Direction de la vérification interne et de l’évaluation des programmes
Audit de l’accès à l’information et de la protection des renseignements personnels
Octobre 2016

Table des matières

1.0 Introduction

La Loi sur l’accès à l’information (LAI) confère à chaque citoyen et résident permanent du Canada et à toute personne ou société présente au Canada le droit d’accéder aux documents détenus par une institution gouvernementale, peu importe leur format, sous réserve de certaines exceptions bien définies. La Loi sur la protection des renseignements personnels (LPRP) assure la confidentialité des renseignements personnels de tous les citoyens canadiens et résidents permanents dont dispose une institution fédérale. Elle confère également à ces personnes, ainsi qu’à celles qui se trouvent au Canada sans toutefois être des résidents permanents ou des citoyens, le droit d’accéder aux renseignements personnels les concernant. Ces deux lois sont entrées en vigueur le 1er juillet 1983 et ont été modifiées pour la dernière fois en 2016. Le processus visant à obtenir des renseignements qui relèvent d’une institution fédérale est souvent appelé « accès à l’information et protection des renseignements personnels (AIPRP) », et c’est ce dont il est question dans le présent rapport.

À l’ASFC, la gestion des demandes d’AIPRP est effectuée par la Division de l’AIPRP, laquelle relève de la Direction générale des services intégrés. Un des objectifs de la Division de l’AIPRP de l’ASFC consiste à traiter les demandes faites en vertu de la LAI et de la LPRP dans les délais prévus par ces deux lois. La Division gère aussi d’autres tâches découlant de l’application des deux lois, comme mettre à jour Info Source Note de bas de page 1; donner des conseils relatifs aux évaluations des facteurs relatifs à la vie privée; effectuer les suppressions aux dossiers disciplinaires et d’inconduite liés aux normes professionnelles et aux ressources humaines; et évaluer les présumées atteintes à la vie privée.

Le nombre de demandes en vertu de la LAI et de la LPRP que reçoit l’Agence continue d’augmenter d’année en année; chaque catégorie a augmenté de plus de 300 % depuis 2010-2011 (consulter le Tableau 1). Le nombre de demandes reportées continue aussi à augmenter.

Tableau 1

  Demandes présentées en vertu de la Loi sur l’accès à l’information Demandes présentées en vertu de la Loi sur la protection des renseignements personnels
Exercice Reçues Traitées Reportées Reçues Traitées Reportées
2010–2011 1 607 1 580 226 2 896 2 808 308
2011–2012 1 866 1 757 320 6 674 6 330 650
2012–2013 3 147 2 891 590 13 379 13 191 838
2013–2014 4 671 4 079 1 180 11 890 11 420 1 307
2014–2015 6 705 6 802 1 087 12 769 12 024 2 055
Source : Analyse des rapports annuels d’AIPRP

La Division de l’AIPRP se trouve à l’Administration centrale et compte cinq unités : une section de l’administration, deux unités de gestion des cas et deux unités des politiques. La section de l’administration reçoit les demandes et les consultations et appuie les deux unités de la gestion des cas dans leurs activités courantes liées aux demandes d’AIPRP. Les unités de gestion des cas adressent des demandes de récupération de renseignements aux directions et aux régions et fournissent quotidiennement des conseils opérationnels et du soutien aux employés de l’ASFC. L’unité de la politique et de la gouvernance de l’AIPRP élabore des politiques, des outils et des procédures à l’appui des exigences en matière d’AIPRP à l’ASFC et donne de la formation aux employés. L’unité de la politique sur l’échange de l’information et les ententes de collaboration s’occupe du cadre stratégique lié à l’échange de l’information par l’ASFC et aux ententes de collaboration écrites de l’Agence avec des partenaires nationaux.

En 2014-2015, environ 53 équivalents temps plein, quatre employés à temps partiel et occasionnels ainsi que quatre consultants ont travaillé à la Division de l’AIPRP. Sur le plan fonctionnel, la Division est appuyée par 16 agents de liaison principaux qui se trouvent dans les bureaux régionaux et les directions générales de l’Agence. Ces agents de liaison fournissent un soutien administratif à la Division de l’AIPRP en ce qui a trait à la récupération de documents et la formulation de recommandations relatives à la divulgation.

2.0 Importance de l’audit

L’audit de l’AIPRP intéresse la direction de l’ASFC en raison du nombre croissant de demandes d’AIPRP et de l’exigence d’y répondre en temps opportun, ainsi que de la nécessité d’avoir des mesures de contrôle efficaces en ce qui a trait à la divulgation d’information. De plus, dans sa lettre de mandat de novembre 2015 destinée au ministre de la Sécurité publique et de la Protection civile, le premier ministre a demandé de relever la barre en matière d’ouverture et de transparence au sein du gouvernement. Note de bas de page 2

L’audit avait pour objectif d’évaluer l’efficacité du cadre de contrôle de gestion lié à l’AIPRP, ce qui comprend la gestion des ressources humaines, les processus opérationnels et le respect des délais prévus dans la loi, et les contrôles qui atténuent le risque de communiquer des renseignements faisant l’objet d’une exception.

