3.0 Résultats de la vérification

3.0 Résultats de la vérification

3.1 Cadre de gouvernance de la gestion de l’information

Un cadre de gouvernance contient les pratiques et les procédures qu’on peut raisonnablement s’attendre à voir mises en place dans un ministère ou un organisme pour permettre l’atteinte des objectifs. Ces pratiques aident à créer de la valeur opérationnelle et à minimiser les risques pour l’organisation. Elles comprennent les politiques, les procédures, les processus opérationnels, les rôles et les responsabilités, les objectifs et les mesures de rendement, la surveillance et la production de rapports.

Un cadre efficace appuie la capacité de l’organisation à gérer les risques et à atteindre les objectifs liés à l’efficacité opérationnelle et à la fiabilité des rapports. Il est important de noter qu’un cadre ne garantit pas la prévention, la détection et la gestion des risques, ni l’atteinte des objectifs par l’organisation. Toutefois, cela augmente considérablement la probabilité que les risques organisationnels soient atténués et que les objectifs soient atteintsNote de bas de page 4 .

Du point de vue de la GI, cela devrait signifier que l’information importante est correctement tenue à jour et stockée et qu’elle est facilement accessible pour guider et appuyer la prise de décisions éclairées et efficaces.

3.1.1 Rôles et responsabilités

Pourquoi c’est important

Au début de la vérification, l’équipe de vérification s’attendait à ce que les rôles et les responsabilités, les principaux produits livrables, les exigences en matière de formation et les mesures de rendement et de rapport soient clairement définis dans un cadre intégré appuyant la gestion globale de l’information à Anciens Combattants Canada. Les rôles et responsabilités définis fournissent de la clarté, de l’harmonisation et des attentes aux personnes chargées de gérer de manière adéquate l’information ministérielle.

Étant donné que la gestion de l’information est une responsabilité de tous les employés du Ministère, cela montre également qu’il est essentiel que tous les employés comprennent leurs rôles et leurs responsabilités, et pas seulement ceux qui travaillent à la Direction de la protection des renseignements personnels et de la gestion de l’information. Si l’information ministérielle importante n’est pas tenue à jour et facilement accessible, il existe le risque que l’information ne soit pas entièrement disponible pour appuyer la prise de décisions éclairées.

Constatations

ACC n’a pas actuellement de cadre de gouvernance pour la GI. Au cours de la période couverte par la vérification, le Ministère a mis en place la stratégie d’information et de données d’ACC 2019-2022. La stratégie visait à faire en sorte que le Ministère puisse prendre des décisions fondées sur des données et une analyse fiables, exactes et de qualité. Bien que cette stratégie ne soit pas propre à la GI, elle comprenait des commentaires sur les cadres et outils de gouvernance liés à la GI.

En guise de suivi à la mise en œuvre de la stratégie, l’équipe de vérification a constaté que, selon l’examen récent des progrès réalisés relativement à la stratégie, des modèles et des méthodes de gouvernance de l’information minimaux étaient en place à ACC. De plus, l’examen a permis de constater que l’état initial en matière de gouvernance de l’information a peut-être été surestimé et que la gouvernance de l’information n’a pas reçu l’attention dont elle avait besoin en 2019 2022.

L’équipe a constaté que le Ministère a mis sur pied un Comité exécutif des intendants des données et un comité des intendants des données. Le mandat, les ordres du jour des réunions et les comptes rendus des décisions sont disponibles. Les documents contiennent des directives sur les rôles et responsabilités des présidents et des membres, mais l’accent est davantage mis sur les données que sur la GI.

Les entrevues menées auprès des employés de la Direction générale de la protection des renseignements personnels et de la gestion de l’information ont révélé qu’ils étaient au courant de leurs rôles et responsabilités en matière de GI. Dans le cadre de la vérification, l’équipe a mené un sondage auprès de tous les employés d’ACC pour évaluer leur niveau de connaissances liées à la GI et aux rôles et responsabilités de chacun au sein du Ministère. Huit cent trente-trois (833) réponses ont été reçuesNote de bas de page 5 :

  • 67 % des répondants ont démontré qu’ils connaissaient et comprenaient bien ou très bien leurs rôles et responsabilités en matière de GI;
  • 57 % des répondants ont déclaré que la GI était une priorité pour eux;
  • 63 % des répondants ont déclaré que la GI était une priorité pour leur division;
  • 63 % des répondants ont déclaré que les pratiques de GI étaient bonnes ou très bonnes au sein de leur division.

