Vérification interne de la gestion de l’information
Produit pour le : Commissariat à la protection de la vie privée du Canada
Date : Juin 2023
Préparé par : Raymond Chabot Grant Thornton, RCGT Consulting
Sommaire
Historique et contexte
Le Commissaire à la protection de la vie privée du Canada est un haut fonctionnaire du Parlement qui relève directement de la Chambre des communes et du Sénat. Le mandat du Commissariat à la protection de la vie privée du Canada (Commissariat) est de veiller au respect de la Loi sur la protection des renseignements personnels (LPRP), laquelle porte sur les pratiques de traitement des renseignements personnels des institutions fédérales, ainsi que de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
Le Commissariat a pour mission de protéger et de promouvoir le droit des personnes à la vie privée. En sa qualité de défenseur du droit des Canadiennes et des Canadiens à la protection de la vie privée, le Commissaire :
- enquête sur les plaintes, mène des audits et intente des poursuites judiciaires en vertu de 2 lois fédérales;
- publie de l’information sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé;
- appuie et effectue des recherches sur des enjeux liés à la protection de la vie privée et en fait connaître les conclusions;
- sensibilise la population aux enjeux touchant la protection de la vie privée et les lui fait comprendre.
L’environnement stratégique et opérationnel du Commissariat évolue constamment. Il est influencé par la vitesse incessante des changements technologiques, la panoplie de nouveaux modèles d’affaires et les différents moyens de collecte et de manipulation des données, qui progressent plus rapidement que les mesures de protection de la vie privée.
Ces éléments, combinés à la hausse des atteintes à la sécurité des données qui touchent des millions de personnes et aux scandales quotidiens liés à l’utilisation des renseignements personnels des Canadiennes et des Canadiens, ne sont que quelques-unes des réalités du paysage de la protection de la vie privée.
La taille et la complexité du mandat du Commissariat ainsi que le désir d’aborder les questions de protection de la vie privée à un niveau plus stratégique ont rendu le besoin de renseignements opérationnels (RO) vital. Le Commissariat est en voie de mettre au point sa fonction de RO afin de soutenir les efforts de l’organisme à mieux utiliser les renseignements pour la prise de décision stratégique, appuyant ainsi la vision du Commissariat pour une approche plus proactive de la protection du droit des Canadiennes et des Canadiens à la vie privée. Le Commissariat a plusieurs priorités stratégiques pour lesquelles les RO sont un facteur de réussite essentiel :
- Adopter des mesures plus proactives pour permettre aux Canadiennes et aux Canadiens d’exercer leur droit et aider les organisations à respecter leurs obligations;
- Faire un usage plus stratégique des pouvoirs d’application de la loi pour assurer une meilleure conformité aux lois fédérales sur la protection de la vie privée;
- Optimiser la capacité et l’agilité de l’organisme pour se concentrer sur les résultats.
Un cadre de gestion de l’information (GI) efficace et de saines pratiques de GI sont essentiels à la capacité de tirer parti de l’information pour prendre des décisions. Une gestion efficace de l’information est un élément clé pour atteindre les objectifs liés aux RO. Par conséquent, la GI a été désignée comme un domaine prioritaire pour les audits de 2021-2022.
Un programme efficace de GI comprend une gouvernance, des politiques, des outils et une formation appropriés ainsi que l’application de mécanismes de conformité pour démontrer l’efficacité du programme. En raison de la nature sensible des renseignements détenus par le Commissariat (par exemple, les documents liés aux enquêtes), il est important que le Commissariat dispose de solides processus de GI.
Étant donné que le Commissariat se concentre de plus en plus sur l’utilisation des RO pour la prise de décisions, de nouvelles ressources d’information et de nouveaux ensembles de données seront mis en place, et il sera important de s’assurer que les ressources d’information sont assujetties à un solide cadre de GI pour soutenir de manière efficiente et efficace le Commissariat dans l’exécution de son mandat.
L’audit de la GI visait à fournir une assurance quant à la pertinence et à l’efficacité du cadre de GI, notamment la gouvernance, les processus et les outils, afin de soutenir les objectifs du Commissariat en matière de RO.
Résumé des constatations
Les principales constatations issues de l’audit sont présentées ci-dessous.
Points forts
Gouvernance – Rôles, responsabilités, obligations de rendre compte et prise de décisions
- Une structure organisationnelle de la GI est en place et elle est assortie de rôles et responsabilités bien définis. L’organigramme est accessible au personnel.
- La structure de gouvernance de la GI comprend le Groupe de travail sur la gouvernance des données, le Comité d’examen de l’architecture de la GI-TI, le Groupe de travail de la responsabilisation à la protection des renseignements personnels, le Conseil exécutif de la direction (CED) ainsi que le Conseil exécutif de la direction élargi (CED+).
- Les descriptions de travail des postes clés en GI (directeur, GI-TI et gestionnaire, Gestion de l’information) et en RO (agent de RO et conseillers stratégiques) sont approuvées par le personnel compétent, comme en témoigne leur signature.
- Le processus de planification stratégique et opérationnelle de la GI-TI est en place.
Processus de gestion de l’information, y compris les mesures de contrôle
- Le tableau et le guide de classification de l’information du Commissariat se trouvent sur les sites de collaboration du Commissariat, SharePoint et intranet, et sont facilement accessibles aux employés.
- Les documents de procédure et de formation sur l’utilisation d’Officium et de Ci2 se trouvent sur le site de collaboration SharePoint du Commissariat et sont facilement accessibles aux employés.
- Le document Conventions de nommage – guide et pratiques exemplaires se trouve sur les sites de collaboration du Commissariat, SharePoint et intranet,et est facilement accessible aux employés.
- Les demandes de changements aux panneaux d’Officium sont examinées par l’équipe de GI afin de s’assurer qu’elles sont conformes à la taxonomie existante et qu’elles respectent l’uniformité des métadonnées.
Ressources en gestion de l’information
- L’équipe de GI offre aux nouveaux employés une formation individuelle sur les pratiques exemplaires en GI et pour l’utilisation d’Officium.
