Section 1 : B2B – Communication des résultats aux tests de l’OQRE
L’échange interentreprises (B2B), un type de commerce électronique (cybercommerce), est l’échange de produits, de services ou d’informations entre entreprises. Une transaction B2B (fichiers de données et rapports) est effectuée entre l’OQRE et des parties prenantes externes (écoles publiques, conseils scolaires et ministère de l’Éducation).
Annexe 1 : B2B – Communication des résultats aux tests de l’OQRE : caractéristiques et gestion
- Direction d’école
- Personne-ressource du conseil scolaire (primaire / moyen / 9e année / Personne-ressource du conseil d’évaluation du TPCL)
- Personne-ressource en technologie de l’information du conseil scolaire
- Directrice ou directeur de l’éducation / Surintendantes ou surintendants
- Membre du personnel éducatif/enseignant
- Personne-ressource en technologie de l’information de l’école
- Utilisateur de RP de l’OQRE
- Utilisateur de RP du gouvernement de l’Ontario
Section 1: B2B – Communication des résultats aux tests de l’OQRE
Rôles et responsabilités
- L’accès aux données et aux résultats des tests est basé sur le rôle de l’utilisateur (voir l’annexe 1 pour les détails sur la gestion des comptes).
- Les utilisateurs doivent confirmer qu’ils sont bien des utilisateurs autorisés, à la demande de l’OQRE.
- La division des services en technologies de l’information (STI) de la fonction publique de l’Ontario (FPO) fournit à l’OQRE une solution de gestion des identités et des accès (GIA) B2B qui répond aux besoins commerciaux de l’OQRE, respecte les normes NTI-GO sur l’identité, l’authentification et l’autorisation (IAA) et s’aligne sur la stratégie de GIA de la FPO.
- L’équipe de production de la solution B2B de l’OQRE met en œuvre une GIA B2B pour la FPO.
- L’utilisation d’appareils personnels – y compris (mais sans s’y limiter) les ordinateurs personnels, les téléphones cellulaires et les tablettes – est strictement interdite pour accéder aux résultats des tests et aux fichiers de données de l’OQRE. Seul l’équipement de l’école ou du conseil scolaire doit être utilisé pour le téléchargement des résultats des tests et des fichiers de données.
- Les conseils scolaires
- veillent à la protection de la vie privée et à la sécurité des renseignements (y compris les renseignements personnels) que l’OQRE partage avec eux, y compris lorsque les renseignements sont partagés avec des écoles relevant de leur compétence.
- déterminent les membres du personnel qui ont besoin d’un accès et les compétences requises selon l’accès accordé.
- informent l’OQRE dès qu’un membre du personnel ayant accès aux données ou aux résultats des tests ne travaille plus pour le conseil scolaire.
- informent les utilisateurs des systèmes de l’OQRE au moins une fois par an du contenu de cette section (section 1) de la Politique de gestion des comptes de l’OQRE.
- Le personnel des conseils scolaires et du ministère veillent à ce que les résultats des tests et les fichiers de données partagés par l’OQRE ne soient utilisés qu’aux fins pour lesquelles ils ont été partagés, conformément aux objectifs de la Loi sur l’OQRE et de la Loi sur l’éducation, tels qu’identifiés dans l’avis de collecte de renseignements de l’OQRE.
- Il est prévu que les données partagées avec le ministère ne soient pas utilisées pour dupliquer des tâches déjà effectuées par l’OQRE.
Privilèges – Communication des résultats des tests sur Power BI :
l’accès aux résultats des tests sera basé sur le rôle de l’utilisateur, selon les règles suivantes, par échelle de résultats :
- Résultats à l’échelle de la province : tous les rôles ont accès aux résultats avec suppression (données agrégées supprimant les comptes inférieurs à 10).
- Résultats à l’échelle du conseil scolaire : chaque conseil scolaire a accès aux résultats sans suppression (données agrégées qui comprennent tous les comptes, même ceux inférieurs à 10) de son conseil et aux résultats avec suppression des autres conseils. De plus, l’accès aux résultats avec suppression de tous les conseils scolaires est également accordé aux rôles suivants : direction d’école, membre du personnel éducatif/enseignant, personne-ressource en technologie de l’information de l’école.
