Protection de l'information : protocole d'entente avec la Gendarmerie royale du Canada

Rapport de vérification interne

Direction générale de la vérification et de l'évaluation de l'entreprise
Février 2008

Table des matières

• Introduction
• Portée de la vérification
• Observations
• Conclusion

Introduction

À l'Agence du revenu du Canada (ARC), la Direction des organismes de bienfaisance (la Direction) de la Direction générale de la politique législative et des affaires réglementaires (DGPLAR) est responsable de l'enregistrement des organismes de bienfaisance et d'assurer qu'ils observent la Loi de l'impôt sur le revenu (LIR).

L'ARC a également un mandat national en matière de sécurité relatif à l'enregistrement des organismes de bienfaisance. En décembre 2001, l'adoption de la Loi sur l'enregistrement des organismes de bienfaisance (renseignements de sécurité) (LEOBRS), conformément à la partie 6 de la Loi antiterroriste, a redéfini le rôle et l'importance de la protection de l'intégrité du système d'enregistrement des organismes de bienfaisance au Canada à l'appui des objectifs antiterroristes au pays. Le rôle de la Direction des organismes de bienfaisance est d'assurer que les organisations soupçonnées d'entretenir des liens avec des activités terroristes se voient refuser ou retirer leur statut d'organisme de bienfaisance en vertu de la LIR.

Pour l'exécution de ce mandat, la Direction utilise des renseignements secrets et classifiés obtenus d'organismes partenaires. Elle doit s'assurer que ces renseignements sont bien protégés. L'accès non autorisé à ces renseignements constituerait une infraction conformément à la Loi sur la protection de l'information.

Afin de mieux appuyer l'échange de renseignements décrit ci-dessus, l'ARC et la Gendarmerie royale du Canada (GRC) ont conclu un protocole d'entente (PE) le 30 mai 2005. Le PE a pour objet « de présenter une vision claire et objective des rôles et responsabilités de chacune des parties en vertu de la LEOBRS ».

Le PE exige que les deux parties veillent à ce que les procédures soient en place afin de garantir la sécurité des renseignements et de la protéger de toute autre divulgation. Par conséquent, l'ARC doit s'assurer que tous les renseignements reçus en vertu du PE sont conservés et comptabilisés selon les politiques et les procédures en matière de gestion de l'information. De plus, les modalités du PE exigent que l'ARC effectue une vérification interne de la protection de l'information dans les deux ans suivant la date de signature.

La protection des renseignements classifiés est établie dans ce PE, ainsi que dans un certain nombre de documents importants, y compris la Loi sur la protection de l'information, la Politique du gouvernement sur la sécurité (PGS) et le Manuel des finances et de l'administration (MFA) de l'ARC. Établie par le Secrétariat du Conseil du Trésor (SCT) du Canada, la PGS prescrit l'application de mesures de sauvegarde dans le but de réduire le risque de préjudice et de préserver la confidentialité des biens, y compris l'information. Le MFA de l'ARC énonce également les politiques et une orientation concernant la protection des biens, y compris la sensibilisation à la sécurité, les enquêtes de sécurité, la sécurité matérielle et la sécurité de la technologie de l'information (TI). Le document comprend également des politiques et des lignes directrices sur le traitement, la conservation, la transmission et la destruction des renseignements de nature délicate.

Portée de la vérification

La vérification avait pour objet de déterminer si l'ARC respectait les exigences qui régissent la réception, l'utilisation, la protection, la conservation et la destruction des renseignements reçus de la GRC, conformément au PE signé le 30 mai 2005.

La vérification était effectuée au sein de la Direction des organismes de bienfaisance de la Direction générale de la politique législative et des affaires réglementaires (DGPLAR) de l'ARC. Il y avait aussi des entrevues auprès des représentants de la Direction générale des finances et de l'administration (DGFA), la Direction générale de l'informatique (DGI) et la Direction générale des stratégies d'entreprise et du développement des marchés (DGSEDM). La phase d'examen s'est déroulée de juin à décembre 2007. Les renseignements reçus de la GRC pour la période allant de janvier 2006 à avril 2007 ont été incorporés dans l'examen.

La vérification a respecté les Normes internationales pour la pratique professionnelle de l'audit interne.

Observations

La vérification a confirmé que les renseignements reçus de la GRC ont été protégés de façon adéquate. Le secteur de programme a observé les politiques, les procédures, les lois et règlements en matière de protection de l'information reçue de la GRC. La vérification a révélé un niveau élevé de sensibilisation et une bonne compréhension de la législation, des politiques, des procédures et des pratiques exemplaires parmi les employés du programme. Rien ne semblait indiquer que l'information était utilisée à des fins autres que l'exécution et l'administration de la LEOBRS et de la LIR ou qu'elle ait été divulguée à une autre entité. De plus, la vérification a confirmé que des mesures de contrôle préventives ont été mises en œuvre en ce qui a trait à la conservation et à la protection de l'information reçue.

Les entrevues menées auprès des représentants de la Direction des organismes de bienfaisance, de la Direction de la sécurité de la Direction générale des finances et de l'administration, et de la Division des services de sécurité des TI ont révélé qu'il existait un niveau élevé de connaissances liées aux protocoles et aux normes de sécurité. La Direction a investi de manière significative dans des installations et une infrastructure de la TI sécurisées pour les activités de programme. Les employés et les gestionnaires qu'on avait interviewés du secteur de programme visé avaient obtenu les cotes de sécurité appropriées et valides; le droit d'accès sélectif et avaient reçu une formation sur la sensibilisation à la sécurité.

