Audit de la gestion des données
[ Version PDF ]
Projet de rapport final
Juillet 2020
Situation générale
Contexte
Le volume de données que le gouvernement canadien produit, recueille et utilise a considérablement augmenté. Cette croissance a largement été attribuée aux récents progrès de la technologie numérique. Les organisations modifient donc leurs modèles opérationnels, acquièrent de nouvelles compétences et conçoivent de nouvelles méthodes de gestion et de déverrouillage de leurs données pour prendre de meilleures décisions, concevoir de meilleurs programmes et fournir des services plus efficaces.
Compte tenu des récents efforts visant à moderniser la fonction publique pour la rendre plus agile, mieux équipée et plus inclusive, une approche prospective et ouverte des données est considérée comme un élément essentiel du renouvellement de la fonction publique. À cette fin, le greffier a chargé un groupe de hauts fonctionnaires en janvier 2018 de mettre au point une stratégie sur les données pour la fonction publique fédérale. Ce groupe a produit un document connu sous le nom de Rapport au greffier du Conseil privé : Feuille de route de la stratégie sur les données pour la fonction publique fédérale.
Suite à la publication du rapport susmentionné, tous les ministères fédéraux ont été chargés par le greffier du Conseil privé d’élaborer une stratégie sur les données adaptée à leurs besoins d’ici septembre 2019.
L’une des principales fonctions du Bureau du Conseil privé (BCP) est de servir le Canada et les Canadiens en fournissant des conseils et un soutien professionnels et non partisans au premier ministre, aux ministres du portefeuille et au Cabinet sur des questions d’importance nationale et internationale. Des données crédibles sont nécessaires pour appuyer en temps utile la prise de décision fondée sur des données probantes.
Cet audit a été proposé à la suite de consultations avec la haute direction et à la lumière des recommandations formulées dans le rapport susmentionné. En tant que projet lié à la gestion de l’information, cet audit complète l’Audit de la transformation de la tenue de documents de 2015-2016.
Il s’agissait d’un audit prospectif qui visait à évaluer les plans du BCP pour élaborer et mettre en œuvre une stratégie sur les données alors que les travaux d’élaboration de cette stratégie étaient en cours. L’audit visait à faciliter l’élaboration et la mise en œuvre de la stratégie en identifiant les risques potentiels susceptibles d’entraver la mise en œuvre effective de la stratégie. Il est prévu qu’après l’élaboration et la mise en œuvre complètes de la stratégie sur les données, des audits ultérieurs soient effectués.
Vu que le terme « données » peut avoir plusieurs significations, dans cet audit, basé sur les résultats globaux de l’audit et conformément à la définition du Conseil du Trésor, les données sont définies comme des informations non organisées que l’on trouve généralement dans un format structuré (fichier, base de données, statistiques, etc. ). Mais elles peuvent aussi se trouver dans un format non structuré (documents Word, rapports, etc. ) qui peut être transformé en un format structuré grâce à la technologie (p. ex. une carte de mots ou un traitement du langage naturel).
Objectif, portée et critères
L’audit a porté sur les activités liées à la gestion des données et à la planification au BCP au cours de la période allant de juillet à septembre 2019. Les principaux objectifs de l’audit étaient les suivants :
- évaluer si le BCP était en bonne voie pour élaborer une stratégie sur les données;
- identifier tout risque potentiel susceptible d’entraver la mise en œuvre de la stratégie lorsqu’elle aura été élaborée.
Conformément aux principaux piliers fondamentaux identifiés dans le rapport du greffier, l’audit visait à évaluer si le BCP remplissait les critères suivants (c.-à-d. points de référence pour l’évaluation du rendement) :
- 1.0 Gouvernance – Le BCP est en bonne voie pour mettre en place des mécanismes de gouvernance de la gestion des données avec des responsabilités définies visant à soutenir efficacement la planification de l’infrastructure des données et la collecte, le stockage et l’utilisation des données afin de répondre aux besoins actuels et futurs du Ministère.
- 2.0 Politique, procédure et outils – Le BCP est en bonne voie pour planifier, élaborer et mettre en œuvre une stratégie sur les données; et il a mis en place ou met en place des politiques et des procédures relatives à l’utilisation éthique et sûre des données pour soutenir la prise de décision fondée sur des données probantes.
- 3.0 Personnes et capacité – Le personnel du BCP possède les connaissances et les compétences nécessaires pour obtenir des résultats en matière de gestion des données dans divers modes, y compris les technologies numériques, et le BCP a mis en place des processus et des procédures pour recruter, perfectionner, former et maintenir en poste les personnes qualifiées dont il a besoin pour faire le travail lié aux données dans un environnement numérique.
