Vérification de la gestion de l'information

Table des matières

Résumé

Objectif

Vérifier si les processus en place destinés à gérer l'information au sein de la CFP sont adéquats pour soutenir les politiques, les programmes et les services, et s'ils sont conformes aux lois, aux règlements et aux politiques du gouvernement.

Pourquoi est-ce important

La quantité de renseignements que la Commission de la fonction publique (CFP) possède continue d'augmenter chaque année. La capacité de gérer cette information efficacement afin qu'elle puisse facilement être utilisée est essentielle au fonctionnement de la CFP.

Une gestion de l'information (GI) efficace qui permet aux employés de la CFP d'accéder à l'information dont ils ont besoin pour faire leur travail a des répercussions sur toutes les directions générales et est importante pour tous les domaines d'activités. Des problèmes touchant la collecte, la classification, l'organisation, la récupération et l'élimination de l'information peuvent entraîner des pratiques inefficaces et avoir des conséquences négatives sur la prise de décisions de la CFP.

La GI de la CFP traverse actuellement une période de transition. Parmi les changements, notons le passage des documents papier aux documents électroniques, une réorganisation qui fait que le Bureau de gestion de l'information (BGI) relève désormais de la Direction des services de technologie de l'information (DSTI), et un changement technologique imminent qui fera passer la CFP de l'application actuelle Système de gestion des dossiers, des documents et de l'information (SGDDI) à GCDocs, l'application de gestion des documents du gouvernement du Canada.

Principales observations

Les structures de gouvernance clés pour la gestion de l'information sont en place. La CFP a démontré sa capacité de se conformer aux exigences du Conseil du Trésor (CT), car elle a préconisé l'utilisation des systèmes électroniques comme moyen principal de gérer l'information. Le BGI a également prouvé qu'il était en mesure de mettre en œuvre des décisions stratégiques clés, comme la décision de réduire la quantité de documents papier. La plupart des directions générales ont élaboré des processus adéquats pour garantir les aspects relatifs à la sécurité et au repérage dans le cadre de leur fonctionnement. Cependant, un cadre d'architecture de l'information intégré, complet et documenté n'a été mis en œuvre que partiellement. De nombreux processus des directions générales sont fondés sur des « pratiques exemplaires » non documentées qui ne bénéficient pas d'une supervision du BGI. Chaque direction générale, et en réalité chaque employé, travaille avec les contraintes imposées par les outils fournis afin de parvenir à ses propres solutions, comme en témoigne le manque d'uniformité observé dans le répertoire du SGDDI.

Une formation supplémentaire des employés pourrait améliorer la gestion de l'information à la CFP, y compris des suivis de la direction visant à s'assurer que la formation obligatoire est réellement suivie. La plupart des utilisateurs considèrent que le BGI est un service et ne connaissent pas leurs propres responsabilités en matière de GI énoncées dans la Politique sur la gestion de l'information du CT. Les employés comprennent mal l'utilisation des outils de recherche du SGDDI de même que l'utilisation appropriée du courriel, du SGDDI et des lecteurs virtuels pour partager et entreposer des documents et pour travailler sur les documents. Les utilisateurs ne connaissent pas non plus leurs responsabilités en matière d'identification des documents en vue de leur élimination. Par conséquent, les documents électroniques sont entreposés, de façon souvent inappropriée, dans un certain nombre de répertoires différents. En particulier, le répertoire du SGDDI devient encombré de documents qui sont inaccessibles et temporaires et qui n'ont pas les niveaux de protection appropriés.

La CFP ne répond que partiellement aux exigences de classification de l'information selon son importance pour le fonctionnement. Les lacunes en matière de classification ont des répercussions importantes sur le repérage des documents, lequel est, de surcroît, entravé par plusieurs autres facteurs. Parmi ces facteurs, on note les conventions d'appellation du SGDDI qui ne sont pas uniformes d'une direction générale à l'autre, les droits d'accès trop restrictifs et la mauvaise compréhension des options contextuelles qui définissent le caractère actuel des documents dans le SGDDI et l'état d'achèvement des collections de documents.

Les vérificateurs ont noté que certaines mesures correctives en étaient déjà à un stade avancé de planification, notamment l'intégration du BGI au sein de la DSTI, la transition du SGDDI à GCDocs, l'élimination des répertoires de courriels privés, la définition des sections du SGDDI pour répondre aux normes de la mention Protégé B, et l'ajout de nouvelles ressources liées à la GI afin de s'assurer que toutes les fonctions essentielles de la GI peuvent être exécutées.