Un spécialiste principal en sécurité des TI ayant beaucoup d'expérience en matière de sécurité a été engagé afin de fournir des services liés à l'identification, au développement, à la documentation, à la conservation et à la mise en œuvre de tous les aspects de sécurité relatifs à l'environnement de la TI et opérationnel du secteur de programme, y compris les Procédures normales d'exploitation (PNE) concernant les protocoles de sécurité.

Des visites sur les lieux, un examen des documents à l'appui et des entrevues ont démontré que les mesures de contrôle sont en place afin d'assurer un environnement sécurisé et approuvé. Ces mesures de contrôle respectent la PGS, les normes de sécurité afférentes et le MFA de l'ARC. Par exemple, afin de satisfaire à l'exigence préalable relative à la conservation des renseignements classifiés dans des zones sécurisées appropriées, la Direction a effectué des évaluations de la menace et des risques appropriées et documentées pour ses installations. La GRC a effectué son propre examen des installations. Des visites des bureaux de la vérification interne et des mises à l'épreuve ont confirmé que l'accès physique aux renseignements classifiés était restreint au moyen de points d'entrée sélectifs. Les renseignements étaient conservés selon les normes de sécurité de la GRC et situés dans les zones sécurisées appropriées. En plus d'un environnement sécuritaire, l'équipe de vérification a constaté que les employés avaient reçu des directives claires relatives à la protection de l'information et qu'ils respectaient les procédures d'exploitation.

Les renseignements reçus de la GRC pour la période visée par l'examen ont été déterminés, saisis, conservés et surveillés de façon appropriée. Une revue complète des dossiers de renseignements reçus au cours de la période allant de janvier 2006 à avril 2007 a été effectuée. Les dossiers qui contiennent des renseignements classifiés ont fait l'objet d'un contrôle rigoureux et ont été surveillés de façon appropriée. Les normes de sécurité exigent que les renseignements classifiés soient conservés dans un classeur fermé à clé approuvé aux fins de sécurité ou dans un coffre-fort qui figure sur la liste sécuritaire du Guide d'équipement de sécurité de la GRC, et situés dans une zone de sécurité ou dans une zone à sécurité élevée. Les visites sur les lieux ont confirmé que la conservation des renseignements reçus de la GRC était adéquate. De plus, tout renseignement classifié dans le secteur de programme était stocké dans le réseau « classifié » sécurisé.

Le PE énonce que les renseignements fournis en vertu du PE « seront conservés pour la période minimale requise en vertu du paragraphe 6(1) de la Loi sur la protection des renseignements personnels et des politiques administratives du gouvernement du Canada. Par la suite, ils doivent être immédiatement détruits ou retournés à l'autre partie ». À ce jour, aucun renseignement classifié reçu de la GRC n'a été autorisé à être détruit.

Toutefois, l'équipe de vérification a constaté une section, ayant trait à la formulation dans le PE, qui devrait être clarifiée. La clause 11 de la section du PE intitulée « Confidentialité et sécurité des renseignements » prévoit que les renseignements que l'ARC recevra de la GRC « doivent être traités selon la classification de sécurité qui lui a été assignée ». La clause 12 poursuit en indiquant que les « conditions et procédures générales applicables pour assurer la sécurité des renseignements sont indiquées à l'annexe C ». L'annexe C comprend un tableau qui énonce les exigences en matière de sécurité concernant les renseignements de l'ARC désignés « protégés ». Étant donné que les renseignements reçus de la GRC sont désignés « classifiés », le tableau ne donne pas de directives appropriées et pourrait prêter à confusion quant au niveau de protection approprié des renseignements reçus de la GRC.

Recommandation

À la prochaine mise à jour du PE, il faudrait réviser le texte et le tableau à l'annexe C afin d'y inclure des directives précises sur la protection des renseignements classifiés. Veuillez noter que ces directives se trouvent actuellement dans le MFA et le Guide de norme de classification de sécurité de l'information dans le site InfoZone de la Division de la politique de l'information et de la gouvernance. Cette mesure donnera la certitude à l'ensemble des parties que l'information reçue de la GRC est protégée conformément aux lignes directrices sur la protection des renseignements classifiés.

Plan d'action

1. La Direction des organismes de bienfaisance travaillera avec la Division des relations fédérales et provinciales/territoriales, Direction des relations avec les clients, de la Direction générale des stratégies d'entreprise et du développement des marchés afin d'établir un échéancier pour réviser les PE existants.

2. Pour la préparation de la nouvelle rédaction de ces PE, la Direction des organismes de bienfaisance, de la DGPLAR, se chargera, au plus tard le 30 septembre 2008, d'avoir :

• amorcé des discussions avec la GRC afin d'obtenir leur approbation formelle ainsi que leurs commentaires à l'égard de ces modifications spécifiques;
• dressé une liste proposée de questions à aborder lorsque les PE sont assignés à une révision;
• discuté ces questions avec la GRC afin d'obtenir leurs commentaires et leur approbation;
• d'après ces discussions, préparé une ébauche initiale des propositions de modifications relatives aux PE.

Conclusion

L'ARC a mis en place des mesures de sécurité appropriées en vue de la protection de l'information reçue de la GRC. La présente vérification a révélé que l'ARC respecte les exigences qui régissent la réception, l'utilisation, la protection et la conservation des renseignements reçus de la GRC et qu'elle observe le PE signé le 30 mai 2005. L'information reçue a été traitée conformément à la législation, aux politiques et aux procédures afférentes.