- 4.0 Environnement et infrastructure numérique – Le BCP dispose de l’environnement et de l’infrastructure de technologie de l’information appropriés pour permettre à ses professionnels qualifiés d’utiliser les technologies en vue de soutenir la prise de décision fondée sur des données probantes.
Méthodologie
L’approche et la méthodologie de cette mission d’audit étaient fondées sur les risques et étaient conformes aux Normes internationales pour la pratique professionnelle de l’audit interne (IIA) et à la politique et à la directive du Conseil du Trésor sur l’audit interne. L’audit est en conformité avec le programme d’assurance et d’amélioration de la qualité de l’IIA.
Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans ce rapport, et pour fournir le niveau d’assurance que procure un audit. Les constatations et les conclusions reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Ces constatations et conclusions s’appliquent seulement à l’entité examinée ainsi qu’à la période visée par l’audit et à sa portée. L’évaluation s’est déroulée en trois phases :
- Phase de planification
- Élaboration de documents de planification de l’audit et d’outils d’évaluation.
- Réalisation d’entrevues et examen des documents pertinents.
- Réalisation des revues de projet et des observations de certains processus ou activités critiques clés.
- Phase d’examen
- Identification, analyse, évaluation et enregistrement des informations pertinentes.
- Tenue de séances d’information à l’intention de la direction sur l’avancement de l’exercice.
- Phase de rapport
- Validation des observations auprès des niveaux de gestion appropriés.
- Communication à la haute direction des observations et du rapport d’évaluation dans un format approprié.
Principales constatations
Gouvernance
Critère 1.0
Le BCP est en bonne voie pour mettre en place des mécanismes de gouvernance de la gestion des données avec des responsabilités définies visant à soutenir efficacement la planification de l’infrastructure des données et la collecte, le stockage et l’utilisation des données afin de répondre aux besoins actuels et futurs du Ministère.
Pourquoi est-ce important?
La mise en place d’une structure de gouvernance au bon niveau facilitera la surveillance efficace de l’élaboration et de la mise en œuvre de la stratégie sur les données au sein du Ministère.
Principales constatations
- Au moment de la réalisation de cet audit (juin – septembre 2019), il n’y avait pas d’orientation claire sur la composition et les rôles et responsabilités de l’éventuelle structure de gouvernance pour la gestion des données au BCP. Toutefois, les personnes interrogées dans le cadre de cet audit ont souligné l’importance d’établir une structure de gouvernance au bon niveau comme première étape pour faciliter l’élaboration et la mise en œuvre d’une stratégie sur les données au BCP.
- Une consultation à l’échelle du Ministère menée par le groupe de travail sur la stratégie sur les données a également réitéré l’importance de cette question et a recommandé que le BCP établisse d’ici décembre 2019 des instruments de gouvernance appropriés, y compris un groupe de travail pour superviser et hiérarchiser la mise en œuvre de la stratégie sur les données.
- Bien que la plupart des personnes interrogées aient suggéré d’utiliser les comités de gouvernance existants au BCP au lieu d’en créer un nouveau, l’examen des documents a indiqué que certains autres ministères ont adopté une approche hybride (c.-à-d. qu’ils ont fusionné deux comités existants et les ont réorganisés).
- L’audit a conclu que, quel que soit le modèle de gouvernance adopté, il sera impératif que cette instance ait un mandat axé sur les données.
Recommendation
Le SMA, DSM devrait considérer à :
- Créer/désigner un comité de gouvernance (p. ex. au niveau du sous-ministre adjoint) chargé de superviser l’élaboration et la mise en œuvre de la stratégie sur les données.
Politiques, procédures et outils
Critère 2.0
Le BCP est en bonne voie pour mettre en place des politiques et des procédures relatives à l’utilisation éthique et sûre des données.
Pourquoi est-ce important?
La mise en place de politiques, de procédures et d’outils contribue à garantir que les processus fondamentaux de la stratégie sur les données sont exécutés d’une manière conforme aux exigences du Ministère et du gouvernement.
Principales constatations
- L’audit a consisté en un examen comparatif des politiques et des directives ministérielles relatives à la gestion de l’information et aux technologies de l’information. Les résultats indiquent que les politiques, les procédures et les pouvoirs du BCP dans ces domaines sont conformes aux politiques et aux directives applicables du CT.