- Résultats à l’échelle de l’école : chaque école a accès aux résultats sans suppression de son école et aux résultats avec suppression des autres écoles. Les conseils scolaires ont accès aux résultats sans suppression de toutes les écoles de leur conseil et aux résultats avec suppression de toutes les écoles des autres conseils.
- Le personnel autorisé de l’OQRE et du ministère de l’Éducation a accès à l’ensemble des résultats.
Privilèges – Partage de fichiers de données :
l’accès aux fichiers sera également basé sur le rôle de l’utilisateur, selon les règles suivantes, par échelle de type de fichier :
- Données à l’échelle de la province : l’accès aux fichiers de données agrégées avec suppression et sans suppression est accordé aux personnes-ressources en technologie de l’information des conseils scolaires, aux directrices ou directeurs de l’éducation, aux surintendantes ou surintendants et aux utilisateurs autorisés de la Direction de la statistique et de l’analyse de l’éducation (DSAE) du ministère de l’Éducation.
- Données à l’échelle du conseil scolaire : l’accès aux données agrégées avec et sans suppression du conseil scolaire et des écoles est accordé à tous les contacts identifiés du conseil scolaire en question.
- Données à l’échelle de l’école : les demandes des écoles concernant les fichiers de données individuelles de l’élève ou les fichiers de données du Questionnaire à l’intention de l’élève seront adressées à leur conseil scolaire respectif et seront fournies au cas par cas. Les rôles au sein du conseil scolaire (personne-ressource en technologie de l’information, directrice ou directeur de l’éducation et surintendantes ou surintendants) auront accès aux données relatives à ces fichiers pour les écoles relevant de leur compétence. Les utilisateurs de la DSAE du ministère de l’Éducation auront accès aux données relatives aux fichiers de données de toutes les écoles.
- Le personnel autorisé de l’OQRE et de la Direction de la statistique et de l’analyse de l’éducation du ministère de l’Éducation a accès à tous les fichiers de données.
Réidentification :
- Les utilisateurs autorisés qui ont accès à des informations agrégées et dépersonnalisées ne doivent pas tenter de réidentifier un individu à partir de ces informations.
Audits :
- Des audits de tous les comptes sont effectués automatiquement tous les six mois.
- Les conseils scolaires peuvent vérifier les comptes des écoles au moins une fois par an.
- L’OQRE peut vérifier les comptes des conseils scolaires au moins une fois par an.
Résultats réservés aux conseils scolaires :
- Les conseils scolaires disposent d’un accès exclusif aux résultats suivants : l’auto-identification autochtone, les besoins particuliers détaillés, les adaptations détaillées, ainsi que le Questionnaire à l’intention du personnel enseignant et le Questionnaire à l’intention de la direction d’école.
- Les résultats selon l’auto-identification autochtone ou les besoins particuliers seront diffusés de manière sécurisée pour être utilisés par les écoles et les conseils scolaires dans le cadre de leurs activités de planification. Ces résultats ne seront pas rendus publics.
Sécurité :
- Les NIP ou les mots de passe ne seront pas utilisés à la place du cryptage, car SharePoint Online crypte automatiquement les fichiers.
- Puisque les renseignements personnels seront divulgués dans le fichier des données individuelles de l’élève pour les conseils scolaires, le ministère (et les écoles si elles le demandent) doit suivre les pratiques d’Azure en matière de confidentialité et de sécurité.
Gestion de la vie privée, des incidents et des atteintes :
un modèle de soutien élaboré entre l’OQRE et la division des STI englobera les éléments suivants :
- Les conseils scolaires veillent à la protection des renseignements personnels qui leur sont communiqués par l’OQRE (ils peuvent élaborer des politiques et des procédures à cette fin).
- Toutes les demandes de renseignements et tous les incidents liés au B2B seront signalés au service des communications de l’OQRE.
- Si une atteinte potentielle à la vie privée est signalée, elle sera acheminée en fonction des détails de l’atteinte.
- Si elle est liée à un événement interne de l’OQRE, ce dernier suivra la procédure interne d’atteinte à la vie privée de l’OQRE pour mener une enquête plus approfondie.
- Si elle est liée à la solution GIA pour le B2B, l’OQRE signalera l’atteinte à la division des STI de la même manière que tout autre incident.
- Toutes les atteintes passent par le processus standard de gestion des incidents et sont acheminées par l’agent du centre de services vers le groupe d’assistance approprié en fonction de la nature de l’atteinte – par l’intermédiaire du centre de traitement de données et de la division de la cybersécurité.
