Enquête de sécurité sur le personnel

Rapport final

Direction générale de la vérification, de l’évaluation et des risques
Mai 2013

Résumé exécutif

Contexte

La Division de la protection des biens matériels et des services de sécurité (DPBMSS) est située, sur le plan fonctionnel, au sein de la Direction de la sécurité et des affaires internes (DSAI), Direction générale des finances et de l’administration (DGFA). À la DPBMSS, le groupe des enquêtes de sécurité sur le personnel (ESP) est responsable du programme des enquêtes de sécurité sur le personnel, de la Politique sur les enquêtes de sécurité sur le personnel de l’Agence ainsi que des systèmes et des services connexes.

Le groupe des ESP donne des conseils sur toutes les questions liées aux enquêtes de sécurité sur le personnel, traite les demandes d’enquête de sécurité sur le personnel pour l’ensemble de l’Agence du revenu du Canada (ARC) et ses employés contractuels (total de 12 000 à 15 000 transactions par année), et est responsable de maintenir une base de données des employés qui ont fait l'objet d'une enquête. Le personnel de la sécurité situé dans les centres fiscaux et les bureaux des services fiscaux agit à titre de liaison entre les gestionnaires locaux et l’Administration centrale (AC) pour veiller à ce que le personnel et les employés contractuels fassent l’objet d’une enquête appropriée.

La Politique sur les enquêtes de sécurité sur le personnel de l’ARC cadre avec la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor. La politique est un des nombreux outils utilisés pour veiller à l’intégrité du personnel et des employés contractuels, et elle exige que tout individu travaillant sur les lieux de l’ARC ou ayant accès aux renseignements ou aux biens de l’ARC fasse l’objet d’une enquête avant leur entrée en fonction.

Les procédures pour les enquêtes de sécurité sur le personnel ont été établies par le groupe des ESP et découlent de la politique de l’ARC. Les procédures font l'objet d'un examen par la DGFA tous les cinq ans. La DGFA est également responsable de déterminer et d’entreprendre des activités de surveillance et d’évaluation qui permettront de déterminer si les procédures sont efficaces et respectées.

Le programme des ESP fait partie d’une série de contrôles, en vertu du Cadre d’intégrité de l’Agence, qui vise à assurer la surveillance et l’intégrité, ainsi qu’à gérer les manques d’intégrité. Les gestionnaires de tous les niveaux de l’Agence sont continuellement responsables de s’assurer de la validité des enquêtes des cotes de chaque individu. Les gestionnaires sont chargés de veiller à ce que les exigences concernant le niveau d'enquête soient appropriées pour les postes de leurs employés, et à ce que tous les individus fassent l'objet d'une enquête appropriée, conformément à leur besoin d’accéder à des renseignements ou à des biens protégés ou classifiés.

Les directeurs sont responsables de revoir la cote des individus lorsque des renseignements défavorables se présentent pouvant être considérés comme pertinents pour la fiabilité ultérieure. La DSAI, en collaboration avec le directeur, est tenue d’évaluer ces renseignements dans le cas où un individu demande une autorisation sécuritaire ou est détenteur d’une autorisation sécuritaire.

Objectifs

Les objectifs de la présente vérification consistaient à donner l’assurance que des contrôles internes étaient en place et fonctionnaient comme prévu pour attribuer, renouveler et révoquer les cotes de fiabilité et les autorisations sécuritaires ainsi qu’à évaluer le niveau de respect de la politique et des procédures des enquêtes de sécurité sur le personnel.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Conclusion

Dans l’ensemble, les contrôles internes qui sont actuellement en place soutiennent et facilitent la gestion et l’exercice des activités du programme des ESP. Toutefois, il existe certaines possibilités de renforcer les contrôles liés à la gestion des risques et à la surveillance des programmes afin que l’Agence soit mieux placée pour cerner les risques touchant l’évaluation des autorisations sécuritaires et en établir l’ordre de priorité. La clarté des procédures et des lignes directrices doit être améliorée, et des initiatives de formation et de sensibilisation sont nécessaires afin de renforcer la responsabilité et l'engagement des gestionnaires de l'Agence à l'égard des objectifs des ESP. Les questions concernant l’intégrité des données en ce qui a trait aux bases de données actuelles devraient être abordées pour appuyer ces initiatives. Par conséquent, nous avons recommandé que la DSAI prenne les mesures suivantes :