La portée de l’audit incluait la formation et les outils en place pour aider le personnel de l’Agence à traiter les demandes d’AIPRP, les contrôles pour gérer les demandes d’AIPRP et les activités visant l’amélioration continue du processus de traitement des demandes d’AIPRP.

La portée de l’audit n’incluait pas les éléments suivants :

Les critères d’audit sont énoncés à l’annexe A.

3.0 Énoncé de conformité

Le présent audit respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité. L’approche et la méthodologie adoptées pour l’audit sont fidèles aux Normes internationales relatives à la pratique professionnelle de la vérification interne définies par l’Institut des vérificateurs internes et les normes du gouvernement du Canada, comme l’exige la Politique sur la vérification interne du Conseil du Trésor.

4.0 Opinion

Dans l’ensemble, l’Agence est dotée d’un cadre de contrôle de gestion efficace pour la gestion des demandes d’AIPRP afin d’appuyer la conformité aux exigences de la loi, du Conseil du Trésor et du Ministère. À mesure que le nombre de demandes d’AIPRP continue d’augmenter, la fonction d’AIPRP devra être continuellement optimisée pour respecter les délais de réponse prévus dans les lois ainsi que le contrôle des processus internes. De plus, la planification des ressources humaines pourrait être renforcée à l’aide de plans stratégiques officiels qui tiennent compte des futures exigences en ressources de la fonction d’AIPRP.

5.0 Principales constatations

L’audit a confirmé que des contrôles efficaces avaient été mis en place tout au long du processus d’AIPRP afin d’assurer la conformité aux exigences de la loi et des politiques, et de réduire le risque de communiquer par inadvertance des renseignements protégés.

De 2010-2011 à 2014-2015, les demandes d’AIPRP reçues par l’Agence ont augmenté de plus de 300 %. Bien que la Division de l’AIPRP ait demandé d’autres ressources pour répondre à la demande accrue, un plan des ressources humaines (RH) pour la fonction n’a pas été préparé. Sans un plan des RH, la Division de l’AIPRP pourrait continuer d’agir en réaction à son environnement opérationnel, ce qui en retour pourrait se traduire par des retards dans le traitement des demandes et une augmentation des délais pour la communication de l’information.

Tous les employés avaient accès à de la formation et à des outils liés à l’AIPRP. Il y a une possibilité de définir les besoins en formation des personnes ayant des responsabilités fonctionnelles liées à l’application des lois pertinentes.

La surveillance du processus d’AIPRP est effectuée à de nombreux niveaux dans l’ensemble de l’Agence, ainsi que par des commissaires externes. Le système de gestion de cas de l’Agence renfermait les données pertinentes afin de soutenir une prise de décisions en temps opportun ainsi que la création des deux rapports annuels respectifs de l’Agence. L’information utilisée pour la production des rapports réguliers et la prise de décisions a été jugée adéquate. La Division de l’AIPRP produit de nombreux rapports, notamment une mesure du temps de réponse aux demandes d’AIPRP. Afin de permettre d’autres analyses et prises de décisions, il y a une possibilité de présenter de façon distincte des rapports sur différents types de demandes. Des contrôles qui limitent l’accès au système de gestion de cas étaient en place. Par contre, les profils d’utilisateurs devraient être soumis à d’autres restrictions pour contrôler de manière appropriée l’accès à l’information sur l’AIPRP.

6.0 Résumé des recommandations

L’audit a permis de formuler les deux recommandations suivantes :

7.0 Réponse de la direction

La Direction générale des services intégrés est d’accord avec le rapport d’audit et les recommandations.

Les recommandations comprennent l’examen des contrôles d’accès au sein de la Division de l’AIPRP, la présentation plus complète de rapports et l’élaboration d’une stratégie en matière de ressources humaines qui intègre la planification des ressources et la formation obligatoire.

Le fait de donner suite aux recommandations découlant de l’audit nous permettra de renforcer l’administration générale du programme de l’AIPRP à l’ASFC.

8.0 Constatations issues de l’audit

8.1 Environnement de contrôle

Critères d’audit

Rôles, responsabilités et pouvoirs

Afin d’atteindre ses objectifs et de tenir compte des risques connexes, la direction a établi des structures organisationnelles, a attribué des responsabilités et a défini des descriptions de travail qui énoncent les tâches et les attentes. Cela comprend une définition claire des liens hiérarchiques et la surveillance de la gestion du rendementNote de bas de page 3.

Les rôles et les responsabilités des analystes de l’AIPRP ont été officiellement documentés et communiqués dans les descriptions de travail et ils ont été intégrés dans le manuel de référence de l’AIPRP. Les liens hiérarchiques étaient clairs : chaque analyste de l’AIPRP relève d’un chef d’équipe et d’un gestionnaire. Les gestionnaires relèvent directement du directeur de l’AIPRP.