La direction a fourni des plans d'action qui devraient permettre de régler entièrement les questions soulevées dans la présente vérification.

Conformité aux normes professionnelles

La mission de vérification interne est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui s'appuient sur les résultats du Programme d'amélioration et d'assurance de la qualité.

Greg Nesbitt, CPA, CMA, CIA
Dirigeant principal de la vérification
Commission de la fonction publique

Contexte

L'avènement de l'ère électronique a compliqué la gestion de l'information. Chaque courriel ou ébauche de document peut devenir un dossier électronique qui doit être conservé. Ainsi, l'information s'accumule à l'échelle du gouvernement du Canada à un rythme qui s'accroît chaque année. Sans la capacité de gérer efficacement cette information, les organisations, y compris la CFP, risqueraient d'être incapables d'identifier et de trouver l'information de façon organisée et rapide afin de répondre à leurs besoins opérationnels et à leurs obligations légales.

En 2007, le CT a publié une nouvelle Politique sur la gestion de l'information, puis la Directive sur les rôles et responsabilités en matière de gestion de l'information (2007) et la Directive sur la tenue de documents (2009). En outre, la Stratégie de gestion de l'information du gouvernement du Canada (2008) a été publiée dans une perspective d'uniformité avec les objectifs en matière de gestion de l'information et de définition d'objectifs clairs pour le gouvernement dans son ensemble. En 2010, en prévision de l'avenir, le CT a publié la Norme pour les systèmes de gestion électronique des documents et des dossiers (SGEDD), qui porte sur la mise en œuvre d'une gestion de l'information automatisée et complète à l'échelle du gouvernement. La Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels énoncent d'autres exigences sur la façon de conserver et d'utiliser l'information.

Dans ces documents, le CT définit implicitement « information » ou, à tout le moins, « ressource d'information », en donnant des exemples : « Les ressources documentaires comprennent les documents textuels (notes de service, rapports, factures, marchés, etc.), les documents électroniques (courriels, banques de données, données, intranet, Internet, etc.), les nouveaux médias (messages instantanés, wikis, blogues, balados, etc.), les publications (rapports, livres, revues), les films, les enregistrements sonores, les photographies, l'art documentaire, les graphiques, les cartes et les artéfacts. » Les « ressources documentaires à valeur opérationnelle » revêtent un intérêt crucial pour la gestion de l'information. Celles-ci sont définies comme suit : « [...] permettent et documentent la prise de décisions à l'égard de programmes, de services et d'activités courantes. Elles appuient donc les exigences des ministères en matière de rapports, de rendement et de responsabilisation. »

La CFP continue de s'efforcer à se conformer à la politique gouvernementale tout en respectant les exigences opérationnelles :

  • Le Bureau du contrôleur général (BCG) a publié les résultats d'une vérification de la tenue de documents électroniques à l'échelle du gouvernement en décembre 2011. La vérification portait sur les réussites et les problèmes relatifs à la gestion de l'information dans les ministères et organismes de grande taille. Des recommandations ont été formulées sur les systèmes partagés du gouvernement, les rôles et les responsabilités, ainsi que la gestion de l'information tout au long de son cycle de vie. Bien que la CFP n'ait pas participé à la vérification du BCG, la Direction générale de la gestion ministérielle (DGGM) a examiné les recommandations afin d'y trouver les éléments pertinents pour la CFP, et les résultats ont été transmis au CVI en mai 2012. Certaines mesures sont à prendre; toutefois, on a déterminé que la CFP se conformait en général aux recommandations du BCG.
  • Dans le rapport remis par la DGGM au CVI en mai 2012, on trouvait aussi les résultats d'une autoévaluation de la tenue de documents électroniques réalisée à l'aide d'un outil du Secrétariat du Conseil du Trésor (SCT). Les résultats montraient que la CFP respectait, et dans certains cas dépassait, les exigences en matière de tenue de documents électroniques énoncées dans la Directive sur la tenue de documents.
  • La CFP doit se préparer pour 2017, année où Bibliothèque et Archives Canada (BAC) n'acceptera plus de documents gouvernementaux en format papier, ou en acceptera très peu. Les documents seront convertis en format électronique, et BAC deviendra un dépôt numérique fiable.
  • En raison du déménagement de la CFP à Gatineau à la fin de 2013, l'espace disponible pour entreposer des documents papier sera restreint. Par conséquent, la quantité de documents papier est réduite grâce à la numérisation (conversion au format électronique par numérisation) et à l'élimination de documents.
  • D'ici la fin de l'année 2014, la CFP souhaiterait remplacer l'application de tenue de documents électroniques du Système de gestion des dossiers, des documents et de l'information (SGDDI) par GCDocs. Pour ce faire, le système de courriels GroupWise sera remplacé par Outlook, ce qui permettra de profiter de la capacité de GCDocs afin d'entreposer les courriels de façon plus efficiente.