• mettre en œuvre un processus officiel d'évaluation des risques afin de veiller à ce que les secteurs à risque élevé soient déterminés, documentés et analysés;
• élaborer des procédures et des outils améliorés en ce qui a trait à l’assurance de la qualité et à la surveillance des programmes pour le groupe des ESP;
• s’assurer que l’intégrité des renseignements sur les enquêtes qui se trouvent dans les bases de données est suffisante pour fournir aux gestionnaires des renseignements exacts et uniformes;
• renforcer les contrôles des ESP, et offrir une formation et des outils aux employés et aux gestionnaires afin d’accroître la sensibilisation à la politique et aux procédures sur les ESP ainsi que de veiller au respect de celles-ci;
• ajouter une définition claire de renseignements défavorables à la politique et aux procédures sur les ESP, ainsi que des lignes directrices concernant le lien entre les renseignements défavorables et le refus, le déclassement ou la révocation des cotes de fiabilité ou des autorisations sécuritaires.

En collaboration avec la DSAI, nous avons recommandé que la Direction générale des ressources humaines (DGRH) prenne la mesure suivante :

• entreprendre un examen des politiques, des procédures et des outils connexes, en vertu du Cadre d’intégrité de l’Agence, afin de s’assurer qu’ils comprennent un renvoi clair et approprié à la Politique sur les ESP.

Le groupe des ESP a entrepris des travaux visant à améliorer les contrôles en place pour les enquêtes sur le personnel, y compris l’augmentation de l’efficacité du traitement des demandes d’enquête et l’examen des exigences actuelles en matière d’enquête.

Plan d’action

La DSAI a mis en place un régime solide et efficace d'enquêtes de sécurité sur le personnel, axé sur des instruments de politique qui sont entièrement harmonisés avec la Politique du gouvernement sur la sécurité, et des normes d'enquêtes connexes, nous permettant ainsi de maintenir l'intégrité d'une population qui compte plus de 44 000 employés et entrepreneurs individuels. De concert avec la DGRH, des contrôles seront mis en place afin que seuls les employés ayant obtenu le niveau de sécurité approprié et un besoin démontré de savoir pour remplir leurs tâches puissent avoir accès aux renseignements et aux biens classifiés et protégés.

La DSAI souscrit aux constatations et aux recommandations, et elle a élaboré des plans d’action afin de répondre à celles-ci. Tel qu’il est indiqué dans le présent rapport, les plans d’action portent sur les secteurs suivants :

• la gestion des risques
• l’examen et le contrôle de la qualité
• l’intégrité des données
• les procédures et les lignes directrices relativement aux renseignements défavorables
• l’observation des politiques et des procédures par les gestionnaires et les employés

La DSAI s’engage à donner suite à toutes les recommandations formulées dans ce rapport, lesquelles permettront de renforcer les pratiques des ESP et d’améliorer la sécurité générale de l’ARC.

La DGRH souscrit à la constatation et à la recommandation touchant les renseignements défavorables, et elle a élaboré des plans d’action pour y répondre.

Introduction

La Division de la protection des biens matériels et des services de sécurité (DPBMSS) est située, sur le plan fonctionnel, au sein de la Direction de la sécurité et des affaires internes (DSAI), Direction générale des finances et de l’administration (DGFA). À la DPBMSS, le groupe des enquêtes de sécurité sur le personnel (ESP) est responsable du programme des enquêtes de sécurité sur le personnel, de la Politique sur les enquêtes de sécurité sur le personnel de l’Agence ainsi que des systèmes et des services connexes.

Le groupe des ESP donne des conseils sur toutes les questions liées aux enquêtes de sécurité sur le personnel, traite les demandes d’enquête de sécurité sur le personnel pour l’ensemble de l’Agence du revenu du Canada (ARC) et les employés contractuels (total de 12 000 à 15 000 transactions par année), et est responsable de maintenir une base de données des employés qui ont fait l'objet d'une enquête. Le personnel de la sécurité situé dans les centres fiscaux et les bureaux des services fiscaux agit à titre de liaison entre les gestionnaires locaux et l’Administration centrale (AC) pour veiller à ce que le personnel et les employés contractuels fassent l’objet d’une enquête appropriée.