Formation
- Le personnel du service des communications de l’OQRE recevra une formation sur la gestion des atteintes et des incidents.
Appendix 1: B2B – Communication des résultats aux tests de l’OQRE : caractéristiques et gestion
Direction d’école
Description
- A accès aux résultats de l’OQRE.
- N’a pas accès aux fichiers de données; en cas de demande, la direction d’école sera redirigée vers son conseil scolaire respectif. L’accès direct sera décidé au cas par cas.
Renseignements personnels (RP) contenus
- Non, à l’exception d’un accès direct approuvé aux fichiers de données.
Utilisateurs autorisés
- Les conseils scolaires ont un nombre limité d’approbateurs (5), qui approuvent l’accès à l’échelle de l’école et du conseil.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si la direction de l’école ne s’est pas connectée pendant six mois, le système bloquera automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par les conseils scolaires.
- L’OQRE ne révoquera un accès que si un conseil le demande ou si l’OQRE constate qu’un utilisateur utilisait les renseignements d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, les conseils scolaires devraient vérifier les comptes au moins une fois par an, car les directions d’école peuvent changer d’école ou de conseil.
Personne-ressource du conseil scolaire (primaire / moyen / 9e année / Personne-ressource du conseil d’évaluation du TPCL)
Description
- A accès aux résultats de l’OQRE.
- N’a pas accès aux fichiers de données; en cas de demande, la personne-ressource du conseil scolaire sera redirigée vers la personne-ressource en technologie de l’information du conseil scolaire concernée.
Renseignements personnels (RP) contenus
- Non.
Utilisateurs autorisés
- Les conseils scolaires ont un nombre limité d’approbateurs (5), qui approuvent l’accès à l’échelle de l’école et du conseil.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si la personne-ressource du conseil d’évaluation ne s’est pas connectée pendant six mois, le système bloquera automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par les conseils scolaires.
- L’OQRE ne révoquera un accès que si un conseil le demande ou si l’OQRE constate qu’un utilisateur utilisait les renseignements d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, les conseils scolaires devraient vérifier les comptes au moins une fois par an, car le personnel autorisé du conseil scolaire peut changer.
Personne-ressource en technologie de l’information du conseil scolaire
Description
- A accès aux résultats de l’OQRE.
- Reçoit les données agrégées et élémentaires (fichiers téléchargés).
Renseignements personnels (RP) contenus
- Oui (tous les RP figurant dans les fichiers de données).
Utilisateurs autorisés
- Les conseils scolaires ont un nombre limité d’approbateurs (5), qui approuvent l’accès à l’échelle de l’école et du conseil.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
- Certains conseils peuvent disposer d’une intégration automatique des utilisateurs mis à jour.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si la personne-ressource en technologie de l’information du conseil scolaire ne s’est pas connectée pendant six mois, le système bloquera automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par les conseils scolaires.
- L’OQRE ne révoquera un accès que si un conseil le demande ou si l’OQRE constate qu’un utilisateur utilisait les renseignements d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, les conseils scolaires devraient vérifier les comptes au moins une fois par an, car le personnel autorisé du conseil scolaire peut changer.
Directrice ou directeur de l’éducation / Surintendantes ou surintendants
Description
- A accès aux résultats de l’OQRE.
- Reçoit les données agrégées et élémentaires (fichiers téléchargés).
Renseignements personnels (RP) contenus
- Oui (tous les RP figurant dans les fichiers de données).
Utilisateurs autorisés
- Les conseils scolaires ont un nombre limité d’approbateurs (5), qui approuvent l’accès à l’échelle de l’école et du conseil.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
- Certains conseils peuvent disposer d’une intégration automatique des utilisateurs mis à jour.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si la directrice ou le directeur de l’éducation/la personne à la surintendance ne s’est pas connectée pendant six mois, le système bloque automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par les conseils scolaires.
- L’OQRE ne révoquera un accès que si un conseil le demande ou si l’OQRE constate qu’un utilisateur utilisait les renseignements d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, les conseils scolaires devraient vérifier les comptes au moins une fois par an, car le personnel autorisé du conseil scolaire peut changer.
Membre du personnel éducatif/enseignant
Description
- A accès aux résultats de l’OQRE.
- N’a pas accès aux fichiers de données; en cas de demande, le membre du personnel éducatif/enseignant sera redirigé vers la personne-ressource en technologie de l’information du conseil scolaire concernée.