Au sein de la CFP, la gestion de l'information s'effectue au moyen de nombreuses bases de données à usage déterminé gérées de façon indépendante. Parmi les grandes bases de données non structurées, notons les suivantes :

  • Le SGDDI, qui constitue le principal répertoire de documents;
  • Une base de données Access, qui contient l'information recueillie dans les vérifications effectuées par la Direction générale de la vérification et des services de données (DGVSD);
  • PrivateSoft, qui contient des documents relatifs aux demandes d'accès à l'information et de protection des renseignements personnels (AIPRP);
  • Le système CcmMercury, pour la correspondance ministérielle;
  • Les lecteurs virtuels, comme F:, U: ou S:;
  • Le système de courriels, qui sert de base de données par défaut pour de nombreux documents importants;
  • Les documents papier.

Objectif et portée

Évaluer si les processus en place pour la gestion de l'information à la CFP sont adéquats pour soutenir les politiques, les programmes et les services, et sont conformes aux lois, règlements et politiques du gouvernement.

La vérification a permis d'examiner les processus qui soutiennent la gestion de l'information à la CFP, de sa création jusqu'à son élimination définitive. L'accent a été mis sur la gestion des documents qui constituent de l'information non structurée, qui est en grande partie de l'information comprenant beaucoup de texte et qui ne s'insère pas bien dans des tableaux. La vérification était axée sur la GI en vigueur à la CFP en 2013-2014 et se fondait sur les documents papier créés pendant le deuxième trimestre de l'année.

La gestion d'Intracom (l'intranet de la CFP) et de tous les processus et outils externes spécialisés, y compris les outils et les services Internet et Web 2.0, a été exclue de la portée. Cette vérification ne portait pas non plus sur la conformité à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels

Risques

À la lumière de l'examen des politiques du gouvernement du Canada, des préoccupations ont été exprimées au cours d'entrevues avec des membres de la haute direction, et d'un examen des principaux processus de gestion de l'information, la Direction de la vérification interne (DVI) a élaboré des critères de vérification pour les principaux risques suivants :

  • La conformité : Ce critère correspond au risque de ne pas satisfaire aux exigences des politiques, des directives et des normes gouvernementales. Le risque s'est accru au cours des dernières années, en raison des nombreuses nouvelles exigences à l'échelle du gouvernement qui sont entrées en vigueur.
  • Le repérage : Ce critère correspond au risque que les structures des métadonnées et des données soient insuffisantes pour faciliter la recherche, que les outils de recherche soient inadéquats pour la tâche ou que leur fonctionnement soit mal compris par les employés, ou que les documents comportent des problèmes relatifs à la qualité (information périmée, droits d'accès inappropriés, nombreuses versions non pertinentes, etc.). Ce risque augmente lorsque les spécialistes fonctionnels de la gestion de l'information (GI) doivent faire face à des contraintes en matière de ressources.
  • La sécurité : Ce critère correspond au risque que les systèmes et les procédures se rapportant à l'accès, à l'entreposage et au transport des ressources d'information ne soient pas sécurisés adéquatement contre les accès non autorisés qui pourraient occasionner la destruction de données et le non-respect de la confidentialité. Ce risque doit être contrôlé au moyen d'une vigilance et d'une diligence continues de la part de tous les membres du personnel.
  • La gouvernance : Ce critère correspond au risque que la structure de gouvernance soit inadéquate pour répondre aux préoccupations stratégiques et tactiques, que les rôles et les responsabilités des employés ne soient pas définis, qu'il n'existe pas de cadre d'architecture de l'information, et que les préoccupations des intervenants ne soient pas prises en considération. Si les employés de la CFP ne comprennent pas leur rôle ou ne reçoivent pas une rétroaction appropriée, la probabilité d'erreurs augmentera.