En août 2020, une présentation a été faite à la haute direction sur l’importance de consigner et de sauvegarder les décisions entraînant des changements de programme liés à la pandémie de COVID 19. Un modèle de saisie des décisions a été élaboré, mais il n’a jamais été rempli. Les entrevues avec le personnel ont indiqué que le document serait mis à jour et disponible en juin 2022. Avoir un cadre de gouvernance officiel comportant une définition claire des rôles et des responsabilités et des rapports réguliers aurait pu contribuer à ce que cet document soit rempli en temps opportun.

3.1.2 Surveillance et rapport

Pourquoi c’est important

La gestion et la planification efficaces des risques sont appuyées par des outils et des processus de surveillance de la qualité et de production de rapports. La surveillance est le processus de suivi systématique des indicateurs clés pour évaluer les progrès réalisés dans l’atteinte des buts et des objectifs. La surveillance continue aide également à prendre des décisions éclairées et à gérer les risques. La Politique sur les services et le numérique du Conseil du Trésor explique la façon dont les organismes du gouvernement du Canada gèrent la prestation de services, l’information et les données, la technologie de l’information et la cybersécurité à l’ère numérique. Dans le cadre de cette politique, il existe des exigences relatives à la mise en place d’une gouvernance ainsi qu’à la planification et à l’établissement de rapports aux fins de l’atteinte des objectifs et de l’obtention des résultats globaux, y compris la prise de décisions intégrées, l’amélioration des opérations gouvernementales et l’amélioration de l’expérience client.

Constatations

ACC n’a pas d’indicateurs officiels pour mesurer le rendement de la GI. Les entrevues avec le personnel ont indiqué qu’un nouveau poste de production de rapports avait été créé au cours de la dernière année, mais que l’objectif principal du poste était d’abord lié aux demandes d’accès à l’information et de protection des renseignements personnels, avec l’objectif futur d’ajouter des rapports liés à la GI.

Dans les rapports relatifs au Cadre de responsabilisation de gestion du Conseil du Trésor du Canada, ACC doit répondre à plusieurs questions sur divers sujets. Pour le cycle de production de rapports 2021-2022, une seule question a été posée relativement à la GI au sujet de la gestion de l’information tout au long de son cycle de vie dans plusieurs systèmes. À ce sujet, le Ministère a beaucoup de travail à faire pour s’assurer que l’information et les données sont gérées dans ses divers systèmes tout au long de leur cycle de vie.

La Direction de la protection des renseignements personnels et de la gestion de l’information a mis en place un processus de détermination des besoins en matière d’évaluation des facteurs relatifs à la vie privée pour examiner les activités à venir et assurer que les exigences en matière de protection des renseignements personnels et de GI sont déterminées, sont analysées et sont une partie importante de la planification de projet. Le processus exige la préparation d’un document détaillé expliquant tous les détails de l’activité de travail et la façon dont l’information sera protégée, préservée et stockée pendant et après l’activité de travail.

Dans le cadre du processus, des conseils et des recommandations sont fournis par l’équipe responsable de la protection des renseignements personnels et de la gestion de l’information et également de l’équipe de la sécurité de la TI, et un document final est signé par toutes les parties concernées. Environ 60 documents ont été remplis depuis le début de la période de la vérification, mais, en raison du manque de ressources et d’activités de priorisation, aucun suivi n’a été effectué pour assurer la conformité aux recommandations.

L’équipe de vérification a également fait remarquer qu’il devrait y avoir à l’avenir des rapports plus détaillés sur la GI dans le cadre des rapports réguliers sur la Politique sur les services et le numérique. Ces rapports devraient permettre d’évaluer la capacité actuelle du Ministère en ce qui concerne la gouvernance ainsi que la découverte, l’accès, l’échange et la réutilisation, de même que la conservation et l’élimination, de l’information et des données.