La Politique sur les enquêtes de sécurité sur le personnel de l’ARC cadre avec la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (SCT). La politique est un des nombreux outils utilisés pour veiller à l’intégrité du personnel et des employés contractuels, et elle exige que tout individu travaillant sur les lieux de l’ARC ou ayant accès aux renseignements ou aux biens de l’ARC fasse l’objet d’une enquête avant leur entrée en fonction.

Les procédures pour les enquêtes de sécurité sur le personnel ont été établies par le groupe des ESP et découlent de la politique de l’ARC. Les procédures font l'objet d'un examen par la DGFA tous les cinq ans. La DGFA est également responsable de déterminer et d’entreprendre des activités de surveillance et d’évaluation qui permettront de déterminer si les procédures sont efficaces et respectées.

Le programme des ESP fait partie d’une série de contrôles, en vertu du Cadre d’intégrité de l’Agence, qui vise à assurer la surveillance et l’intégrité, ainsi qu’à gérer les manques d’intégrité. Les gestionnaires de tous les niveaux à l’Agence sont continuellement responsables de s’assurer de la validité des enquêtes des cotes de chaque individu. Les gestionnaires sont chargés de veiller à ce que les exigences concernant le niveau d'enquête soient appropriées pour les postes de leurs employés, et à ce que tous les individus fassent l'objet d'une enquête appropriée, conformément à leur besoin d’accéder à des renseignements ou à des biens protégés ou classifiés. Les renseignements sont considérés comme protégés lorsque leur divulgation pourrait nuire à une personne, à une entreprise ou à un autre organisme, y compris, par exemple, des renseignements sur une déclaration de revenus. Des renseignements qui pourraient avoir une incidence sur l’intérêt national sont désignés comme classifiés.

Il existe deux types d’enquêtes, à savoir :

• Enquête de la cote de fiabilité : Une cote de fiabilité est nécessaire lorsqu’un accès à des renseignements protégés est requis et permet à l’individu d’accéder aux lieux de l’Agence sans surveillance. Une enquête de la cote de fiabilité exige que la Gendarmerie Royale du Canada (GRC) mène une vérification de l’existence d’un casier judiciaire.
• Enquête de l’autorisation sécuritaire (confidentiel, secret et très secret) : Une autorisation sécuritaire est nécessaire pour ceux et celles qui doivent accéder à des renseignements ou à des biens classifiés. Une telle enquête exige que le Service canadien du renseignement de sécurité (SCRS) mène une vérification de la loyauté une fois que la GRC a mené une vérification de l’existence d’un casier judiciaire.

Environ 97 % des postes à l’Agence exigent une enquête de la cote de fiabilité, laquelle est une qualification préalable à l’obtention d’une autorisation sécuritaire pour les postes restants (3 %).

Les directeurs sont responsables de revoir la cote des individus lorsque des renseignements défavorables se présentent pouvant être considérés comme pertinents pour la fiabilité de l’employé. La DSAI, en collaboration avec le directeur, est tenue d’évaluer ces renseignements dans le cas où un individu demande une autorisation sécuritaire ou est détenteur d’une autorisation sécuritaire.

Objectif de la vérification

Les objectifs de la présente vérification consistaient à donner l’assurance que des contrôles internes étaient en place et fonctionnaient comme prévu pour attribuer, renouveler et révoquer les cotes de fiabilité et les autorisations sécuritaires ainsi qu’à évaluer le niveau de respect de la politique et des procédures des enquêtes de sécurité sur le personnel.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Constatations, recommandations et plans d’action

1.0 Gestion du programme

Afin de veiller à ce qu’une structure de gestion de la sécurité soit en place et qu’elle réponde à ses besoins, l’ARC doit clairement cerner, analyser et traiter les risques que pose le processus. Tous les éléments de la politique et des procédures doivent être énoncés de façon explicite afin de fournir aux utilisateurs une compréhension claire et une orientation pour s’acquitter de leurs rôles et responsabilités. Un processus officiel de surveillance et d’examen des données devrait être mis en place afin de cerner les tendances, les problèmes et les possibilités d’amélioration, et celui-ci devrait être appuyé par des mesures et des normes de rendement appropriées ainsi qu’une base de données qui contient des renseignements uniformes et exacts. La sécurité des renseignements est considérée comme un risque prioritaire dans le plan stratégique 2011-2014 de la direction générale.