- Les documents de procédure et de formation sur l’utilisation d’Officium, de Ci2, sur la classification de l’information et sur les conventions de nommage se trouvent sur le site de collaboration du Commissariat (SharePoint).
- Étant donné que la formation sur Officium est obligatoire, l’équipe de GI tient un registre des dates de formation et des séances de mise à niveau suivies par les employés.
- Le cours Principes fondamentaux de la gestion de l’information (COR501) de l’École de la fonction publique du Canada fait partie de la formation obligatoire dans le parcours d’apprentissage des employés. L’achèvement de la formation est suivi par le groupe des ressources humaines.
Migration vers le nuage
- La migration du Commissariat vers le nuage permettra de s’assurer que toutes les métadonnées seront saisies automatiquement grâce à l’architecture de l’information dans MS Teams, qui sera d’ailleurs revue périodiquement.
Constatations
- Bien que le Commissariat a mis en place des structures de gouvernance distinctes pour la GI-TI et les RO, les liens entre elles n’ont pas été officiellement définis et communiqués.
- Bien que le Commissariat dispose d’un guide et de pratiques exemplaires pour les conventions de nommage, il n’est pas systématiquement suivi.
- Bien qu’un tableau de classification de l’information, un guide et des documents de procédure et de formation pour l’utilisation d’Officium, de Ci2 et sur les conventions de nommage se trouvent facilement et sont accessibles aux employés, aucune preuve n’a été fournie pour démontrer que l’assurance de la qualité, la surveillance et la validation des données ont été effectuées pour veiller à ce que la classification et l’étiquetage des données soient réalisés conformément au tableau et aux documents d’orientation établis.
- Le Commissariat n’a pas mis en place de processus ou de procédures pour s’assurer de la disponibilité de données complètes et exactes.
- La surveillance et le suivi de la formation sur le système Ci2, la classification de l’information et les conventions de nommage ne sont pas effectués et/ou documentés de manière régulière.
Bien que l’audit ait porté sur la GI en tant qu’élément fondamental des RO, et non sur la mise en œuvre des RO en soi, l’équipe d’audit a fourni à la direction certaines observations et considérations recueillies dans le cadre de ce projet, séparément du présent rapport, afin d’aider le Commissariat à renforcer ses capacités en matière de RO.
Conclusion
À la lumière des observations mentionnées précédemment et compte tenu de la portée générale de l’audit, on conclut que le Commissariat éprouve des problèmes modérés en ce qui a trait à l’efficacité de ses pratiques actuelles de GI pour appuyer des objectifs liés aux RO. Les recommandations contenues dans le présent rapport visent à renforcer ces processus. Les réponses de la direction sont présentées à la fin de chaque constatation.
Le présent rapport et l’audit dont il découle ont été réalisés aux fins de gestion du Commissariat. L’utilisation de ce rapport à d’autres fins pourrait ne pas être appropriée.
Déclaration de conformité
Selon notre jugement professionnel, les procédures d’audit suivies et les éléments probants recueillis sont suffisants et appropriés pour attester l’exactitude des conclusions présentées dans ce rapport. Les conclusions sont fondées sur l’observation et l’analyse des situations qui existaient au moment de la réalisation de l’audit. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne.
Objectif, portée et méthodologie de l’audit
Contexte
Le Commissariat à la protection de la vie privée du Canada (Commissariat) est chargé de surveiller le respect de la Loi sur la protection des renseignements personnels, qui porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, ainsi que de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
Le Commissaire à la protection de la vie privée est un haut fonctionnaire du Parlement qui relève directement de la Chambre des communes et du Sénat. Le commissaire enquête sur les plaintes qui sont déposées par des personnes à l’endroit du gouvernement du Canada et d’entreprises du secteur privé de manière indépendante de tout autre secteur du gouvernement.
En sa qualité de défenseur du droit des Canadiennes et des Canadiens à la protection de la vie privée, le commissaire :
- enquête sur les plaintes, mène des audits et intente des poursuites judiciaires en vertu de 2 lois fédérales;
- publie de l’information sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé;
- appuie et effectue des recherches sur des enjeux liés à la protection de la vie privée et en fait connaître les conclusions;
- sensibilise la population aux enjeux touchant la protection de la vie privée et les lui fait comprendre.
Le Commissariat a réalisé son plan d’audit et de services conseils axé sur les risques de 2021-2024 afin de confirmer la mission d’audit à entreprendre en 2021-2022 et il a été décidé que la prochaine mission d’audit serait la vérification du cadre et des pratiques de gestion de l’information du Commissariat pour s’assurer qu’ils sont adéquats et efficaces, à l’appui des objectifs du Commissariat en matière de RO.
Le Commissariat est en train de mettre au point sa fonction de RO pour appuyer les efforts de l’organisme visant à mieux utiliser l’information pour la prise de décision. Le Commissariat a continué de renforcer sa capacité interne et a investi dans le travail de base pour une meilleure utilisation de l’information et des RO dans le but de guider la prise de décisions et l’affectation des ressources à l’avenir. Les chefs de secteur sont chargés d’exercer la direction de la fonction de RO et sont soutenus par 3 agents de RO et conseillers stratégiques qui relèvent directement des sous-commissaires.
La fonction de GI relève de la Direction de la gestion de l’information et de la technologie de l’information (GI-TI) qui fait partie du Secteur de la gestion intégrée. Le financement de 2020-2021 accordé à la Direction de la GI-TI était de 4,5 millions de dollars avec 25 employés à temps pleinNote de bas de page 1. Elle est chargée de veiller à ce qu’une gouvernance, des pratiques et des politiques efficaces en matière de GI soient mises en place pour protéger l’information à titre de mandat public et pour que cette dernière soit gérée comme un actif stratégique afin de maximiser sa valeur au service des Canadiennes et des Canadiens.