La direction de la Division de l’AIPRP a mis à jour certaines descriptions de travail des principaux postes de l’AIPRP, a déterminé les besoins en formation, a élaboré un répertoire des cours liés à l’AIPRP et a actualisé des descriptions d’emploi d’un certain nombre de postes. L’Agence attend que le Secrétariat du Conseil du Trésor fournisse des descriptions de travail génériques pour la communauté des spécialistes de l’AIPRP.

Les agents de liaison de l’AIPRP sont des employés de l’ASFC qui ne font pas partie de la Division de l’AIPRP. Ils reçoivent les demandes d’AIPRP de la Division de l’AIPRP et sont chargés de trouver tous les dossiers pertinents dans leur secteur et d’envoyer une trousse de réponse au bureau de l’AIPRP. Ces employés sont habituellement des agents de programme, des membres du personnel administratif ou de bureau, et des employés des ressources humaines. La Division de l’AIPRP ne participe pas à la sélection des agents de liaison. Les rôles et les responsabilités des agents de liaison sont définis dans le manuel de l’AIPRP, qui résume leurs responsabilités.

Selon la région ou la direction générale de l’Agence, le niveau d’effort requis pour les tâches liées à l’AIPRP des agents de liaison diffère grandement. Cette différence est bien démontrée par les régions où le titre officiel de l’employé est agent de liaison de l’AIPRP, même si aucune description de travail n’existe pour ce poste. La plupart des agents de liaison ont indiqué que leurs tâches liées à l’AIPRP ne faisaient pas partie de leur évaluation de rendement.

Le fait d’inclure les tâches liées à l’AIPRP dans les ententes de rendement des agents de liaison et de faire participer la Division de l’AIPRP à la sélection du personnel de liaison pourrait contribuer à améliorer l’uniformité du rendement des agents de liaison dans le traitement des demandes d’AIPRP.

Planification des ressources humaines

La planification des ressources humaines (RH) est une étape essentielle et obligatoire qui facilite la détermination des besoins actuels et futurs en ressources humaines à l’appui de l’exécution de la mission, du mandat et des objectifs de l’Agence Note de bas de page 4.

La Division de l’AIPRP s’est livrée à la planification des RH au niveau opérationnel en déterminant le nombre d’employés nécessaires pour assurer la prestation des services à court et à moyen terme et en dotant les postes vacants.

Le Plan intégré des activités de 2015-2018 de la Direction générale des services intégrés demandait que l’AIPRP élabore un plan des RH au cours du premier trimestre de 2015-2016. Au moment de l’audit, ce plan n’avait pas encore été élaboré. Sur une période de cinq ans (de 2010-2011 à 2014-2015), le nombre d’employés disponibles Note de bas de page 5 pour appuyer la fonction d’AIPRP est passé de 39 à 61 (une augmentation de 56 %). Au cours de la même période, le nombre de demandes est passé de 4 503 à 19 474 (une augmentation de 332 %). Le nombre d’employés disponibles n’a pas suivi le rythme de l’augmentation du nombre de demandes. Au printemps 2016, la Division de l’AIPRP a demandé d’autres ressources pour aider à répondre à l’augmentation continue de demandes. 

L’établissement d’un plan des ressources humaines, harmonisé au plan d’activités, permettra d’aligner de manière proactive les priorités, l’élaboration de stratégies et la disponibilité des ressources prévues au budget. Le plan peut aussi décrire des stratégies de perfectionnement et de maintien en poste des employés. Sans un plan des RH, la Division de l’AIPRP pourrait continuer d’agir en réaction à son environnement opérationnel, ce qui en retour pourrait se traduire par des retards dans le traitement des demandes et une augmentation des délais pour la communication de l’information.

Formation et outils

Pour s’acquitter de leurs responsabilités, les employés et les agents de liaison de l’AIPRP ainsi que les employés de l’ASFC doivent avoir la formation et les outils nécessaires.

Le site intranet de l’AIPRP renferme de l’information liée au traitement des demandes d’AIPRP que tous les employés peuvent consulter. On y trouve aussi le manuel de référence de l’AIPRP qui fournit de l’information importante et décrit les principales responsabilités des employés dans l’application des lois sur la protection des renseignements personnels et sur l’accès à l’information. Pendant la période de l’audit, la Division de l’AIPRP a aussi tenu régulièrement des téléconférences avec les agents de liaison de l’AIPRP pour discuter de questions pertinentes.