1.1 Gestion des risques

Bien qu’une évaluation des risques soit effectuée au niveau de la direction générale, rien n'indique qu'une évaluation des risques officielle est exécutée à cet égard au niveau du programme et qu'une analyse complète des risques éventuels du point de vue de l'Agence a été entreprise. Le groupe des ESP siège aux comités dirigés par le SCT qui examinent la Politique du gouvernement sur la sécurité et la Norme sur la sécurité du personnel du SCT en ce qui a trait aux enquêtes de sécurité sur le personnel. Le groupe des ESP s'efforce actuellement d'améliorer le programme d'enquête, y compris la mise en place de vérifications obligatoires supplémentaires.

Selon une analyse des exigences en matière de sécurité pour les postes de l’Agence, il se peut que les exigences en matière d’enquête pour certaines catégories d’emploi ne tiennent pas compte des risques pour l'Agence de manière adéquate. Par exemple, certaines catégories d’emploi qui nécessitent uniquement une cote de fiabilité comportent des fonctions dans le cadre desquelles le risque d’utiliser des renseignements à mauvais escient est élevé comparativement à d’autres postes pour lesquels une cote de fiabilité est exigée. Un processus d’évaluation proactive des risques permettrait d’effectuer une analyse complète des postes pouvant nécessiter une enquête supplémentaire.

Sans processus officiel d'évaluation des risques en place, il est difficile de déterminer si des secteurs à risque plus élevé ont été recensés et étudiés. De ce fait, il pourrait y avoir des situations où les renseignements de l'Agence pourraient être compromis ou utilisés à mauvais escient, ce qui entacherait la réputation de l’Agence.

Recommandation

La DSAI devrait mettre en œuvre un processus officiel d'évaluation des risques afin de veiller à ce que les secteurs à risque élevé soient déterminés, documentés et analysés.

Plan d’action

Des mesures ont déjà été prises à la DSAI afin de former une unité d'évaluation des risques pour la sécurité du personnel, qui élaborera et mettra en œuvre un processus officiel d'évaluation des risques afin de veiller à ce que les secteurs à risque élevé soient déterminés, documentés et analysés de façon continue. (Date d'achèvement : le 30 juin 2013)

En outre, la DSAI examine actuellement son instrument de politique sur les enquêtes de sécurité sur le personnel afin d'y ajouter des critères supplémentaires concernant les enquêtes de sécurité sur le personnel pour les postes de l'Agence nécessitant un niveau de sécurité plus élevé selon le processus d'évaluation des risques mentionné ci-dessus. (Date d'achèvement : le 30 juin 2013)

La DSAI a également commencé à mener des évaluations des risques de fraude interne afin de mieux comprendre les secteurs les plus vulnérables pour l'ARC. Les évaluations des risques de fraude permettent d'évaluer les risques cernés et l'efficacité des contrôles visant à atténuer les risques. Les risques inhérents aux enquêtes de sécurité sur le personnel seront communiqués à la Division de la protection des biens matériels et des services de sécurité.

1.2 Examen et contrôle de la qualité

Le groupe des ESP donne des conseils sur toutes les questions liées aux enquêtes de sécurité sur le personnel, traite les demandes d’enquête de sécurité sur le personnel pour l’ensemble de l’ARC et les employés contractuels, et est responsable de maintenir une base de données des employés qui ont fait l'objet d'une enquête. Les procédures normales d’exploitation ont été communiquées aux équipes de la sécurité des bureaux locaux, et le groupe des ESP examine tous les formulaires de sécurité présentés afin de s’assurer qu’ils sont complets. Un examen périodique des fichiers imprimés est effectué par le gestionnaire des ESP de façon ponctuelle.