Un groupe spécialisé au sein de la Direction de la GI-TI (7 équivalents temps plein) supervise les activités quotidiennes de GI liées à la gestion des documents électroniques, au Bureau des documents, à la gestion des connaissances (y compris la formation sur les outils de collaboration) et à d’autres initiatives précises comme la mise en œuvre d’un gouvernement ouvert. Une bonne GI permet de s’assurer que l’information est accessible à la bonne personne, au bon moment et dans le bon format. La GI contribue à dicter la manière dont le Commissariat élabore des stratégies et met en œuvre des processus fondés sur l’information. Le Commissariat peut réaliser des gains de productivité en utilisant une GI efficace.
Le but de la GI est de soutenir la prise de décisions et d’atteindre les objectifs de l’organisme. La gestion efficace de l’information est une responsabilité partagée à l’échelle du Commissariat. Il incombe à tous les employés de consigner leurs activités et leurs décisions ayant une valeur opérationnelle dans les systèmes officiels de gestion des documents du Commissariat, conformément aux exigences de la politique sur la GI.
Le personnel et la direction considèrent le Système de gestion des cas (SGC) – module Ci2 et Officium – comme un outil essentiel de GI utilisé au Commissariat. La feuille de route de la GI-TI pour 2019-2022Note de bas de page 2 comprend la refonte du système Ci2 pour les plaintes et les enquêtes dans l’infonuagique, l’établissement du système Ci2 dans l’infonuagique et la migration des données du système Ci2 dans l’infonuagique et la migration de l’information d’Officium vers le nouveau système de gestion électronique des documents et des dossiers (SGEDD) en ligne.
Objectif de l’audit
L’objectif de l’audit était de fournir une assurance quant à la pertinence et à l’efficacité du cadre de GI, notamment la gouvernance, les processus et les outils, pour faire progresser les objectifs du Commissariat en matière de RO en évaluant :
- l’efficacité de la gouvernance et des rôles, responsabilités et obligations de rendre compte en matière de GI;
- l’efficacité des processus, des outils (Ci2 et Officium) et des mesures de contrôle de la GI;
- l’efficacité des ressources de GI, y compris la planification des ressources et la formation.
Portée de l’audit
La portée du présent audit comprenait des évaluations de la structure de gouvernance de la GI, des processus, y compris les mesures de contrôle, les outils, les ressources de la GI et les pratiques de GI dans tous les secteurs. Bien que l’audit ait couvert la période du 1er août 2020 au 31 mai 2022, des informations supplémentaires ont été fournies à l’équipe responsable en cours d’audit.
Le présent audit ne visait pas les aspects suivants :
- Données et informations gérées par Services partagés Canada ou tout autre intervenant externe; notamment, les données de MesRHGC, de GX (système financier) et de Phénix.
- Évaluation des documents en fonction de leur classification de sécurité (c’est-à-dire Protégé A, B ou C et Confidentiel, Secret, Très secret).
- La cybersécurité est un risque majeur; cependant, un audit et une évaluation par une tierce partie ont été réalisés et un cadre et un plan d’action de la direction (PAD) ont été mis en place.
Approche et méthodologie de l’audit
L’audit comprenait une phase de planification exhaustive, qui a d’abord porté sur l’univers de risque lié à la GI au Commissariat. En s’appuyant sur les risques déterminés au cours de la phase de planification de l’audit, on a mis au point un programme d’audit fondé sur le risque pour décrire en détail les modalités de traitement de l’objectif, des critères et des risques de l’audit. Le programme d’audit comprenait les procédures suivantes :
- Examen et analyse de la documentation.
- Entrevues avec les intervenants du Commissariat et toute autre équipe ou tout autre secteur, selon les besoins.
- Examen des processus à l’appui de la prise de décisions en matière de GI, de la gouvernance de la GI, de la qualité et de l’intégrité des données, de la classification des données, de l’accès aux données, des conventions de nommage et de la formation des employés de la GI.
Pour réaliser le présent audit, nous nous sommes est appuyés sur les lignes directrices, les directives et les normes suivantes du gouvernement fédéral du Canada (Conseil du Trésor) et sur une norme internationalement reconnue de l’Association des professionnels de la vérification et du contrôle des systèmes d’information (ISACA). L’annexe C contient plus de renseignements à cet égard.
L’audit a été mené selon le calendrier ci-après :
- Phase de planification : août 2021 – février 2022
- Phase du déroulement : février 2022 – juillet 2022
- Phase de production de rapports : août 2022 – novembre 2022
- Présentation au Comité d’audit du Commissariat : décembre 2022
Équipe d’audit
- Marco Perron, partenaire/assurance qualité
- Zakaria Kamaly, chef et chargé de projet
- Sanjay Verma, auditeur principal
- Karim Najjar, auditeur
- Ella Stevens, auditrice adjointe
Constatations issues de l’audit et recommandations
Constatation 1 : Gouvernance et stratégie
Gouvernance de la gestion de l’information et de la technologie de l’information
COBIT (pour Control Objectives for Information and Related Technology, en anglais) est un cadre de mesures de contrôle global, internationalement reconnu, élaboré pour appuyer la compréhension, la conception et la mise en œuvre de la gestion et de la gouvernance des TI d’entreprise. Selon le COBIT de 2019, la gouvernance en matière de GI-TI comprend et nécessite l’élaboration et la mise en œuvre de processus officiels, de structures organisationnelles, de politiques et de procédures, de circuits suivis par l’information, d’aptitudes et de compétences, de services, d’infrastructures et d’applications. La structure de gouvernance permet de s’assurer que :
- les besoins, les conditions et les options des parties prenantes sont évalués afin de déterminer un équilibre convenu à propos des objectifs de l’organisme;
- l’orientation est définie par l’établissement des priorités et la prise de décisions;
- Le rendement et la conformité sont surveillés par rapport aux orientations et aux objectifs convenus.
Au sein de l’équipe de GI-TI du Commissariat, de solides structures et pratiques de gouvernance contribueraient à promouvoir une surveillance efficace et à faciliter la prise de décisions éclairées. Dans le cadre de l’audit, l’équipe d’audit s’attendait à constater que le Commissariat a établi une structure de gouvernance de la GI, assortie de rôles, de responsabilités et d’obligations de rendre compte définis et communiqués. Étant donné que la GI-TI est un catalyseur important de RO et que la GI-TI et les RO sont gérés séparément, l’équipe d’audit s’attendait à trouver des liens étroits et une intégration entre les structures de gouvernance de la GI et de RO. Pour un organisme de la taille du Commissariat, les activités de gouvernance et de gestion n’exigent pas nécessairement de nombreux processus et niveaux d’approbation, mais devraient se dérouler de manière officielle et intégrée.