Méthodologie

Cette vérification a été réalisée conformément au processus de vérification interne normalisé de la CFP, ainsi qu'aux Normes internationales pour la pratique professionnelle de la vérification interne. Le processus de vérification est composé de trois étapes principales : la planification, commencée en février 2013; l'examen détaillé, commencé en juillet 2013 et terminé en septembre 2013; et l'étape du rapport, qui sera terminée lorsqu'un rapport final aura été approuvé.

L'étape de planification a commencé avec des entrevues réalisées auprès des clients qui étaient responsables de la gestion de l'information à la CFP et des vice-présidents ou de leurs représentants dans chacune des directions générales. Ces entrevues ont mené à la préparation d'une liste de ce que les gestionnaires percevaient comme les risques les plus élevés relativement à la réussite des objectifs de gestion de l'information à la CFP. Ces domaines d'intérêt potentiels ont été présentés au client dans le Cadre de référence. La DVI a ensuite examiné divers documents préparés à l'intérieur et à l'extérieur de la CFP.

Les risques ont été analysés en détail dans le Rapport d'étude préliminaire, qui a été diffusé aux clients. Ces risques ont été utilisés comme fondement pour élaborer les critères de vérification qui ont été examinés par la direction de l'entité vérifiée et qui ont servi de fondement au programme de vérification.

Le programme de vérification a été réalisé pendant l'étape d'examen. Parmi les méthodes utilisées, notons les entrevues auprès des gestionnaires et des employés de toutes les directions générales, un examen détaillé des processus, un examen des documents, un échantillonnage et un examen des fonds de renseignements, et un examen des métadonnées. Les observations préliminaires ont été validées par la direction de l'entité vérifiée.

Les réalisations attendues dans le cadre du projet ont été examinées et approuvées par le directeur de la Vérification interne.

Observations détaillées

Observation 1 : La conformité

La gestion de l'information à la CFP devrait être conforme aux lois, aux politiques, aux directives, aux règlements, au code de conduite et aux normes du gouvernement du Canada.

Les vérificateurs internes s'attendaient à conclure que toutes les exigences en matière de politiques du gouvernement du Canada seraient respectées. Ils s'attendaient aussi à ce que soient respectées les politiques de la CFP mises en place dans le but de répondre aux exigences du gouvernement.

Les politiques, directives et normes ci-dessous sont particulièrement pertinentes pour la vérification :

  • la Politique sur la gestion de l'information (2007) du Conseil du Trésor (CT);
  • la Directive sur les rôles et les responsabilités en matière de gestion de l'information (2007) du CT;
  • la Directive sur la tenue de documents (2009) du CT;
  • la Norme de sécurité relative à l'organisation et à l'administration (1995) du CT;
  • le document Règles administratives du SGDDI de la CFP.

Rôles et responsabilités

Dans le but de répondre aux exigences de la Directive du CT sur les rôles et responsabilités en matière de gestion de l'information, des rôles et des responsabilités ont été mis en place au niveau de la haute direction. La gestion de l'information est un point permanent à l'ordre du jour des réunions de nombreux comités de la haute direction, notamment les réunions du Comité de gestion de l'information et de la technologie de l'information (CGITI), qui est un sous-comité du Comité exécutif de gestion (CEG). Les politiques et les directives propres à la CFP qui proviennent du Bureau de gestion de l'information (BGI) sont fournies au CGITI à des fins d'examen, avant d'être transmises au CEG à des fins d'examen et d'approbation finale. Le BGI et la DSTI examinent régulièrement les nouvelles politiques ou lignes directrices du gouvernement du Canada relatives à la gestion de l'information afin de vérifier si elles pourraient s'appliquer à la CFP. À cette fin, un représentant de la CFP participe régulièrement aux réunions de la Direction du dirigeant principal de l'information (DDPI) du CT, où les questions relatives à la GI font l'objet de discussions.

Utilisation de systèmes électroniques

Pour répondre aux exigences de la Politique du CT sur la gestion de l'information, les systèmes électroniques constituent assurément le moyen privilégié de créer, d'utiliser et de gérer l'information. Des préoccupations relatives au statut juridique des documents numérisés ont été soulevées, et toutes les directions générales collaborent avec le BGI dans le but de réduire de façon importante la quantité de documents papier.