- La majorité des personnes interrogées ont indiqué que les politiques et les directives gouvernementales sur la gestion de l’information, les technologies de l’information, l’accès à l’information et la protection de la vie privée, les valeurs et l’éthique, la sécurité du gouvernement, ainsi que la nouvelle politique sur les services et le numérique (qui est entrée en vigueur le 1er avril 2020) sont adéquates pour garantir la collecte, le stockage, le partage et l’utilisation éthiques et sûrs des données.
- Bien que les politiques et les autorités actuelles en matière de gestion de l’information couvrent la collecte, le stockage et l’utilisation éthiques et sûrs de l’information, l’avènement rapide des nouvelles technologies pourrait modifier le paysage et les besoins futurs.
- Par conséquent, alors que le Ministère s’engage dans la mise en œuvre de sa stratégie sur les données et que l’utilisation de technologies innovantes, comme l’automatisation et l’intelligence artificielle, devient plus courante dans la collecte, le stockage, le partage et l’analyse des données, il serait prudent d’examiner de plus près ces politiques et procédures afin de s’assurer qu’il existe suffisamment de garanties pour une utilisation éthique et sûre des données.
Recommendation
Le SMA, DSM, en collaboration avec ses collègues SMA/secrétaire adjoint concernés, devrait considérer à :
- Revoir les politiques et les procédures en vigueur pour s’assurer que les référentiels de données du BCP disposent de contrôles de protection (p. ex. l’accès est accordé en fonction des besoins), et d’appliquer de façon itérative des contrôles de détection (p. ex. les irrégularités sont identifiées rapidement) là où faisable pour atténuer le risque d’accès ou d’utilisation non autorisés des données; et
- Élaborer des campagnes de formation et de sensibilisation pour améliorer la compréhension et l’adhésion des employés du BCP aux normes de la collecte, du partage et de l’utilisation éthiques et sûrs des données.
Personnes et capacité
Critère 3.0
Le personnel du BCP possède les connaissances et les compétences nécessaires pour obtenir des résultats en matière de gestion des données dans divers modes, y compris les technologies numériques, et le BCP a mis en place des processus et des procédures pour recruter, perfectionner, former et maintenir en poste les personnes qualifiées dont il a besoin pour faire le travail lié aux données dans un environnement numérique.
Pourquoi est-ce important?
Une stratégie sur les données réussie exige que l’organisation ait le talent et la capacité de gérer, d’interpréter, d’utiliser et de comprendre les données.
Principales constatations
- L’audit a permis d’évaluer dans quelle mesure le personnel du BCP possède les connaissances et les compétences nécessaires pour obtenir des résultats en matière de gestion des données et que le BCP a mis en place des processus et des procédures pour recruter, perfectionner, former et maintenir en poste les personnes qualifiées dont il a besoin pour faire le travail lié aux données dans un environnement numérique.
- Le point commun entre les personnes interrogées est que le niveau de savoir-faire en matière de données varie au sein du BCP en fonction des descriptions de poste et des fonctions particulières.
- Selon les personnes interrogées, plusieurs groupes et fonctions ont développé des capacités importantes en savoir-faire en matière de données et en gestion des données. De plus, quelques groupes ont essayé d’améliorer le savoir-faire et les compétences en matière de données dans le cadre de leurs fonctions. Cependant, presque tous ces efforts ont été décrits comme étant fragmentés et manquant de cohérence et de coordination.
Recommendation
Le SMA, DSM, en collaboration avec ses collègues SMA/secrétaire adjoint concernés, devrait considérer à :
- Réaliser une évaluation des besoins en formation et élaborer des plans et des programmes de formation appropriés pour le personnel et la direction afin d’améliorer leur savoir-faire en matière de données et leurs compétences en gestion des données; et
- Mettre en place des initiatives visant à recruter et à maintenir en poste un personnel qualifié et compétent en matière de données afin de garantir que le Ministère dispose des talents et des capacités nécessaires pour gérer, comprendre, utiliser et partager les données.
Environnement et infrastructure numérique
Critère 4.0
Le BCP dispose de l’environnement et de l’infrastructure de technologie de l’information appropriés pour permettre à ses professionnels qualifiés d’utiliser les technologies en vue de soutenir la prise de décision fondée sur des données probantes.
Pourquoi est-ce important?
La réussite de la mise en œuvre de la stratégie sur les données nécessite la mise en place d’un environnement et d’une infrastructure de technologie de l’information appropriés.
