrait être mis à jour pour indiquer clairement que les données, y compris les RPS, peuvent être traitées et stockées par AWS, un fournisseur de services tiers assujetti à une juridiction étrangère. 

État : Terminé

Risque 5 : Santé Ontario utilise le service de gestion des clés (KMS) administré par AWS pour gérer ses clés de chiffrement. Il existe un risque potentiel que des administrateurs d'AWS, par un abus délibéré de privilèges, contournent les mesures de contrôle mises en place par AWS pour restreindre l'accès aux clés principales de Santé Ontario et déchiffrent les données de Santé Ontario stockées dans les bases de données AWS. Le degré de vulnérabilité ne peut être déterminé dans le cadre d'une EFVP, car cela nécessite une évaluation technique approfondie; Santé Ontario doit donc déterminer son seuil de tolérance au risque pour les RPS détaillés qui seront stockés sur AWS. 

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait s'assurer que l'évaluation des menaces et des risques (EMR) recommandée précédemment inclue une analyse technique des deux services de gestion des clés offerts par AWS - KMS (géré par AWS) et CloudHSM (géré par Santé Ontario). L'évaluation devrait comparer les risques associés à l'accès d'AWS par rapport à la gestion interne des clés par Santé Ontario et recommander les mesures à prendre pour mieux protéger les données de Santé Ontario stockées sur AWS. 

État : Terminé

Risque 6 : Bien que Santé Ontario ait modifié son accord d'entreprise avec AWS de manière à ce qu'il soit régi par les lois de l'Ontario, AWS, en tant que société, demeure assujettie aux lois et à la juridiction des États-Unis et pourrait recevoir des demandes d'accès aux données de la part de diverses entités, y compris des organismes d'application de la loi aux États-Unis (É.-U).

Niveau de risque : Modéré

Recommandations : Santé Ontario devrait élaborer une procédure documentée pour traiter les situations où AWS recevrait une demande d'accès à des données hébergées pour Santé Ontario. La procédure devrait envisager les options à la disposition de Santé Ontario pour empêcher la divulgation des données de Santé Ontario par AWS et préciser les intervenants clés, leurs rôles et leurs responsabilités. 

Santé Ontario devrait s'assurer que cette question soit incluse dans l'évaluation des risques recommandée au risque n° 5. 

Si Santé Ontario décidait de mettre en œuvre des clés de chiffrement gérées par Santé Ontario, cela rendrait difficile pour AWS de se conformer à d'éventuelles assignations ou mandats américains. 

Santé Ontario devrait élaborer des lignes directrices internes concernant l'utilisation par Santé Ontario de nouvelles ressources AWS, y compris en examinent toutes les nouvelles ressources AWS afin de garantir que les données de Santé Ontario demeurent sous le contrôle de Santé Ontario au Canada. 

État : Terminé