Nous avons constaté que la structure de gouvernance de la GI-TI du Commissariat comprenait plusieurs groupes de travail et organismes, notamment le Groupe de travail sur la gouvernance des données, le Comité d’examen de l’architecture de la GI-TI, le Groupe de travail de la responsabilisation de la protection des renseignements personnels, le CED et le CED+. Les analystes des RO du Commissariat font partie du Groupe de travail sur la gouvernance des données et les chefs de secteur, qui assument les responsabilités principales de la fonction de RO, siègent au CED et au CED+. L’équipe d’audita constaté que des réunions mensuelles sur les RO sont organisées entre les 3 agents de RO, les 3 sous-commissaires et le chef des services juridiques, et que le directeur de la GI-TI participe à ces réunions mensuelles.
Une structure organisationnelle officielle de la GI-TI est en place et elle est assortie de rôles et responsabilités clairement cernés et définis. Les descriptions de travail des postes clés en GI-TI (directeur, GI-TI et gestionnaire, Gestion de l’information) sont documentées et approuvées par le personnel compétent, comme en témoignent les signatures officielles. L’équipe d’audit a également examiné les rôles et les responsabilités liés aux RO pour s’assurer qu’ils sont clairement définis. Nous avons constaté que les descriptions de travail des 3 agents de RO sont documentées et approuvées par le personnel compétent, comme en témoignent les signatures officielles. Bien que les descriptions de travail liées aux RO sont en place, les entrevues ont montré que les rôles et les responsabilités en matière de RO ne sont pas clairement compris. Il est possible d’éclaircir davantage les rôles et les responsabilités liés à la GI et aux RO ainsi qu’à l’intendance des données dans l’ensemble de l’organisme afin d’assurer la progression en temps voulu des principaux objectifs et initiatives liés aux RO.
Il a été constaté que la combinaison des groupes de travail ou organismes et des postes organisationnels permettait d’assurer un leadership dans la planification, la mise en œuvre et le maintien d’une infrastructure, d’un programme et d’une capacité de service intégrés en matière de GI-TI et favorisait une prise de décision et une surveillance efficaces de la fonction de GI-TI.
Stratégie de gestion de l’information à l’appui des renseignements opérationnels
Une stratégie et un plan de GI permettent à une organisation 1) de normaliser et d’harmoniser ses pratiques de GI et 2) de répondre aux exigences d’un cadre de gouvernance de l’information. La planification de la GI et de la TI est essentielle à la réalisation des priorités de l’organisme. Par conséquent, l’équipe s’attendait à ce qu’une stratégie globale de GI-TI ait été élaborée et mise en œuvre, conformément aux priorités et à la vision organisationnelles du Commissariat.
L’intégration des objectifs et de la stratégie de RO à la stratégie de GI-TI est essentielle à l’avancement des RO en ce qui concerne les technologies, les applications et les pratiques de collecte, d’intégration, d’analyse et de présentation des données afin d’appuyer une prise de décisions efficace. Ce lien est particulièrement important, car le Commissariat a plusieurs priorités stratégiques pour lesquelles les RO sont un facteur de réussite essentiel. Dans ce contexte, l’équipe d’audit s’attendait à ce que le Commissariat ait élaboré et mis en œuvre une stratégie et un plan de GI qui intègrent et soutiennent la stratégie et les objectifs du Commissariat en matière de RO, et que la GI dispose d’une capacité et d’une expertise suffisantes pour les appuyer.
Nous avons constaté que la stratégie de GI-TI du Commissariat contenait les éléments clés attendus d’un document stratégique, notamment les exigences relatives aux structures, aux processus, aux outils et aux directives en matière de GI-TI. La stratégie s’harmonise avec les priorités et la vision du Commissariat, elle est élaborée dans le cadre de consultations continues avec les secteurs d’activité, et elle est régulièrement mise à jour et discutée au CED+ à des moments clés de l’année.
Dans l’ensemble, la stratégie de GI-TI et le processus de planification opérationnelle ont été jugés suffisants et ont appuyé les RO en termes généraux, mais pas de manière explicite. La feuille de route et l’infographie sur la GI-TI 2020-2021 du Commissariat décrivent les priorités en matière d’investissements dans la GI-TI, y compris les renseignements opérationnels essentiels. Cependant, étant donné que la stratégie du Commissariat relative aux RO n’était pas terminée et officiellement approuvée au moment de l’audit, aucune initiative ou aucun investissement précis en RO n’a été inclus dans la stratégie de GI-TI. L’équipe d’audit n’a donc pas pu déterminer si le Commissariat disposait d’une capacité et d’une aptitude de GI adéquates pour faire avancer les objectifs en matière de RO.
Une ébauche de la stratégie relative aux RO datée de juillet 2020 comprenait la portée du projet de RO, les buts et objectifs, les principaux produits livrables, les dates cibles, les intervenants et les risques pour le projet (par exemple, les retards liés à la COVID-19, les problèmes techniques et administratifs, la connaissance de Ci2 et d’Officium).
Incidence
En l’absence de rôles et de responsabilités clairement définis et compris en matière de GI, de RO et d’intendance des données dans l’ensemble de l’organisme, le Commissariat pourrait ne pas être outillé pour effectuer des analyses de données et gérer l’information opérationnelle de manière efficace et opportune, ce qui aurait un impact négatif sur sa capacité à prendre des décisions fondées sur l’information. L’absence d’une stratégie de GI-TI qui intègre la stratégie et le plan de RO approuvés du Commissariat peut avoir une incidence négative sur la progression en temps opportun des principaux objectifs et initiatives du Commissariat en matière de RO.