Des entrevues menées auprès de quatre autres ministères fédéraux ont révélé que la mesure du rendement et la surveillance limitées de la GI ne sont pas propres à ACC. Cependant, un ministère a poussé plus loin les mesures disponibles en élaborant et en adoptant plusieurs indicateurs de rendement accompagnés de mesures pour mieux évaluer ses progrès par rapport à ses buts et à ses objectifs liés à la GI.

3.1.3 Formation et ressources disponibles pour le personnel

Pourquoi c’est important

Il est essentiel de disposer de la formation et des ressources pertinentes pour appuyer le personnel dans ses activités de GI afin d’assurer le succès global de la gestion de l’information à ACC. Offrir une formation et des ressources efficaces crée un environnement d’apprentissage qui favorise la croissance et le perfectionnement.

Constatations

De nombreuses politiques et procédures et de nombreux processus opérationnels et documents de formation en lien avec la GI sont mis à la disposition du personnel sur la page « Gestion de l’information » du site intranet d’ACC au travail. Toutefois, 45 % des répondants au sondage ont indiqué qu’ils ignoraient ou ne savaient pas trop où trouver de l’information sur les politiques, les procédures et les directives en matière de GI.

La Direction de la protection des renseignements personnels et de la gestion de l’information offre une formation 101 sur la GI aux nouveaux employés, qui n’est toutefois pas obligatoire :

  • Fournie à 361 participants au cours de l’exercice 2020-2021 (sur 757 nouveaux employés);
  • Fournie à 73 participants au cours de l’exercice 2021-2022 (sur 351 nouveaux employés).

En plus de la formation sur les pratiques exemplaires en matière de GI, la formation liée à GCdocs est également disponible sur le site intranet. La formation propre à GCdocs a évolué au fil des ans. Lors de la mise en œuvre initiale de GCdocs en 2012 2013, le personnel de la GI a offert un cours de deux jours qui comprenait une formation des utilisateurs sur le système GCdocs et présentait des pratiques exemplaires de GI. Plus récemment, la formation a été condensée en deux heures, et elle met maintenant l’accent sur les conseils et les astuces pour utiliser le système.

Les entrevues ont également révélé que la formation en GI est accessible sur le site Web de l’École de la fonction publique du Canada, mais qu’à l’heure actuelle, aucune formation liée à la GI n’est obligatoire pour les employés d’ACC. De plus, le personnel a suggéré de mettre en place des champions de la GI dans l’ensemble du Ministère afin de sensibiliser les employés, nouveaux comme expérimentés, et de les aider à répondre à leurs besoins en matière de GI. L’équipe de vérification a constaté qu’un autre ministère a utilisé une initiative semblable et a reçu de commentaires positifs.

3.1.4 Outils de tenue de documents

Pourquoi c’est important

S’assurer que l’information est tenue à jour et stockée de façon appropriée permet une bonne gouvernance, la prise de décisions éclairée et l’échange efficient et efficace de l’information publique. Pour atteindre cet objectif, il est tout aussi important de fournir aux employés les outils et les ressources appropriés pour s’acquitter des responsabilités en matière de GI.

La GI tout au long de son cycle de vie, jusqu’à son élimination, permet de garantir que l’information appropriée est protégée, tenue à jour et disponible au besoin.

Constatations

GCdocs est le dépôt ministériel officiel d’ACC depuis 2012 2013. Cela a entraîné une réduction graduelle de l’utilisation d’autres méthodes d’enregistrement de documents, comme les lecteurs partagés. Cependant, les employés qui ont répondu au sondage ont déclaré avoir sauvegardé des documents en utilisant diverses méthodes, notamment :

  • GCdocs
  • Lecteurs partagés
  • Ordinateur de bureau
  • Lecteurs personnels
  • MS Teams

En ce qui concerne le niveau d’aise des répondants au sondage à l’utilisation des outils actuels de tenue de documents :

  • 51 % ont indiqué qu’ils étaient à l’aise;
  • 30 % ont indiqué qu’ils étaient assez à l’aise;
  • 19 % ont indiqué qu’ils étaient plutôt mal à l’aise ou mal à l’aise.