Principales constatations
- L’audit a permis d’évaluer dans quelle mesure l’infrastructure de la technologie de l’information du BCP est propice à la gestion des données et aux pratiques d’analyse, y compris l’horizontalité et la collaboration tant à l’intérieur qu’à l’extérieur du Ministère.
- Les examens de documents, notamment l’examen d’une ébauche actuelle du plan stratégique de gestion de l’information/technologie de l’information du BCP, indiquent que le BCP dispose d’un plan complet pour mettre à niveau et moderniser son infrastructure dans les années à venir.
- Malgré toutes les améliorations, y compris le déploiement d’applications comme GCdocs, la majorité des personnes interrogées ont indiqué que l’architecture actuelle de la technologie de l’information du BCP est conçue principalement pour travailler en silos et, à ce titre, elle ne facilite pas efficacement le partage des données et la collaboration.
- Par exemple, l’absence d’un réseau sécurisé interopérable à l’échelle du gouvernement a été identifiée comme l’un des principaux obstacles à l’avancement des objectifs de gestion des données, au partage des données et à la collaboration pour ceux qui traitent principalement des informations confidentielles.
- Au cours des dernières années, le BCP a fait des investissements importants dans la mise à niveau de l’infrastructure des technologies de l’information. Toutefois, la plupart des personnes interrogées ont estimé que des investissements continus doivent être faits pour modifier, mettre à niveau et moderniser l’infrastructure actuelle de la technologie de l’information et pour garantir que les outils, les applications et l’infrastructure appropriés sont disponibles pour faciliter la gestion, l’analyse, le partage des données et la collaboration.
Recommendation
Le SMA, DSM devrait considérer à :
- Travailler avec des parties prenantes telles que Services partagés Canada et le Secrétariat du Conseil du Trésor, ainsi qu’avec les gestionnaires de programme du BCP pour s’assurer que les investissements futurs dans l’infrastructure de la technologie de l’information soutiennent la mise en œuvre de la stratégie sur les données du BCP.
Conclusion
Dans l’ensemble, les résultats de notre audit indiquent qu’il y a suffisamment de données probantes pour fournir une assurance raisonnable que le BCP est en bonne voie pour créer les bases nécessaires à l’élaboration d’une stratégie sur les données, comme il est énoncé dans le rapport du greffier et conformément aux secteurs d’activité du Ministère.
Le Ministère a fourni son projet de stratégie sur les données aux principales parties prenantes en septembre 2019. Le projet de stratégie sur les données définit des objectifs à court terme (d’ici mars 2020), à moyen terme (d’ici mars 2021) et à long terme (au-delà de mars 2021). Le projet de stratégie sur les données a été décrit comme un document évolutif, qui sera modifié périodiquement selon les nouvelles possibilités et réalités.
L’audit a permis de formuler un certain nombre de recommandations visant à soutenir la mise en œuvre réussie de la stratégie sur les données à court terme (voir l’annexe A).
Les prochains audits évalueront la mise en œuvre de la stratégie sur les données et la manière dont elle aide le Ministère à libérer le pouvoir des données pour soutenir ses processus opérationnels et ses prises de décision.
Annexes
Annexe A – Recommandations
| Gouvernance | Politique, procédures et outils | Personnes et capacité | Environnement et infrastructure numériques |
|---|---|---|---|
Le SMA, DSM devrait considérer à :
|
Le SMA, DSM, en collaboration avec ses collègues SMA/sous-secrétaire adjoint concernés, devrait considérer à :
|
Le SMA, DSM, en collaboration avec ses collègues SMA/sous-secrétaire adjoint concernés, devrait considérer à :
|
Le SMA, DSM devrait considérer à :
|
Annexe B : Réponse et plan d'action de la direction
| Recommandation | Réponse de la direction | Mesure | Poste responsable | Date cible |
|---|---|---|---|---|
Le SMA, DSM devrait considérer à :
|
En accord | Les comités de gouvernance existants seront utilisés pour mettre à jour la stratégie, établir des priorités et trouver les personnes ayant les compétences et le mandat nécessaires pour collaborer à des projets qui rendent la stratégie opérationnelle. Plus spécifiquement, le cadre de référence pour le Comité de gouvernance des SMA sera revu dans le but de proposer un élargissement de son mandat pour inclure a stratégie sur les données. Le cadre de référence sera aussi développé pour un groupe de travail au niveau des directeurs généraux/directeurs afin de diriger l’élaboration de la stratégie sur les données. En janvier 2020, une nouvelle équipe a été créée au sein de la DSM pour se charger d’un nombre de questions sur les données à l’appui de la stratégie sur les données. Cette équipe sera responsable de revoir/surveiller/établir un compte rendu sur les progrès de la mise en oeuvre de la stratégie sur les données. |