Recommandations
- Il est recommandé que le Commissariat éclaircisse et communique les responsabilités en matière de gouvernance de la GI et des RO au Commissariat, y compris la relation entre la GI, les RO et l’intendance des données dans l’ensemble du Commissariat (c.-à-d., les chevauchements et les délimitations claires).
- 2. Il est recommandé que la direction mette au point sa vision, sa stratégie et son plan en matière de RO et qu’elle s’en serve pour éclairer la stratégie et le plan en matière de GI-TI.
Réponse et plan d’action de la direction
La direction accepte les recommandations ci-dessus et prendra les mesures décrites à l'annexe E.
Constatation 2 : Processus de gestion de l’information à l’appui de la classification, de l’étiquetage de l’exactitude et de la disponibilité de l’information
La gestion efficace de l’information est une responsabilité partagée à l’échelle du Commissariat. Il incombe à tous les employés de consigner leurs activités et leurs décisions ayant une valeur opérationnelle dans les systèmes officiels de gestion des documents du Commissariat, conformément aux exigences de la politique sur la GI. L’équipe d’audit s’attendait à ce que des directives, des processus et/ou des procédures soient en place pour aider les employés à assurer l’exhaustivité, l’exactitude et la disponibilité de l’information.
Classification et étiquetage des données
La classification des données est le processus d’organisation des données par catégories. Cette organisation des données permet d’assurer la sécurité des données, la facilité d’accès, la conformité réglementaire ainsi que d’autres objectifs opérationnels ou personnels. L’étiquetage des données est le processus d’identification des données brutes (images, fichiers texte, vidéos, etc.) et l’ajout d’une ou plusieurs étiquettes significatives et informatives à ces données pour fournir un contexte.
L’assurance de la qualité (AQ) est le processus consistant à établir des exigences de qualité et des mesures de contrôle essentielles, dont des mesures de contrôle de la qualité, afin de garantir que les normes de qualité et les objectifs opérationnels appropriés sont atteints. Dans le contexte de la classification et de l’étiquetage, l’AQ vise à garantir que la classification et l’étiquetage sont effectués d’une manière qui répond aux exigences et aux attentes précisées.
L’équipe d’audit s’attendait à ce que les données soient classées et étiquetées avec précision, conformément aux exigences du Commissariat, et à ce que le Commissariat ait établi et mis en œuvre des processus d’assurance et de contrôle de la qualité, de classification et d’étiquetage pour s’assurer que les données sont correctement classées et étiquetées.
L’équipe d’audit a constaté que le Commissariat a élaboré un tableau et un guide de classification de l’information de nature sensible et non sensible. Ces documents permettent d’assurer une catégorisation appropriée des données du point de vue de la sécurité. Le Commissariat conserve également des documents de procédure et de formation pour les éléments suivants :
- Officium est le référentiel d’information officiel pour toutes les ressources d’information dont la classification de sécurité va de « Non classifié » à « Protégé B ». Toutes les demandes de modification des panneaux d’Officium sont examinées par l’équipe de GI afin de s’assurer de la conformité à la taxonomie existante et de la cohérence des métadonnées.
- Ci2, le système de gestion des cas, sert à gérer tous les dossiers du Commissariat : les affaires juridiques, dont les cas liés à la LPRPDE et à la LPRP, et la correspondance, dont le système de suivi de la correspondance du commissaire. Lorsque des documents enregistrés dans Officium portent sur un dossier de Ci2, on les relie en inscrivant les numéros de dossiers correspondants dans le champ prévu à cet effet dans les métadonnées du document Officium.
- Le document Conventions de nommage – guide et pratiques exemplaires établit la structure et l’uniformité des noms attribués aux documents. Ces conventions fournissent des résultats de recherche exhaustifs et cohérents, permettant de définir le contexte des documents, c’est-à-dire l’objet du document et le but de sa création.
Nous avons constaté que le tableau et le guide de classification de l’information ainsi que les documents de procédure et de formation pour Officium, Ci2 et les conventions de nommage étaient facilement accessibles sur le site de collaboration SharePoint du Commissariat et facilement accessibles aux employés.
Convention de nommage des fichiers
Plus précisément pour le Commissariat, les avantages de l’utilisation d’une convention de nommage pour les documents stockés dans Officium comprennent l’établissement d’une structure et d’une uniformité des noms attribués aux documents. Les conventions de nommage facilitent l’obtention de résultats de recherche exhaustifs et cohérents, ce qui aide à déterminer le contexte des documents (c’est-à-dire l’objet du document et le but de sa création).
L’équipe d’audit s’attendait à constater que le Commissariat a établi des conventions de nommage des fichiers qui sont accessibles et utilisées par les employés.
L’équipe d’audit a constaté que le Commissariat a élaboré et mis en œuvre un document intitulé Conventions de nommage – guide et pratiques exemplaires, qui comprend plusieurs pratiques exemplaires, comme le respect de la généralité (nom complet et descriptif, titre unique du document), la longueur du titre du document, les dates (formats pour la date complète, l’exercice financier et l’année civile), l’absence de symboles, de caractères spéciaux, d’acronymes et d’abréviations, un titre anglais, français ou bilingue selon la langue dans laquelle le document a été rédigé et l’absence de mention du format du document (p. ex., PDF, PowerPoint, etc.). Nous avons constaté que le guide se trouve sur le site de collaboration SharePoint du Commissariat et que les employés y avaient facilement accès.
L’équipe d’audit a mis à l’essai un échantillon de fichiers pour déterminer s’ils étaient nommés conformément aux Conventions de nommage – guide et pratiques exemplaires. Nous avons noté les observations suivantes :
- 10 des 21 fichiers mis à l’essai (50 %) comportaient un format de date qui n’était pas conforme aux conventions de nommage et/ou ne comportaient pas de date du tout;
- dans 2 des 2 (100 %) anciens dossiers d’affaires juridiques, il manquait le numéro d’affaire dans la convention de nommage.
En plus de la mise à l’essai des fichiers, les personnes interrogées ont déclaré que les données, dont les ressources autorisées ont besoin pour exercer leurs fonctions, étaient parfois difficiles à trouver en raison d’inexactitudes dans les conventions de nommage de certains fichiers.