L’équipe de vérification a également constaté que, bien que le Ministère dispose de méthodes provisoires pour stocker les documents secrets, il n’existe pas de méthode uniforme ou approuvée. Une solution a été trouvée et la mise en œuvre a commencé avant la pandémie de COVID 19, mais elle a été mise en attente et n’a pas été terminée.

Les entrevues avec le personnel de la gestion de l’information et de la technologie de l’information ont révélé que la fonctionnalité complète de GCdocs n’a pas été mise en œuvre. D’autres fonctionnalités devaient être mises en œuvre plus tard dans le cadre de phases subséquentes du projet, mais cela n’a pas été fait en raison d’autres priorités concurrentes à l’époque. Compte tenu du défaut de mise en œuvre de la fonctionnalité complète de GCdocs, il a été difficile de voir à ce que l’information exacte soit stockée, et il est probable que GCdocs contienne actuellement une grande quantité d’information éphémère.

Les entrevues avec le personnel ont laissé entendre qu’ACC pourrait se diriger vers un remplacement de GCdocs. L’équipe de vérification a interrogé des représentants d’autres ministères et a constaté que certains utilisent GCdocs seulement, tandis que d’autres utilisent une combinaison de GCdocs et d’autres outils de collaboration.

3.2 Conclusions de la vérification

ACC a créé un Comité exécutif des intendants des données, qui joue un rôle important dans la gouvernance des données et de l’information au Ministère. Cependant, l’absence d’un cadre de gouvernance efficace et officiel entraîne un manque de surveillance des initiatives, des projets et des risques en matière de GI.

La surveillance de base et la production de rapports sur la GI sont en place, mais l’absence d’un processus officiel comportant des indicateurs précis fait en sorte qu’il est difficile de mesurer avec exactitude le rendement global.

Le Ministère offre une certaine formation en GI, mais elle ne semble pas normalisée ni cohérente pour les employés, car aucune formation obligatoire n’est prévue.

ACC a adopté GCdocs comme répertoire officiel pour appuyer les exigences en matière de tenue de documents. Cependant, sans méthode uniforme et approuvée pour stocker les fichiers secrets et les calendriers de conservation/disposition, il est risqué de rendre accessible des renseignements secrets et de conserver trop de renseignements éphémères. De plus, le remplacement possible du système existant pour la sauvegarde de l’information pourrait entraîner des difficultés semblables si le nouveau système ne répond pas entièrement aux exigences de gestion de l’information sur les plans de la conservation et de l’élimination.

3.3 Recommandations de la vérification

Recommandation 1

Il est recommandé que la sous-ministre adjointe, Secteur de la dirigeante principale des finances et des services ministériels, élabore un cadre de gouvernance officiel pour la GI, qui comprend notamment les éléments suivants :

  • Rôles et responsabilités
  • Formation et sensibilisation
  • Mesure et surveillance du rendement

La direction accepte cette recommandation.

La Direction de la protection des renseignements personnels et de la gestion de l’information élaborera un cadre de gouvernance de l’information. Ce cadre intégrera la Stratégie en matière d’information et de données 2022 2028 d’ACC et la feuille de route fédérale renouvelée de la stratégie de données. Les éléments du cadre aborderont les trois piliers soulignés dans la présente recommandation dans les domaines de la protection des renseignements personnels, la gestion des documents, la gouvernance des données, la préparation en vue de litiges, les analyses, les risques, la conformité et la sécurité. Aborder ces piliers permettra à ACC de respecter ses obligations.

Le Pilier I « Rôles et responsabilités » établira le rôle de chaque employé dans la hiérarchie globale de la gouvernance de l’information et abordera les responsabilités de chaque employé (p. ex. consignation des décisions, contrôle des versions, règles de conservation, autorité d’élimination).

Le Pilier II « Formation et sensibilisation » décrira les outils requis pour appuyer les employés dans leurs rôles et responsabilités (p. ex. séances de formation obligatoires ou suggérées, documents d’orientation, processus opérationnels).