L’exigence relative aux activités de surveillance et d’évaluation est comprise dans les Procédures de l’ARC relatives aux enquêtes de sécurité sur le personnel. Le groupe des ESP surveille la rapidité du traitement des demandes des cotes de fiabilité, mais rien n’indique que les activités de surveillance comprennent la détermination et l’analyse des problèmes, des tendances ou des possibilités d’amélioration des programmes.

Les renseignements sur la sécurité sont recueillis par le groupe des ESP afin de donner aux gestionnaires une assurance que le personnel au service de l'ARC est fiable et digne de confiance. Sans processus efficace d’examen de la qualité et de surveillance en place, on pourrait manquer l’occasion de cerner des lacunes et d’apporter des améliorations.

Recommandation

La DSAI devrait élaborer des procédures et des outils améliorés en ce qui a trait à l’assurance de la qualité et à la surveillance des programmes pour le groupe des ESP.

Plan d’action

La DSAI mettra en œuvre un processus officiel d'assurance de la qualité et de surveillance des programmes afin de déceler et d'analyser les enjeux, les tendances et les occasions d'améliorer le programme, ainsi que de veiller à ce que les renseignements fournis aux gestionnaires pour la surveillance des exigences en matière de sécurité soient aussi exacts que possible. (Date d'achèvement : le 30 septembre 2013)

1.3 Intégrité des données

Le groupe des ESP est responsable de la saisie et de la tenue à jour des renseignements issus des enquêtes pour le personnel de l'Agence dans la base de données des Systèmes administratifs d'entreprise (SAE) ainsi que dans sa propre base de données. Le groupe des ESP s’en remet principalement à sa base de données interne, qui est liée aux bases de données de la GRC et du SCRS, pour vérifier et mettre à jour les autorisations sécuritaires. Les gestionnaires de l’ARC n’ont pas accès à cette base de données et doivent s’en remettre aux SAE, lesquels comprennent certains des renseignements saisis dans le système des ESP, mais pas tous. En plus de ces deux bases de données, les équipes régionales de la sécurité tiennent leurs propres données d’enquête afin de répondre aux demandes de renseignements des gestionnaires. Il se peut que ces renseignements ne cadrent pas avec la base de données des SAE ou des ESP.

Selon une comparaison des deux bases de données tenues par le groupe des ESP à l’AC, les données ne sont pas uniformes. Par exemple, un certain nombre d’individus énumérés comme des employés en service dans les SAE n’ont pas pu être trouvés dans la base de données des ESP, alors que l’on a constaté que la base de données des ESP comprenait beaucoup plus d’individus que le nombre d’employés en service figurant dans les SAE.

L’existence de multiples bases de données comprenant des renseignements divergents crée le risque que les gestionnaires accordent l’accès aux renseignements et aux biens à des individus qui n’ont pas l’autorisation sécuritaire appropriée.

Recommandation

La DSAI devrait s’assurer que l’intégrité des renseignements sur les enquêtes est suffisante pour fournir aux gestionnaires des renseignements exacts et uniformes.

Plan d’action

De concert avec la Direction générale des ressources humaines et la Direction générale de l'informatique, la DSAI réalisera une étude de faisabilité afin de déterminer les sources de données et les options technologiques qui permettraient de fournir au groupe et aux gestionnaires des ESP les renseignements les plus pertinents. (Date d'achèvement : le 31 décembre 2013)

1.4 Procédures et lignes directrices relatives aux renseignements défavorables

Selon la Politique sur les ESP, les directeurs et les personnes aux échelons supérieurs sont responsables de tenir compte de l’incidence des renseignements défavorables sur une cote de fiabilité, ainsi que de collaborer avec la DSAI dans le cas où il y a des renseignements défavorables concernant un détenteur d'une autorisation sécuritaire. Toutefois, la politique ne comprend pas de définition de renseignements défavorables ni de catégories ou d’exemples de renseignements pouvant être considérés comme défavorables lorsqu’il s’agit de déterminer si une autorisation sécuritaire doit être refusée, déclassée ou révoquée. La politique et les procédures n'indiquent pas que les gestionnaires sont tenus de signaler les cas d'inconduite grave au groupe des ESP.