Un répertoire de cours est mis à la disposition du personnel de l’AIPRP par l’intermédiaire des organismes centraux, dont le Secrétariat du Conseil du Trésor et l’École de la fonction publique du Canada, et d’autres organisations professionnelles. Les besoins en formation des employés de l’AIPRP sont évalués et déterminés pendant les évaluations annuelles de la gestion du rendement. Bien qu’il n’y ait pas de programme de formation officiel en place pour les employés de l’AIPRP, les employés ont indiqué que la formation en cours d’emploi était la méthode de formation la plus efficace.

La Division de l’AIPRP a élaboré un cours en ligne (accessible dans l’ensemble de l’Agence, mais non obligatoire) qui décrit les rôles et les responsabilités des employés en ce qui a trait à la gestion des demandes d’AIPRP. Le cours comprend aussi des lignes directrices sur la gestion et la protection de l’information détenue par l’Agence. Bien que cette formation ne soit pas obligatoire pour les agents de liaison, neuf des 16 personnes ont terminé avec succès cette formation en ligne. Dans l’ensemble de l’Agence, 890 employés (6,5 % du personnel de l’Agence) ont terminé avec succès la formation sur l’AIPRP offerte en ligne, dont 12 cadres supérieurs et 40 employés de niveau EX moins un Note de bas de page 6. En 2014-2015, 13 séances de sensibilisation à l’AIPRP ont été offertes dans différentes directions générales; 206 employés y ont participé.

Si les employés clés de l’ASFC, y compris les agents de liaison et les titulaires des principaux postes de gestion, ne sont pas au courant des exigences fonctionnelles des lois sur l’AIPRP et les processus propres à l’Agence, il pourrait en résulter des retards dans le traitement des demandes d’AIPRP. De plus, les employés ne comprennent peut-être pas que la loi exige de recueillir toute l’information connexe et qu’elle prévoit des sanctions si l’information n’est pas délibérément communiquée.

Les constatations susmentionnées sont prises en compte dans la recommandation 2.

8.2 Activités de contrôle

Critères d’audit

Contrôles de l’accès aux systèmes

Le logiciel AccessPro Case Management (APCM) est une solution de suivi des cas et de rapport qui automatise bon nombre des tâches associées aux processus de communication de l’information. 

Des contrôles devraient être en place pour empêcher les personnes responsables de la programmation du système d’avoir aussi accès à l’environnement de production. L’audit a permis de confirmer que l’accès à l’environnement de production n’était accordé qu’aux employés autorisés. L’accès au système n’est donné qu’à certains postes définis au sein de la Division de l’AIPRP. De plus, un administrateur de système met à jour au besoin les autorisations et les restrictions concernant les utilisateurs. Les contrôles pour l’identification et les mots de passe des utilisateurs ont été jugés suffisants, mais il a été noté que les mots de passe n’avaient pas de date d’expiration. Lorsque des employés quittaient la Division, leurs comptes étaient habituellement désactivés.

Pour chaque demande d’AIPRP entrée dans le logiciel APCM, un dossier assorti d’un numéro unique est produit. Seul l’administrateur du système peut effacer un dossier. La capacité d’apporter des changements à l’information contenue dans le logiciel APCM est liée à la hiérarchie du poste : c.-à-d. analyste, chef d’équipe, gestionnaire. Malgré cette hiérarchie, la plupart des utilisateurs pouvaient ajouter, modifier ou effacer de l’information dans les dossiers individuels, y compris les dossiers fermés. De plus, le système n’indique que le dernier changement apporté au dossier. Un accès complet et un historique incomplet des changements apportés au dossier peuvent entraîner une réduction de l’intégrité des données aux fins de production de rapports internes et externes.

Principaux contrôles

On s’attend à ce que la direction ait en place des procédures et des contrôles qui déterminent, évaluent et gèrent la communication appropriée de l’information.

Pour évaluer l’efficacité opérationnelle des principaux contrôles du processus d’AIPRP, un échantillon de 45 demandes liées à la LPRP et 45 demandes liées à la LAI ont été examinées. Dans l’ensemble, les forces suivantes ont été relevées :

Séparation des tâches

La séparation des tâches est un contrôle interne visant à réduire le risque de mesures erronées et inappropriées de la part d’une seule personne qui a un accès complet et le contrôle d’un processus.Note de bas de page 7

Dans le cadre d’une demande d’accès à l’information, la Division de l’AIPRP est également chargée de la perception des droits. Les demandeurs peuvent choisir de payer les droits en ligne à l’aide d’une carte de crédit ou par courrier à l’aide d’un chèque, d’un mandat bancaire ou d’un paiement en espèces. En 2014-2015, la Division a perçu 620 $ en espècesNote de bas de page 8. Nous avons examiné le processus de traitement des sommes en espèces entourant l’argent perçu pour les demandes d’AIPRP. Un commis préparait le dépôt en argent comptant, lequel était revu par un superviseur. Le même superviseur préparait aussi la trousse de dépôt et l’envoyait à un centre de traitement aux fins de dépôt. Il serait avantageux que ces activités soient séparées ou assujetties périodiquement à une vérification indépendante.