Le Pilier III « Mesure et surveillance du rendement » nous permettra de surveiller le risque général en établissant des indicateurs clés de rendement et en produisant des rapports sur ceux-ci, tout en repérant et en réglant les lacunes en matière de gestion de l’information au sein du Ministère. Plus précisément, le pilier permettra d’évaluer :

  1. la mesure dans laquelle ACC gère bien ses documents au moyen d’indicateurs concrets (p. ex. l’élimination adéquate des documents dont les délais de conservation sont expirés, le contrôle des versions, la bonne utilisation des espaces personnels, le nombre de documents);
  2. le niveau de conformité aux exigences des lois et des politiques – les secteurs du Ministère et les secteurs de programme suivent-ils les orientations fonctionnelles, les directives et les conseils fournis (p. ex. les recommandations de la détermination de la nécessité d’une évaluation des facteurs relatifs à la vie privée, le respect des contrats) – et le niveau de risque connexe;
  3. les lacunes dans les connaissances qui exigent un soutien supplémentaire au moyen de l’élaboration de matériel de formation ou d’orientation pour le Ministère.

Date cible : décembre 2023

Recommandation 2

Il est recommandé que la sous-ministre adjointe, Secteur de la dirigeante principale des finances et des services ministériels, mettre en œuvre une solution plus efficace pour mieux protéger les documents secrets d’entreprise ministériels.

La direction accepte cette recommandation.

Avant la création de l’Infrastructure secrète du gouvernement du Canada (ISGC), ACC n’avait pas d’emplacement spécialisé pour conserver les documents classifiés à un niveau supérieur à Protégé B. Pour faciliter le mouvement et la collaboration concernant les documents SECRET, un lecteur partagé avec accès restreint, nommé « Dépôt des documents sécurisés », a été établi comme un emplacement temporaire pour l’organisation.

ACC a commencé la mise en œuvre de l’ISGC, mais ne l’avait pas entièrement mise en œuvre avant la pandémie. L’avenir de l’ISGC est toujours à l’étude par le gouvernement du Canada et il n’y a actuellement aucune option d’utiliser l’ISGC à l’extérieur de l’environnement de bureau physique.

Pour réduire le risque associé au lecteur « Dépôt des documents sécurisés », les équipes responsables de la TI, de la GI et de la sécurité ont travaillé sur la mise en œuvre de « SDoc », une nouvelle structure de dossiers sur Citrix. L’objectif de SDoc est de fournir une sécurité accrue comparativement à la solution actuelle et une souplesse accrue pour les utilisateurs et de nous permettre de mettre de l’ordre dans les permissions, les utilisations et l’accès actuels au lecteur « Dépôt des documents sécurisés ». SDoc remplacera la solution actuelle comme espace transitoire de collaboration jusqu’à ce que le gouvernement du Canada élabore une solution SECRET (ISGC ou autre) qui répondra mieux aux besoins ministériels, aux besoins des utilisateurs et aux besoins en matière de sécurité.

Date cible : mars 2023

Recommandation 3

Il est recommandé que la sous-ministre adjointe, Secteur de la dirigeante principale des finances et des services ministériels, mette en œuvre un processus pour s’assurer que les systèmes, y compris tout nouveau système, respectent les normes du gouvernement du Canada en matière de GI.

La direction accepte cette recommandation.

Des changements à la Politique sur les services et le numérique liés à la GI et d’autres domaines ont été apportés le 1er avril 2022. Le SCT élabore et met à l’essai un cadre qu’ACC utilisera afin d’évaluer le niveau d’effort requis pour assurer la conformité des systèmes et quantifier le niveau de risque si la conformité ne peut pas être atteinte.

Pour le moment, nous ne pouvons pas confirmer que l’état final tel que décrit est atteignable. Selon un examen initial de l’ensemble renouvelé de politiques, les efforts pour devenir entièrement conforme seront considérables et, à un moment donné, pourraient être impossibles du point de vue des finances, de la capacité et du rapport coûts-avantages. Par conséquent, nous devrons peut-être tolérer certains risques de non-conformité et nous concentrer sur les domaines clés à améliorer.

Une fois le cadre mis en œuvre, ACC mettra en place un processus visant à appliquer le cadre à nos systèmes, à souligner les risques et les coûts associés au respect des exigences des politiques et à nous assurer que, lorsqu’il y a une valeur ajoutée ou dans la mesure du possible, les systèmes actuels et futurs respecteront les normes relatives à la gestion de l’information du gouvernement du Canada.

Date cible : mai 2024