SMA, DSM | Trimestre 4 de l’exercice 2019-2020 : la stratégie sur les données a été approuvée par le Comité executif bu BCP en janvier 2020. Trimestre 3 de l’exercice 2020-2021 : les documents sur la gouvernance seront amendés/créés/soumis pour approbation. |
| Recommandation | Réponse de la direction | Mesure | Poste responsable | Date cible |
|---|---|---|---|---|
Le SMA, DSM, en collaboration avec ses collègues SMA/secrétaire adjoint concernés, devrait considérer à :
|
En accord | Au fur et à mesure que la stratégie sur les données progresse, après son approbation et sa mise en œuvre progressive, seront évaluées les capacités d’audit et de traçabilité des bases de données et des référentiels nouveaux ou mis à niveau. La DSM sensibilisera davantage les ministères aux activités du GC en matière de données ouvertes et à la façon dont elles sont liées à leurs fonds de données. Il s’agit notamment d’aider les unités opérationnelles du BCP à identifier les collectes de données potentielles, de les informer de la position du GC sur l’ouverture par défaut et le partage des données, ainsi que d’utiliser des outils ministériels pour faciliter la gestion, le partage et le stockage des données. La DSM continue de mettre à jour son inventaire des fonds de données (à la fois publiables et non publiables), publié sur Gouvernement ouvert. La DSM élargit aussi sa capacité en analyse qui, entre autres choses, mettra l’accent sur le travail de base réquis pour preparer les données pour l’analyse. |
Dirigeant principal de l’information Directeur exécutif de la gestion de l’information et de l’analyse organisationnelle |
Trimestre 4 de l’exercice 2020-2021 : les Politiques actuelles sur les TI seront revues et un plan sera developpé en consequence. Trimestre 4 de l’exercice 2020-2021 : suite aux résultats du sondage sur le savoir-faire en données, les écarts et les besoins de formation seront identifiés et indiqués dans les plans de formation de façon appropriée. Nota : ce travail est continu comme les discussions sur le sujet des données se tiennent à travers la fonction publique et que les meilleures pratiques sont continuellement mises à jour. |
| Recommandation | Réponse de la direction | Mesure | Poste responsable | Date cible |
|---|---|---|---|---|
Le SMA, DSM, en collaboration avec ses collègues SMA/sous-secrétaire adjoint concernés, devrait considérer à :
|
En accord | Avant le 31 mars 2020 un sondage sur le savoir-faire en matière des données sera mené. Les résultats serviront à guider les prochaines étapes au sujet des exigences au niveau du ministère à propos du savoir-faire en matière des données. |
Directeur exécutif de la gestion de l’information et de l’analyse organisationnelle | Trimestre 4 de l’exercice 2019-2020 : un sondage initial sur le savoir-faire en matière des données a été mené en mars 2020. Trimestre 4 de l’exercice 2020-2021 : des plans de formation et un projet-pilote seront lancés. Trimestre 4 de l’exercice 2020-2021 : les RH auront des options à leur disposition pour inclure le savoir-faire en matière des données dans leurs processus de recrutement là où applicable. Trimestre 4 de l’exercice 2020-2021 : les gestionnaires recruteurs auront à leur disposition des énoncés et des methods standards pour évaluer le savoir-fairre en matière des données. |
| Recommandation | Réponse de la direction | Mesure | Poste responsable | Date cible |
|---|---|---|---|---|
Le SMA, DSM devrait considérer à :
|
En accord | Des représentants de l’équipe de la technologie de l’information du Ministère participent au groupe de travail sur la stratégie sur les données et au comité directeur pour cerner les lacunes et les possibilités de soutenir la mise en œuvre de la stratégie sur les données. Au fur et à mesure que de nouveaux outils seront fournis, la Direction générale des services ministériels examinera si ces outils peuvent être utilisés pour appuyer les recommandations et les exigences de la stratégie sur les données. Dans certains cas, le Ministère pourrait devoir établir le financement nécessaire aux mises à niveau qui s’imposent, à partir de fonds nouveaux ou existants. |
Dirigeant principal de l’information | Le BCP est engagé dans les forums appropriés et ce travail est continu comme les discussions sur le sujet des données se tiennent à travers la fonction publique et que les meilleures pratiques sont continuellement mises à jour. |
Détails de la page
- Date de modification :