Rapidité de réponse aux demandes

Il faut répondre à une demande d’AIPRP dans le délai de 30 jours civils prescrit par la loi, à moins qu’une prorogation du délai ait été appliquée. Les demandes liées à la LAI peuvent être prorogées d’une période de temps raisonnable, tandis que les demandes liées à la LPRP peuvent être prorogées d’au plus 30 jours, à moins que du temps soit nécessaire pour traduire ou convertir le dossier dans un format acceptable. Des normes de service, harmonisées aux exigences de la loi, étaient clairement établies dans le manuel de référence de l’AIPRP.

En 2014-2015, 60 % de toutes les demandes liées à la LAI et 82 % de toutes les demandes liées à la LPRP reçues par l’ASFC provenaient de personnes cherchant à obtenir le rapport sur leurs antécédents de voyage. En 2014-2015, le taux de réponses dans les délais prescrits de l’Agence pour les demandes d’antécédents de voyage était de 99 %. Ce taux élevé et ce nombre élevé ont dissimulé le moins bon rendement des autres demandes d’AIPRP. Cela est attribuable au fait que les rapports de l’Agence n’indiquent que les réponses dans les délais prescrits pour l’ensemble des demandes liées à la LAI et à la LPRP, lesquelles sont dominées par le nombre de demandes d’antécédents de voyage.

Dans l’échantillon, le taux de réponses dans les délais prescrits pour les demandes liées à la LAI et à la LPRP sont respectivement de 53 % et de 60 %. Il convient de noter que les demandes d’antécédents de voyage étaient exclues de l’échantillon. Le faible taux de réponses dans les délais prescrits peut être attribué à la complexité des dossiers, au nombre de demandes reçues par l’Agence et aux ressources limitées disponibles. Le tableau 2 présente l’état des demandes faisant partie de l’échantillon de l’audit.

En incluant les demandes d’antécédents de voyage dans l’échantillon, les taux de réponses dans les délais prévus pour les demandes liées à la LAI et à la LPRP passeraient respectivement à 74 % et à 91 %; ce qui représente des taux beaucoup plus élevés que nos résultats.

Tableau 2 : État des demandes d’AIPRP dans l’échantillon vérifié (excluant les demandes d’antécédents de voyage)

État Loi sur l’accès à l’information (LAI) Loi sur la protection des renseignements personnels (LPRP)
% Demandes % Demandes
Dans les délais prescrits 53 % 24 60 % 27
En retard 42 % 19 36 % 16
Demandes encore ouvertes, mais non en retard 4 % 2 4 % 2
Total de l’échantillon 100 % 45 100 % 45
Population - 1,477 - 1,159
Source : ASFC

Selon les explications fournies par la Division de l’AIPRP, un des facteurs contribuant à la baisse du taux de réponses dans les délais prescrits pour les demandes de l’AIPRP était la priorité accordée aux dossiers en retard. En avril 2014, l’Agence a reporté 547 demandes d’AIPRP en retard, et en décembre 2015, ce nombre avait presque triplé pour se chiffrer à 1 336Note de bas de page 9. Puisque le nombre de demandes augmente, les niveaux de ressources actuels ne peuvent pas suivre le rythme des nouvelles demandes et s’occuper de l’arriéré de demandes.

Les constatations susmentionnées sont prises en compte dans la recommandation 2.

Il y avait des contrôles qui limitaient l’accès au système de gestion des cas. Par contre, les profils d’utilisateurs doivent être perfectionnés, en fonction des responsabilités du poste, pour limiter la capacité de modifier l’information actuelle. Il est important que l’information recueillie dans le système APCM soit exacte puisqu’elle sert à la prise de décisions et aux rapports. Pour répondre à un nombre croissant de demandes d’AIPRP et pour satisfaire aux exigences de la loi, la Division de l’AIPRP devra continuer de réaliser des gains d’efficacité dans ses processus. L’établissement de rapports plus détaillés peut contribuer à améliorer l’analyse du processus ainsi qu’à fournir de l’information pertinente à la prise de décisions.

Recommandation 1 :

Le vice-président de la Direction générale des services intégrés devrait s’assurer que les profils d’utilisateurs dans le système « AccessPro Case Management » sont limités, lorsque cela est faisable sur le plan opérationnel, afin de contrôler convenablement l’accès à l’information lié à l’AIPRP et d’identifier les exigences en matière de contrôles d’accès pour les versions futures de logiciels de l’AIPRP.

Réponse de la direction Échéance
La Direction générale des services intégrés accepte la recommandation issue de l’audit. Une évaluation de la faisabilité portant sur les répercussions de la mise en place de contrôles d’accès plus restreint dans le système actuel de gestion des cas d’AIPRP sera entreprise. Nous travaillerons aussi en collaboration avec le Secrétariat du Conseil du Trésor du Canada pour proposer des contrôles d’accès améliorés dans les futurs systèmes de gestion de cas d’AIPRP. 31 mars 2017

8.3 Évaluation des risques

Critères d’audit

Gestion du risque

Le processus servant à cerner et à analyser les risques et à déterminer comment gérer les risques, de même que les changements pouvant être apportés dans les environnements externes et internes, doivent être considérés pour éviter les obstacles à l’atteinte des objectifsNote de bas de page 10.