Exactitude et disponibilité des données
L’exactitude et la disponibilité des données sont essentielles à l’exécution quotidienne des tâches, à la productivité des opérations et à l’exploitation des RO en vue d’une prise de décisions efficace.
L’équipe d’audit s’attendait à ce que le Commissariat ait mis en place des processus pour assurer la disponibilité de données exhaustives et exactes. Ces données faciliteraient l’exécution des opérations, le suivi de la productivité des opérations et la prise de décisions efficace.
Bien que l’audit ait révélé que les documents de procédure et de formation relatifs à Officium, à Ci2 et aux conventions de nommage étaient établis et facilement accessibles sur le site de collaboration SharePoint du Commissariat et que les employés y avaient facilement accès, les entrevues ont permis de constater que les données requises par les ressources autorisées étaient parfois difficiles à trouver en raison d’inexactitudes dans les conventions de nommage de certains fichiers, de l’absence de saisie appropriée des données, d’un étiquetage incorrect et/ou d’une classification erronée des données.
Au moment de l’audit, aucun élément probant n’a été fourni pour démontrer que l’assurance de la qualité, la surveillance et la validation des données ont été effectuées pour s’assurer que la classification, l’étiquetage, la dénomination, l’exactitude et la disponibilité des données étaient conformes aux documents d’orientation.
Incidence
Le fait de ne pas saisir correctement les données, d’avoir mal étiqueté ou mal classé les données et de ne pas appliquer systématiquement les conventions de nommage peut entraîner l’incapacité d’extraire de l’information pertinente et de tirer parti de sa valeur pour prendre des décisions efficaces. Si les utilisateurs n’ont pas facilement accès à des données exactes, cela peut nuire à la productivité des opérations et à la prise de décisions, y compris à la capacité de soutenir les efforts du Commissariat en matière de RO.
Recommandations
- Le Commissariat devrait mettre en place des mécanismes d’assurance de la qualité et de surveillance pour superviser l’exhaustivité, l’exactitude, la juste classification et l’étiquetage de l’information. Ces mécanismes devraient comprendre une rétroaction claire, réalisable, opportune et précise aux utilisateurs, accompagnée de données probantes, afin de faciliter les corrections ainsi que la formation et les améliorations continues.
- Il est également recommandé que le Commissariat offre régulièrement à ses employés de la formation et des activités de sensibilisation concernant le document Conventions de nommage – guide et pratiques exemplaires.
Réponse et plan d’action de la direction
La direction accepte les recommandations ci-dessus et prendra les mesures décrites à l'annexe E.
Constatation 3 : Formation
La formation régulière et pertinente permet de faciliter et de soutenir l’amélioration continue des opérations. Le suivi de l’achèvement de la formation pour chaque employé permet de s’assurer que les cours requis et recommandés ont été suivis et encourage la responsabilisation à l’égard des programmes de formation.
L’équipe d’audit s’attendait à ce que les employés ayant des responsabilités en matière de gestion et d’utilisation de l’information aient reçu une formation suffisante pour assumer leurs responsabilités en matière de GI. On s’attendait également à ce que le personnel reçoive une formation appropriée pour permettre une utilisation uniforme et efficace des mécanismes de promotion des RO.
L’équipe d’audit a constaté qu’au Commissariat, de la formation était offerte au sein des services de la GI et des RO et portait sur des sujets comme l’intégration des données, la qualité des données, l’entreposage des données, la gestion des données de référence et l’analyse des données.
Les documents de procédure et de formation sur l’utilisation d’Officium et de Ci2, sur la classification de l’information et sur les conventions de nommage étaient disponibles sur le site de collaboration SharePoint du Commissariat.
La GI a offert une formation individuelle aux nouveaux employés sur l’utilisation d’Officium. La formation sur Officium étant obligatoire, l’équipe de GI a tenu un registre des dates de formation et des séances de mise à niveau auxquelles ont participé les employés.
Cependant, les personnes interrogées ont fait remarquer que la surveillance et le suivi de la formation sur le système Ci2, la classification de l’information et la convention de nommage n’étaient pas effectués. Par conséquent, l’audit n’a pas permis de valider les taux d’achèvement de la formation ni les processus entourant la surveillance de l’achèvement de la formation pour ces systèmes et pratiques.
Enfin, la direction du Commissariat a fait part de son intention d’acquérir un système de gestion de l’apprentissage (SGA) pour faciliter et normaliser le suivi et la supervision de tous les programmes de formation.
Incidence
Si la formation sur le système Ci2, la classification de l’information et la convention de nommage n’est pas offerte de manière uniforme à tous les utilisateurs, il existe un risque accru d’erreurs dans la classification des données, ce qui peut entraîner l’incapacité à récupérer l’information pertinente pour appuyer une prise de décisions efficace.
De plus, si les employés ne reçoivent pas une formation appropriée sur les mises à jour du guide de classification des données, il peut y avoir un risque accru de catégorisation de sécurité incorrecte des données.
Recommandations
- Bien que le cadre de la GI relève de la responsabilité du Secteur de la gestion intégrée, l’ensemble de l’organisme est responsable des pratiques de GI et de l’utilisation appropriée des outils de GI-TI. Le Commissariat devrait fournir la formation requise sur l’utilisation appropriée des outils de GI-TI afin de contribuer à assurer l’exactitude et la fiabilité des données à l’appui de la mise en œuvre des RO.
- Le Commissariat devrait assurer une surveillance régulière des taux d’achèvement de la formation sur le système Ci2, la classification de l’information et la convention de nommage. Le Commissariat devrait s’assurer que la formation est mise à jour afin de tenir compte 1) des mises à niveau du système effectuées au Commissariat et 2) des changements apportés aux politiques et aux lignes directrices du Secrétariat du Conseil du Trésor.
- De plus, le Commissariat devrait continuer à explorer la possibilité d’acquérir le SGA, qui lui permettra de gérer et de surveiller les programmes de formation.
Réponse et plan d’action de la direction
La direction accepte les recommandations ci-dessus et prendra les mesures décrites à l'annexe E.