Renseignements personnels (RP) contenus
- Non.
Utilisateurs autorisés
- Les conseils scolaires ont un nombre limité d’approbateurs (5), qui approuvent l’accès à l’échelle de l’école et du conseil.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
- Certains conseils peuvent disposer d’une intégration automatique des utilisateurs mis à jour.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si le membre du personnel éducatif/ enseignant ne s’est pas connecté pendant six mois, le système bloque automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par les conseils scolaires.
- L’OQRE ne révoquera un accès que si un conseil le demande ou si l’OQRE constate qu’un utilisateur utilisait les renseignements d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, les conseils scolaires devraient vérifier les comptes au moins une fois par an, car le personnel autorisé de l’école peut changer d’école ou de conseil scolaire.
Personne-ressource en technologie de l’information de l’école
Description
- A accès aux résultats de l’OQRE.
- N’a pas accès aux fichiers de données; en cas de demande, la personne-ressource en TI de l’école sera redirigée vers la personne-ressource en technologie de l’information du conseil scolaire concernée.
Renseignements personnels (RP) contenus
- Non.
Utilisateurs autorisés
- Les conseils scolaires ont un nombre limité d’approbateurs (5), qui approuvent l’accès à l’échelle de l’école et du conseil.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
- Certains conseils peuvent disposer d’une intégration automatique des utilisateurs mis à jour.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si la personne-ressource en technologie de l’information de l’école ne s’est pas connectée pendant six mois, le système bloquera automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par les conseils scolaires.
- L’OQRE ne révoquera un accès que si un conseil le demande ou si l’OQRE constate qu’un utilisateur utilisait les renseignements d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, les conseils scolaires devraient vérifier les comptes au moins une fois par an car le personnel autorisé de l’école peut changer.
Utilisateur de RP de l’OQRE
Description
- A accès aux résultats de l’OQRE pour toutes les écoles et tous les conseils scolaires.
- Reçoit les données agrégées et élémentaires pour toutes les écoles et tous les conseils scolaires (fichiers téléchargés).
Renseignements personnels (RP) contenus
- Oui (tous les RP figurant dans les fichiers de données).
Utilisateurs autorisés
- L’OQRE dispose d’un nombre limité d’approbateurs, qui approuvent les utilisateurs de RP de l’OQRE.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si l’utilisateur de RP de l’OQRE ne s’est pas connecté pendant six mois, le système bloque automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par l’OQRE s’il découvre qu’un utilisateur utilisait les informations d’une manière non conforme à la présente politique ou qui violait la LAIPVP ou la LAIMPVP.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, l’OQRE devrait vérifier les comptes au moins une fois par an.
Utilisateur de RP du gouvernement de l’Ontario
Description
- A accès aux résultats de l’OQRE pour toutes les écoles et tous les conseils scolaires.
- Reçoit les données agrégées et élémentaires pour toutes les écoles et tous les conseils scolaires (fichiers téléchargés).
Renseignements personnels (RP) contenus
- Oui (tous les RP figurant dans les fichiers de données).
Utilisateurs autorisés
- L’OQRE dispose d’un nombre limité d’approbateurs, qui approuvent les utilisateurs de RP du ministère.
Demande d’accès
- Pour demander l’accès, les demandeurs utilisent le portail de gestion des droits (portail Microsoft faisant partie du B2B) pour faire la demande.
- Les approbateurs configurés reçoivent la demande en suspens.
- Ils vérifient la validité des demandeurs et approuvent ou refusent l’accès.
Expiration
- Il existe deux niveaux d’expiration : l’un est appliqué lors de la création du compte, et l’autre est sans expiration (illimité).
- Si un utilisateur de RP du gouvernement de l’Ontario ne s’est pas connecté pendant six mois, le système bloquera automatiquement le compte.
- Après un an sans utilisation, le compte sera supprimé du système de la FPO.
- Pour rouvrir le compte, une nouvelle demande devra être faite.
Révocation
- Toute révocation sera effectuée par l’OQRE s’il découvre qu’un utilisateur utilisait les informations d’une manière non conforme à la présente politique ou qui violait la FIPPA ou la MFIPPA.
Audit programmé
- Un audit automatique a lieu tous les six mois.
- Au minimum, l’OQRE devrait vérifier les comptes au moins une fois par an.