Dans le profil de risque du Secrétariat général de l’Agence de 2010-2012, les principaux risques suivants ont été relevés pour la fonction d’AIPRP :

Le profil de risque du Secrétariat général de l’Agence de 2015-2018 était en train d’être finalisé au moment de l’audit, mais la direction a expliqué que les principaux risques demeuraient les mêmes.

Un responsable du risque (le directeur de l’AIPRP) a été désigné pour chacun des risques du profil de 2010-2012, et les facteurs de risque, les répercussions et les contrôles ont été déterminés. La réponse de la direction à l’augmentation du nombre de demandes d’AIPRP a été celle du principe « accepter et surveiller », tandis que la réponse aux deux autres risques a été de communiquer l’information sur le risque au sein de l’Agence. L’augmentation rapide du nombre de demandes d’AIPRP est un risque notable pour l’Agence. Pour atténuer ce risque, la direction de l’AIPRP a élaboré une stratégie et a demandé un financement supplémentaire pour des ressources temporaires et permanentes afin de répondre aux charges de travail actuelles et futures.

Gestion du changement

On s’attend à ce que la direction fournisse une méthode pour prendre en considération et évaluer les répercussions d’un changement importantNote de bas de page 11.

La Division de l’AIPRP de l’ASFC travaille directement avec le ministère de la Justice et le Secrétariat du Conseil du Trésor du Canada au sujet des principaux changements touchant le milieu de l’AIPRP. Selon la nature et l’ampleur du changement, l’information a été communiquée à l’interne au moyen d’outils électroniques, de réunions d’équipe tenues régulièrement et de téléconférences avec les agents de liaison régionaux de l’AIPRP.

L’Agence met actuellement en œuvre le système Apollo, un système centralisé de gestion des documents, qui aura des répercussions sur les processus opérationnels internes liés à la recherche et à la collecte de documents pour répondre aux demandes d’AIPRP. Le système Apollo a pour but de consolider l’information non structurée stockée dans de nombreuses sources autonomes, comme des lecteurs partagés, des courriels et des classeurs. Bien que la Division de l’AIPRP ne participe pas directement à la mise en œuvre d’Apollo, l’élaboration d’un document d’orientation sur l’utilisation d’Apollo dans un processus d’AIPRP aiderait les employés et les agents de liaison de l’AIPRP pendant la recherche et la collecte de documents.

L’examen continu des changements dans les environnements interne et externe aurait permis de déceler rapidement les risques et d’élaborer des stratégies pour y remédier. À l’interne, la Division de l’AIPRP a la possibilité d’aborder de manière proactive les risques liés à la mise en œuvre d’Apollo. L’audit de la gestion de l’information de 2016 comportait une recommandation qui indiquait la nécessité de mettre en place de manière intégrale des outils et des directives normalisés en matière de gestion de l’information, dont Apollo.

8.4 Information et communication

Critère d’audit

Les systèmes d’information de l’Agence doivent renfermer des données complètes, exactes et à jour afin d’assurer une prise de décisions éclairéesNote de bas de page 12.

Le système APCM de l’Agence renfermait des données pertinentes pour appuyer une prise de décisions en temps opportun ainsi que la création des deux rapports annuels de l’Agence portant respectivement sur la LAI et la LPRP. L’audit a permis de confirmer que les chiffres présentés dans ces rapports annuels avaient été bien calculés. Ces chiffres ont été validés à l’aide des mêmes extractions de données produites lors de la production des rapports annuels de 2014-2015. Par contre, l’équipe de l’audit n’a pas été en mesure de reproduire la même information à partir des données extraites du système à une date ultérieure. Le système ne peut pas reproduire les rapports qui ont servi aux rapports annuels en raison des changements apportés aux demandes au fil du temps. Cela est peut-être dû aux restrictions minimales en matière d’accès dont il a été question précédemment dans le présent rapport. Il existe une autre occasion d’amélioration en documentant le processus d’extraction des données.

Dans l’ensemble, l’information recueillie dans le système était exacte et communiquée dans les rapports internes et les documents officiels accessibles au public.

8.5 Activités de surveillance

Critère d’audit

La surveillance est indispensable à l’exécution de tout programme. Les ministères et les organismes sont tenus de surveiller les pratiques de gestion et les contrôles opérationnels afin que des mesures correctives puissent être prises lorsque des anomalies dans le contrôle sont décelées ou lorsque des améliorations doivent être apportées en temps opportun.