Annexe A – Acronymes
| Acronyme | Signification |
|---|---|
| AQ | Assurance de la qualité |
| CED | Conseil exécutif de la direction |
| CED+ | Conseil exécutif de la direction élargi |
| COBIT | Control Objectives for Inforamtion and Related Technology |
| GI | Gestion de l’information |
| ISACA | Association des professionnels de la vérification et du contrôle des systèmes d’information |
| LPRP | Loi sur la protection des renseignements personnels |
| LPRPDE | Loi sur la protection des renseignements personnels et les documents électroniques |
| PAD | Plan d’action de la direction |
| TI | Technologie de l’information |
| RH | Ressources humaines |
| SGA | Système de gestion de l’apprentissage |
| SGC/Ci2 | Système de gestion des cas |
| SGEDD | Système de gestion électronique des documents et des dossiers |
| RO | Renseignements opérationnels |
Annexe B – Entrevues
Dans le cadre du présent audit, nous avons interviewé les personnes suivantes :
- Sous-commissaire, Secteur de la conformité
- Direction de la conformité à la Loi sur la protection des renseignements personnels
- Direction de la conformité à la LPRPDE
- Direction des admissions, du règlement, et de la conformité
- Agent de renseignements opérationnels et conseiller stratégique
- Sous-commissaire, Politiques et promotion
- Direction des services-conseils au gouvernement
- Direction des services-conseils à l’entreprise
- Direction des politiques, de la recherche et des affaires parlementaires
- Direction de l’analyse de la technologie
- Direction des communications
- Agent de renseignements opérationnels et conseiller stratégique
- Sous-commissaire, Gestion intégrée
- Direction de la GI-TI
- Agent de renseignements opérationnels et conseiller stratégique
- Direction des services juridiques
- Secrétariat de la haute direction
Annexe C – Renseignements supplémentaires sur l’approche de l’audit
Pour réaliser le présent audit, nous nous sommes appuyés sur les lignes directrices, les directives et les normes suivantes du gouvernement fédéral du Canada (Conseil du Trésor) et sur une norme internationalement reconnue par l’Association des professionnels de la vérification et du contrôle des systèmes d’information (ISACA).
- Politique sur les services et le numérique
La Politique sur les services et le numérique et les instruments à l’appui constituent un ensemble intégré de règles qui décrit la façon dont les organisations du gouvernement du Canada gèrent la prestation de services, l’information et les données, la technologie de l’information et la cybersécurité à l’ère du numérique. D’autres exigences, y compris, sans toutefois s’y limiter, les exigences en matière de protection des renseignements personnels, de langues officielles et d’accessibilité, s’appliquent également à la gestion de la prestation des services, de l’information et des données, de la TI et de la cybersécurité.
La Politique sur les services et le numérique est axée sur les clients, afin de veiller à ce que les exigences principales liées à ces fonctions soient prises en compte de façon proactive, dès l’étape de la conception, dans l’élaboration des activités opérationnelles et des services. Elle met en place une approche pangouvernementale intégrée à l’égard de la gouvernance, de la planification et de la gestion. En général, la Politique sur les services et le numérique promeut la prestation de services et l’efficacité des activités opérationnelles gouvernementales par l’entremise d’une gestion stratégique de l’information et des données gouvernementales et en optimisant la technologie de l’information en soutien au mandat du ministre du Gouvernement numérique, en dirigeant la transition numérique du gouvernement du Canada. La gestion de ces fonctions est guidée par un engagement à l’égard des principes directeurs et pratiques exemplaires des Normes numériques du gouvernement du Canada : concevoir avec les utilisateurs; effectuer régulièrement des itérations et des améliorations; travailler ouvertement par défaut; utiliser des normes et des solutions ouvertes; gérer les risques en matière de sécurité et de protection des renseignements personnels; intégrer l’accessibilité dès le départ; permettre au personnel d’offrir de meilleurs services; être de bons utilisateurs de données; concevoir des services éthiques; et, collaborer largement.
- Directive sur la gestion de la sécurité du Conseil du Trésor. Annexe J : Norme sur la catégorisation de la sécurité.
Directive sur la gestion de la sécurité – Annexe J : La norme sur la catégorisation de la sécurité est entrée en vigueur le 1er juillet 2019. Elle fournit le processus de catégorisation de la sécurité, qui comprend les catégories de sécurité uniques ou multiples et les considérations à appliquer lors de l’attribution d’une catégorie de sécurité.
L’information, les biens et les services sont classés dans les catégories d’incidence « très élevée », « élevée », « moyenne » ou « faible » pour refléter le degré de préjudice qui peut vraisemblablement résulter d’une perte de confidentialité, d’intégrité ou de disponibilité.
Les catégories de confidentialité des renseignements sont classées comme suit : classifié (Très secret, Secret, Confidentiel) et protégé (Protégé C, Protégé B, Protégé A).
- Lignes directrices sur la gestion de l’information du Conseil du Trésor.
L’Orientation stratégique en matière de gestion de l’information décrit l’évolution qui a eu lieu et qui se poursuit dans le domaine de la planification de la gestion de l’information. Fondée sur l’établissement de plans à long terme de technologies de l’information, cette planification insiste davantage sur les fonds de renseignements. Cette nouvelle orientation et la fusion des technologies ont donné lieu à une meilleure coordination de la planification de toutes les ressources liées à l’information.
Le Secrétariat du Conseil du Trésor s’assure que les organismes de services communs coordonnent leurs stratégies à long terme, établissent une orientation cohérente des questions liées à la gestion de l’information touchant l’ensemble de l’administration fédérale et constituent une base commune pour la planification à long terme. Les plans des organismes de services communs sont communiqués aux institutions afin qu’elles en tiennet compte dans la planification de leurs besoins futurs. Des interactions ont lieu entre le Conseil du Trésor, les institutions et les organismes de services communs pour coordonner la gestion de l’information à l’échelle du gouvernement. La coordination de la planification de la GI à l’échelle du gouvernement procure des avantages pour toutes les parties concernées : institutions, organismes centraux et organismes de services communs. Les avantages comprennent les suivants :
- les plans de GI sont liés aux processus de planification organisationnelle et opérationnelle de l’institution et aux orientations générales du gouvernement;
- les investissements en GI sont directement liés aux résultats des programmes de l’institution;
- une évaluation de l’infrastructure technologique est effectuée;
- le nouvel investissement se distingue du coût d’entretien du « matériel » en fonctionnement.