Le groupe des ESP donne aux gestionnaires des conseils et une orientation sur les renseignements défavorables, de façon ponctuelle et sur demande. Selon les entrevues menées auprès des directeurs, ceux-ci souhaitent obtenir plus d’orientation fonctionnelle pour déterminer si une autorisation sécuritaire doit être refusée, réduite ou révoquée.

Des entrevues auprès de la Division des affaires internes et de la Direction générale des ressources humaines (DGRH) ont indiqué que les gestionnaires prenant part à des enquêtes sur l'inconduite d'employés ont été informés qu'ils devraient tenir compte de l’autorisation sécuritaire de l’employé dans les cas d’inconduite grave. Un examen des dossiers d’enquête sur les cas d’inconduite a révélé que les autorisations sécuritaires sont habituellement annulées sur le plan administratif en même temps que le licenciement motivé. Toutefois, il n’y avait aucun exemple du fait qu’on a tenu compte de la validité continue de l’autorisation sécuritaire d’un individu dans les cas où des mesures disciplinaires autres que le licenciement ont été prises. Cela était également le cas dans un petit nombre de dossiers examinés qui avaient trait à la démission ou au non-renouvellement de contrats pendant que des enquêtes sur des cas d’inconduite étaient menées. Les listes de vérification des dossiers dont se servent les gestionnaires et les conseillers en ressources humaines ne faisaient pas mention des autorisations sécuritaires.

En l'absence d'une définition claire de renseignements défavorables, ainsi que d’une orientation et d’outils pour l’examen de l’incidence sur l'autorisation sécuritaire, la capacité des gestionnaires à évaluer la fiabilité des employés peut être touchée. De ce fait, l’Agence peut être exposée au risque que des employés peu fiables soient autorisés à accéder à des renseignements et à des biens protégés ou classifiés.

Recommandation

La DSAI devrait ajouter une définition claire de renseignements défavorables à la politique et aux procédures sur les ESP, ainsi que des lignes directrices concernant le lien entre les renseignements défavorables et le refus, la réduction ou la révocation des cotes de fiabilité ou des autorisations sécuritaires.

Plan d’action

La DSAI établira des critères pour définir les renseignements défavorables et aider à déterminer si les renseignements pourraient être considérés comme défavorables aux fins des cotes de sécurité des employés.   (Date d'achèvement : le 31 mars 2013)

La DSAI élaborera et mettra en œuvre des lignes directrices visant à fournir aux gestionnaires de l'information sur la façon dont les renseignements défavorables influent sur les cotes de sécurité des employés et sur le moment de mener un examen officiel des cotes de sécurité des employés une fois que des renseignements défavorables ont été trouvés. (Date d'achèvement : le 30 septembre 2013)

La DSAI révisera les rapports d'enquête de la Division des affaires internes et de la prévention de la fraude afin d'y inclure une recommandation visant à initier un examen de la cote de fiabilité d'un employé pour raison valable dans le cas d'inconduite, s'il y a lieu. (Date d'achèvement : le 31 janvier 2013)

En collaboration avec la DSAI, la DGRH devrait entreprendre un examen des politiques, des procédures et des outils connexes, en vertu du Cadre d’intégrité de l’Agence, afin de s’assurer qu’ils comprennent un renvoi clair et approprié à la Politique sur les ESP.

Plan d’action

La DGRH a examiné ses politiques, procédures et outils connexes en vertu du cadre d'intégrité de l'Agence et, de concert avec la DSAI, y a apporté des modifications afin de veiller à ce qu'ils comprennent des renvois clairs et appropriés à la Politique sur les ESP. D'autres changements seront apportés au besoin. (Date d'achèvement : automne 2013)

2.0 Observation des politiques et des procédures

Afin de veiller au respect de la politique et des procédures sur les ESP, des contrôles pour l'attribution, le renouvellement et la révocation des cotes de fiabilité et des autorisations sécuritaires devaient être établis et surveillés afin de confirmer qu'ils fonctionnent bien.