Surveillance des délais prescrits par la loi

Les augmentations d’année en année du nombre de demandes d’AIPRP et le regain d’attention portée aux demandes déjà en retard ont miné la capacité de la Division de l’AIPRP de répondre dans les délais prescrits par la loi. Les analystes de l’AIPRP surveillent leur propre travail en fonction d’un délai de 30 jours, tandis que les gestionnaires ont expliqué qu’ils s’attachaient à la gestion du respect du délai et des dossiers en retard pour réduire au minimum les plaintes.

Des rapports sont produits tout au long de l’année pour surveiller le rendement concernant la fermeture des demandes d’AIPRP. Il s’agit de rapports produits sur une base annuelle, trimestrielle, mensuelle et hebdomadaire. Des rapports spéciaux supplémentaires sont présentés à la direction au besoin.

Le Sommaire du rendement de l’Agence est un rapport trimestriel qui comporte de l’information sur la rapidité de réponse en fonction du délai de 30 jours prescrits par la loi ainsi qu’une mesure interne du temps nécessaire pour recueillir et transmettre l’information à la Division de l’AIPRP. Enfin, un rapport mensuel sur l’état des demandes d’AIPRP fournit les données sur les tendances de l’année précédente et les compare aux données actuelles. Il donne aussi un aperçu des demandes dont la réponse est en retard.

Les rapports annuels sont le rapport annuel au Parlement sur la conformité à la Loi sur l’accès à l’information et le rapport annuel au Parlement sur la conformité à la Loi sur la protection des renseignements personnels. Ces rapports sont versés dans le site Web de l’ASFC et ils présentent des statistiques sur le temps de réponse aux demandeurs et aux plaintes connexes. 

Bien que la surveillance du processus de l’AIPRP se fasse à de nombreux niveaux dans l’ensemble de l’Agence et par des commissaires externes, l’augmentation continue des demandes d’AIPRP ainsi que la détérioration du temps de réponse peuvent nécessiter une plus grande optimisation du processus.

Réponse aux plaintes

Les plaintes liées aux demandes d’AIPRP sont gérées par le Commissariat à l’information du Canada (CI) ou le Commissariat à la protection de la vie privée du Canada (CPVP). Le processus de plainte est décrit dans chacune des lois, et la Division de l’AIPRP fournit cette information dans le manuel de référence de l’AIPRP. La description dans le manuel décrit le processus du point de vue du demandeur, mais il pourrait aussi y avoir une description de la manière dont la Division de l’AIPRP gère les plaintes.

En 2014-2015, l’Agence a reçu 71 plaintes en vertu de la LAI et 36 plaintes en vertu de la LPRP. Étant donné le nombre de demandes, ces taux sont faibles, soit 1,1 % de plaintes par rapport aux plaintes liées à la LAI et 0,3 % pour celles liées à la LPRPNote de bas de page 13. Le CI et le CPVP supervisent le processus de plainte et, au bout du compte, examinent et acceptent chacune des réponses de l’Agence. En 2014-2015, 54 plaintes liées à la LAI ont été résolues, dont 29 se sont avérées fondées. De même, pour la LPRP, 22 plaintes ont été résolues, et 13 ont été jugées comme étant fondées. L’ASFC a répondu aux plaintes en prenant des mesures correctives au besoin. Dans dix des dossiers de plainte examinés par l’équipe de l’audit, où la plainte s’est avérée fondée, une seule avait dépassé le délai prévu par le CPVP.

Le directeur de l’AIPRP examine chaque plainte. Selon les résultats de l’enquête et la nature de la plainte, il est possible que les observations issues de l’enquête ne s’appliquent pas à d’autres cas. Lorsque la plainte est jugée comme étant bien fondée et que les leçons retenues peuvent s’appliquer à d’autres dossiers, l’information est communiquée au personnel. Certains renseignements liés aux plaintes sont aussi présentés dans les rapports de l’Agence sur la conformité à la LAI et à la LPRP.

Puisque le processus de plainte est dirigé par le CI et le CPVP, le risque de ne pas traiter les plaintes est limité. La rigueur entourant l’analyse des causes fondamentales pourrait être améliorée si les tendances liées aux plaintes commencent à augmenter.

Au cours de la période de l’audit, la Division de l’AIPRP a présenté régulièrement des rapports sur ses activités de surveillance aux différents échelons de gestion de l’Agence et a fait l’objet d’une surveillance régulière de la part de comités de surveillance externes pour chaque réponse aux plaintes d’auteurs de demandes d’AIPRP.

Bien que l’Agence soit dotée d’un cadre de contrôle de gestion efficace pour la fonction d’AIPRP, puisque le nombre de demandes d’AIPRP continue d’augmenter, la fonction d’AIPRP devra continuellement être optimisée pour satisfaire aux délais de réponse prescrits par la loi et respecter les contrôles de processus internes.