- Les domaines de connaissance de la GI par le Conseil du Trésor.
- COBIT 2019 :
COBIT (Control Objectives for Information Technologies) 2019 est un cadre pour la gouvernance et la gestion de l’information et de la technologie de l’entreprise qui appuie la réalisation des objectifs de cette dernière. Il définit les éléments permettant d’établir et de maintenir un système de gouvernance : processus, structures organisationnelles, politiques et procédures, circuits suivis par l’information, culture et comportements, compétences et infrastructure.
Annexe D – Critères d’audit
| No de référence |
Critères d’audit |
|---|---|
| Gouvernance – Rôles, responsabilités, obligations de rendre compte et prise de décisions | |
| A1 | On s’attend à ce que le Commissariat dispose d’une GI efficace, y compris d’une structure de gouvernance des RO avec des rôles, des responsabilités et des obligations de rendre compte définis et communiqués qui favorisent une prise de décision et une surveillance efficaces de la GI. |
| On s’attend à ce que la l’équipe de GI dispose d’une stratégie et d’un plan adéquats à l’appui de la stratégie et des objectifs liés aux RO et qu’elle dispose de suffisamment de capacités et d’expertise pour faire progresser les RO. | |
| Processus de GI, y compris les mesures de contrôle | |
| B1 | On s’attend à ce que le Commissariat dispose de processus appropriés de contrôle de la qualité, de classification et d’étiquetage des données et de l’information afin de s’assurer que les données sont correctement classées et que les ressources autorisées ont accès aux données requises pour accomplir efficacement leurs tâches (selon le principe du besoin de connaître). |
| B2 | On s’attend à ce que le Commissariat ait établi des métadonnées, y compris des conventions de nommage des fichiers. Les directives requises sont à la disposition des employés. |
| B3 | On s’attend à ce que les utilisateurs disposent de données complètes et exactes pour s’acquitter de leurs tâches et qu’ils puissent en tirer parti pour assurer la productivité des opérations et la prise de décisions efficace. |
| B4 | Hors du champ d’application – La sécurité de l’information a été examinée dans le cadre de l’audit de la cybersécurité et de l’évaluation de la maturité de l’année dernière. Les plans d’action de la direction sont actuellement mis en œuvre et il n’est pas nécessaire d’effectuer un audit de suivi pour le moment. |
| Ressources de la GI | |
| C1 | On s’attend à ce que les employés ayant des responsabilités dans la gestion et l’utilisation de l’information aient reçu une formation suffisante pour s’acquitter de leurs responsabilités. (Voir le document du Conseil du Trésor intitulé Gestion de l’information – lignes directrices, section 6 – Formation nécessaire à l’implantation des technologies de l’information et section 7 – Les technologies de l’information dans le milieu de travail : planifier en fonction des employés.) |
| C2 | On s’attend à ce que la GI-TI dispose de mécanismes et de capacités appropriés pour faire progresser la stratégie relative aux RO. Le personnel reçoit une formation appropriée pour permettre une utilisation uniforme et efficace des mécanismes de promotion des RO. (Voir le document du Conseil du Trésor intitulé Gestion de l’information – lignes directrices, section 6 – Formation nécessaire à l’implantation des technologies de l’information.) |
Annexe E – Réponse et plan d’action de la direction
| Recommandations de la vérification interne | Réponse de la gestion | Plan d’action | Responsabilité (Poste responsable de la mise en œuvre du plan d’action) |
||
|---|---|---|---|---|---|
| Mesures de suivi | Échéance : mois/année |
||||
| 1. | Il est recommandé que le Commissariat éclaircisse et communique les responsabilités en matière de gouvernance de la GI et des RO au Commissariat, y compris la relation entre la GI, les RO et l’intendance des données dans l’ensemble du Commissariat (c.-à-d., les chevauchements et les délimitations claires). |
|
|
|
|
| 2. | Il est recommandé que la direction mette au point sa vision, sa stratégie et son plan en matière de RO et qu’elle s’en serve pour éclairer la stratégie et le plan en matière de GI-TI. |
|
|
|
|
| 3. | Le Commissariat devrait mettre en place des mécanismes d’assurance de la qualité et de surveillance pour superviser l’exhaustivité, l’exactitude, la juste classification et l’étiquetage de l’information. Ces mécanismes devraient comprendre une rétroaction claire, réalisable, opportune et précise aux utilisateurs, accompagnée de données probantes, afin de faciliter les corrections ainsi que la formation et les améliorations continues. |
|
|
|
|
| 4. | Il est également recommandé que le Commissariat offre régulièrement à ses employés de la formation et des activités de sensibilisation concernant le document Conventions de nommage – guide et pratiques exemplaires. |
|
|
|
|
| 5. | Bien que le cadre de la GI relève de la responsabilité du Secteur de la gestion intégrée, l’ensemble de l’organisme est responsable des pratiques de GI et de l’utilisation appropriée des outils de GI-TI. Le Commissariat devrait fournir la formation requise sur l’utilisation appropriée des outils de GI-TI afin de contribuer à assurer l’exactitude et la fiabilité des données à l’appui de la mise en œuvre des RO. |
|
|
|
|
| 6. | Le Commissariat devrait assurer une surveillance régulière des taux d’achèvement de la formation sur le système Ci2, la classification de l’information et la convention de nommage. Le Commissariat devrait s’assurer que la formation est mise à jour afin de tenir compte 1) des mises à niveau du système effectuées au Commissariat et 2) des changements apportés aux politiques et aux lignes directrices du Secrétariat du Conseil du Trésor |
|
|
|
|
| 7. | De plus, le Commissariat devrait continuer à explorer la possibilité d’acquérir le SGA, qui lui permettra de gérer et de surveiller les programmes de formation. |
|
|
|
|
- Date de modification :