2.1 Observation par les gestionnaires et les employés

Chacun des gestionnaires de tous les niveaux est responsable de déterminer l’enquête appropriée qui est nécessaire pour les postes occupés par ses employés, ainsi que de s’assurer que l’enquête appropriée est menée. Conformément à la Politique sur les ESP de l’ARC, un employé ne peut être nommé dans un poste à moins que la cote de fiabilité ou l’autorisation sécuritaire appropriée, au besoin, lui soit attribuée. Les employés sont responsables d’avertir leur gestionnaire ou le groupe des ESP lorsque des renseignements concernant leur autorisation sécuritaire changent. Afin d’évaluer la connaissance et la compréhension de ces responsabilités, des questionnaires ont été envoyés à un échantillon représentatif de gestionnaires et d’employés. L’observation a été vérifiée au moyen d’une analyse des données et d'un examen des dossiers, en se fondant sur la base de données des SAE et celle des ESP.

Dans l’ensemble, les responsabilités des gestionnaires et des employés à l’égard des enquêtes de sécurité ne sont pas bien comprises, et le respect de la politique et des procédures sur les ESP n'est ni surveillé, ni contrôlé à l’Agence. Par exemple, selon les résultats des questionnaires, 70 % des gestionnaires ne savaient pas qu’ils étaient responsables d’assurer que l’enquête exigée pour les postes occupés par leurs employés était appropriée.

Des contrôles sont en place et fonctionnent comme prévu en ce qui concerne les enquêtes initiales de la cote de fiabilité et les renouvellements périodiques. La cote de fiabilité est une exigence minimale pour tous les postes de l’Agence et donne l’autorisation aux employés d’accéder aux renseignements sur les contribuables selon le principe du besoin de savoir. Toutefois, selon l’analyse des données et l’examen des dossiers, certains employés commencent à exercer leurs fonctions dans des postes pour lesquels une autorisation sécuritaire est requise afin d’accéder à des renseignements classifiés avant d’obtenir le niveau exigé. Onze employés en service qui occupaient un poste d’attache exigeant une autorisation de niveau très secret ne détenaient pas l’autorisation requise. Au moment de la vérification, quatre de ces individus faisaient l’objet d’une enquête de niveau très secret. Dans l’ensemble, 122 des 1 276 (9,6 %) employés en service qui occupaient un poste d’attache nécessitant une autorisation sécuritaire n’avaient pas fait l’objet d’une enquête de sécurité au niveau exigé pour leur poste.

On s’attend à ce que les gestionnaires fassent preuve de diligence raisonnable en vérifiant l’autorisation sécuritaire des employés actuels qui changent de poste à l’Agence afin de s’assurer qu’ils détiennent l’autorisation appropriée. Les résultats des questionnaires ont indiqué que la majorité des gestionnaires responsables de l’embauche n’ont pas vérifié l’autorisation de ces individus. Selon un examen des dossiers, on a vérifié l’autorisation de seulement 11 des 124 employés (9 %) nommés dans des postes exigeant une autorisation conditionnelle et qui ont changé de poste (une autorisation conditionnelle est accordée aux employés pour lesquels des renseignements biographiques pendant cinq années consécutives au Canada ne sont pas disponibles et des documents à l’appui sont fournis).

Les employés n’avertissent pas toujours le groupe des ESP lorsque des renseignements concernant leur autorisation sécuritaire changent, tel que cela est exigé. Un examen de l’utilisation des congés de mariage en vertu de la convention collective de l’Alliance de la Fonction publique du Canada par les détenteurs d’une autorisation de niveau secret ou très secret a révélé qu'aucun d'eux n'avait fourni d'information à jour sur leur état civil, tel que cela est exigé.

En l’absence de la surveillance et de l’application de la politique et des procédures sur les ESP, et de la sensibilisation à celles-ci, l’Agence est exposée au risque que le personnel n’ait pas fait l’objet d’une enquête au niveau approprié, y compris la prise en compte de tous les renseignements pertinents au processus des ESP.

Recommandation

La DSAI devrait renforcer les contrôles des ESP, et offrir une formation et des outils aux employés et aux gestionnaires afin d’accroître la sensibilisation à la politique et aux procédures sur les ESP et de veiller au respect de celles-ci.

Plan d’action

La DSAI a pris des mesures correctrices afin de traiter l’enjeu lié aux employés particuliers qui ne détenaient pas le niveau de sécurité approprié pour leur poste.

La DSAI a entrepris un examen de la liste fournie par la DGRH qui comprend les noms des employés qui ont utilisé des congés de mariage dans le but de mettre à jour les dossiers des ESP.