Recommandation 2 :

Le vice-président de la Direction générale des services intégrés devrait optimiser la fonction d’AIPRP, notamment par la détermination des postes fonctionnels clés de l’Agence pour lesquels la formation sur l’AIPRP est obligatoire; l’établissement d’un plan des ressources humaines; et la présentation de rapports suffisamment détaillés pour favoriser l’amélioration du processus.

Réponse de la direction Échéance
La Direction générale des services intégrés accepte la recommandation issue de l’audit. Les postes clés de l’Agence qui doivent suivre une formation seront déterminés, et la stratégie des ressources humaines de la Division de l’AIPRP sera harmonisée à son plan d’activités. Des rapports plus détaillés à l’appui de l’optimisation de la fonction d’AIPRP ont déjà été créés pour un usage interne. 31 mars 2017

Annexe A – À propos de l’audit

Objectifs et portée de l’audit

L’audit avait pour objectif d’évaluer l’efficacité du cadre de contrôle de gestion lié à l’AIPRP, ce qui comprend la gestion des ressources humaines, les processus opérationnels et le respect des délais prévus dans la loi, et les contrôles qui atténuent le risque de communiquer des renseignements faisant l’objet d’une exception.

L’audit a porté sur les éléments suivants : la formation et les outils en place pour aider le personnel de l’Agence dans le traitement des demandes liées à la Loi sur l’accès à l’information (LAI) et à la Loi sur la protection des renseignements personnels (LPRP); les contrôles pour gérer les demandes d’AIPRP; et les activités visant l’amélioration continue des processus de traitement des demandes d’AIPRP.

L’audit portait sur la période du 1er avril 2013 au 30 novembre 2015 pour le cadre de contrôle de gestion lié à l’AIPRP. La période de l’audit consacrée à vérifier un échantillon représentatif de demandes relatives à la LAI et à la LPRP Note de bas de page 14 s’est échelonnée du 1er avril 2015 au 30 septembre 2015, couvrant ainsi deux trimestres.

Éléments exclus

Les éléments relevés à l’étape de la planification qui présentent un faible risque sont exclus de l’audit, à savoir :

Évaluation du risque

Une évaluation préliminaire du risque a été réalisée à l’étape de la planification de façon à cerner les secteurs susceptibles de présenter des risques et à déterminer les priorités de l’audit. L’évaluation comprenait des entrevues et des examens de documents. Les principaux secteurs de risque relevés sont les suivants :

Ressources humaines

Processus opérationnels

Conformité

Approche et méthodologie

La phase d’examen de l’audit a été réalisée selon l’approche suivante :

Critères d’audit

Les critères d’audit sont conformes aux principes de contrôle de la gestion du Committee of Sponsoring Organizations of the Treadway Commission (COSO) de 2013.

Compte tenu des observations préliminaires tirées de la phase de planification, les critères suivants ont été choisis :

Secteurs d'intérêt Critères d'audit
1. Environnement de contrôle 1.1. Les rôles, les responsabilités et les pouvoirs sont définis dans la gestion des demandes d’AIPRP.
1.2 Un plan des ressources humaines est en place et prévoit une stratégie pour aider la Division de l’AIPRP à atteindre ses objectifs.
1.3. Les employés et les agents de liaison de l’AIPRP ainsi que les employés de l’ASFC reçoivent la formation et les outils nécessaires pour s’acquitter de leurs responsabilités.
2. Évaluation du risque 2.1. Les risques qui se présentent à la Division de l’AIPRP sont cernés et sont mitigés au moyen de mesures appropriées.
2.2. Les risques de fraude sont cernés et analysés, et des mesures sont prises pour les mitiger.
2.3. Les changements susceptibles d’influer grandement sur le système de contrôle interne sont relevés et évalués, et des mesures d’adaptation sont prises.
3. Activités de contrôle 3.1. Des mesures de contrôle importantes sont en place pour atteindre les objectifs et réagir aux risques liés à l’AIPRP.
3.2. Les demandes d’AIPRP sont traitées dans les délais prescrits par la loi et les normes de service de l’ASFC.
4. Information et communication 4.1 De l’information exacte est compilée et communiquée à l’interne et à l’externe.
5. Activités de surveillance 5.1 Des activités de surveillance sont réalisées, et les problèmes relevés sont corrigés rapidement de façon à favoriser l’amélioration continue.

Annexe B – Liste des acronymes

AIPRP
Accès à l’information et protection des renseignements personnels
APCM
AccessPro Case Management
ASFC
Agence des services frontaliers du Canada
BPR
Bureau de première responsabilité
CI
Commissariat à l’information du Canada
COSO
Committee of Sponsoring Organizations of the Treadway Commission
CPVP
Commissariat à la protection de la vie privée du Canada
DP
Demande de proposition
DVI
Direction de la vérification interne
EFPC
École de la fonction publique du Canada
LAI
Loi sur l’accès à l’information
LPRP
Loi sur la protection des renseignements personnels
RH
Ressources humaines
Date de modification :