La DSAI révisera ses instruments de politique sur les enquêtes de sécurité sur le personnel afin de renforcer les contrôles des ESP et de veiller à ce que les rôles et les responsabilités de tous les intervenants soient clairement définis.  (Date d'achèvement : le 30 juin 2013)

La DSAI révisera ses outils de communication afin de veiller à ce qu'ils contiennent des renseignements à jour et pertinents pour les gestionnaires et les employés ainsi que de rejoindre un plus vaste auditoire. (Date d'achèvement : le 30 septembre 2013)

La DSAI étudiera la possibilité d'apporter des changements technologiques aux bases de données actuelles dans le but d'automatiser le processus visant à informer les gestionnaires et les employés lorsque des mesures d'enquêtes de sécurité sur le personnel doivent être prises, telles que la mise à jour d'une cote de sécurité. (Date d'achèvement : le 31 décembre 2013)

Conclusion

Dans l’ensemble, les contrôles internes qui sont actuellement en place soutiennent et facilitent la gestion et l’exercice des activités du programme des ESP. Toutefois, il existe certaines possibilités de renforcer les contrôles liés à la gestion des risques et à la surveillance des programmes afin que l’Agence soit mieux placée pour cerner les risques touchant l’évaluation des autorisations sécuritaires et en établir l’ordre de priorité. La clarté des procédures et des lignes directrices doit être améliorée, et des initiatives de formation et de sensibilisation sont nécessaires afin de renforcer la responsabilité et l'engagement des gestionnaires de l'Agence à l'égard des objectifs des ESP. Les questions concernant l’intégrité des données en ce qui concerne les bases de données actuelles devraient être abordées pour appuyer ces initiatives. Par conséquent, nous avons recommandé que la DSAI prenne les mesures suivantes :

• mettre en œuvre un processus officiel d'évaluation des risques afin de veiller à ce que les secteurs à risque élevé soient déterminés, documentés et analysés;
• élaborer des procédures et des outils améliorés en ce qui a trait à l’assurance de la qualité et à la surveillance des programmes pour le groupe des ESP;
• s’assurer que l’intégrité des renseignements sur les enquêtes qui se trouvent dans les bases de données est suffisante pour fournir aux gestionnaires des renseignements exacts et uniformes;
• renforcer les contrôles des ESP, et offrir une formation et des outils aux employés et aux gestionnaires afin d’accroître la sensibilisation à la politique et aux procédures sur les ESP et de veiller au respect de celles-ci;
• ajouter une définition claire de renseignements défavorables à la politique et aux procédures sur les ESP, ainsi que des lignes directrices concernant le lien entre les renseignements défavorables et le refus, la réduction ou la révocation des cotes de fiabilité ou des autorisations sécuritaires.

En collaboration avec la DSAI, nous avons recommandé que la DGRH prenne la mesure suivante :

• entreprendre un examen des politiques, des procédures et des outils connexes, en vertu du Cadre d’intégrité de l’Agence, afin de s’assurer qu’ils comprennent un renvoi clair et approprié à la Politique sur les ESP.

Le groupe des ESP a entrepris des travaux visant à améliorer les contrôles en place pour les enquêtes sur le personnel, y compris l’augmentation de l’efficacité du traitement des demandes d’enquête et l’examen des exigences actuelles en matière d’enquête.

Plan d’action

La DSAI souscrit aux constatations et aux recommandations, et elle a élaboré des plans d’action afin de répondre à celles-ci. Tel qu’il est indiqué dans le présent rapport, les plans d’action portent sur les secteurs suivants :

• la gestion des risques
• l’examen et le contrôle de la qualité
• l’intégrité des données
• les procédures et les lignes directrices relativement aux renseignements défavorables
• l’observation des politiques et des procédures par les gestionnaires et les employés

La DSAI s’engage à donner suite à toutes les recommandations formulées dans ce rapport, lesquelles permettront de renforcer les pratiques des ESP et d’améliorer la sécurité générale de l’ARC.

La DGRH souscrit à la constatation et à la recommandation touchant les renseignements défavorables, et elle a élaboré des plans d’action pour y répondre.