En général, les membres de la haute direction ont reconnu que le BGI ne possédait ni la capacité, ni les compétences nécessaires pour composer avec la complexité des documents électroniques. Une des conséquences de ce manque de capacité se répercutait à l'échelle opérationnelle, en ce sens que les structures, les mécanismes et les ressources étaient insuffisants pour assurer la gestion efficace de l'information électronique, son suivi et sa surveillance. Par exemple, l'outil de métadonnées du logiciel Business Objects Enterprise destiné à surveiller l'état de la base de données du SGDDI est sous-utilisé (le rapport sur la fonction d'utilisation par direction du SGDDI a été utilisé pour la dernière fois le 24 septembre 2010, et aucun nouveau type de rapport n'a été créé). Pour corriger ce manque de capacité, l'organisation du BGI a été intégrée à la DSTI au milieu de l'année 2013, et des besoins en ressources supplémentaires ont été reconnus explicitement.

Établissement de règles administratives

L'établissement de règles administratives qui obligent les employés à assumer la responsabilité de la gestion de leurs propres documents constitue un élément essentiel de la gestion de l'information et des dossiers en tant que ressources précieuses aux termes de la Politique sur la gestion de l'information. Toutefois, bien que les Règles administratives du SGDDI soient diffusées dans le cours de base du SGDDI, ces règles sont en grande partie oubliées ou négligées par les employés de la CFP. En raison de cette non-conformité aux règles administratives, le SGDDI contient maintenant un grand nombre de documents temporaires n'ayant aucune valeur opérationnelle, des documents qui n'ont pas les bons profils de sécurité, des documents qui n'appartiennent à personne parce que la personne responsable a quitté la CFP, et des documents ne portant aucune mention en ce qui a trait à leur élimination, entre autres. Par exemple, les vérificateurs ont conclu que 26 % des 259 documents échantillonnés au hasard dans le SGDDI étaient des documents temporaires (non pas des ressources précieuses). De la même façon, à la suite d'une analyse des métadonnées, on a constaté que 34,6 % des documents qui se trouvaient dans le SGDDI en août 2013 n'étaient liés à aucun responsable actif et étaient essentiellement des documents abandonnés.

Des améliorations pourraient être apportées concernant la question des droits d'auteur et des licences

La Politique sur la gestion de l'information indique que les administrateurs généraux sont responsables de la surveillance des ententes des utilisateurs et des conditions des licences qui s'appliquent aux ressources d'information. Les droits d'auteur et les licences se rapportant au matériel acheté à l'externe et utilisé dans les examens du Centre de psychologie du personnel (CPP) de la CFP sont gérés par les directeurs et ne sont pas surveillés de façon centralisée. De plus, les documents protégés par des droits d'auteur achetés pour une utilisation unique par un employé de la CFP sont parfois enregistrés dans le SGDDI, auquel de nombreux utilisateurs ont accès.

Davantage de formation sur la gestion de l'information est requise

Pour respecter les exigences en matière de formation énoncées dans la Directive sur les rôles et responsabilités en matière de gestion de l'information du CT, chaque mois, le BGI offre une formation de base liée au SGDDI à tous les nouveaux employés. Par contre, aucune formation de recyclage n'est offerte. Un cours de formation avancé sur le SGDDI est offert à ceux qui en font expressément la demande, mais ce cours n'est pas annoncé en raison du manque de capacité en matière d'animation.

De nombreux employés de la CFP n'ont pas suivi la formation sur la gestion de l'information dont ils ont besoin pour travailler de manière appropriée. Le BGI n'a pas la capacité nécessaire pour fournir la formation générale sur des thèmes comme les responsabilités des employés en matière de gestion de l'information, la sécurité de l'information électronique ou les techniques de recherche avancée. Le problème est exacerbé par un suivi inadéquat de la direction. Malgré des rappels au sujet de la formation obligatoire, les dossiers de formation montrent que seulement un peu plus de la moitié des nouveaux employés (95 sur 179 d'avril 2012 à août 2013) ont participé à une séance de formation obligatoire de base sur le SGDDI.

Une évaluation de la politique sur la GI et des instruments connexes constitue une occasion d'amélioration

La Directive sur les rôles et responsabilités en matière de gestion de l'information du CT indique que la politique sur la GI et les instruments connexes doivent être évalués régulièrement en fonction des objectifs ministériels. Pour répondre à cette exigence, le BGI a récemment procédé à plusieurs autoévaluations en utilisant les ressources en personnel du BGI. Fait à noter, le BGI a lui-même fait une autre évaluation en fonction des critères de la vérification horizontale de la tenue des documents électroniques de 2011 du Bureau du contrôleur général (BCG), et il a aussi réalisé une autoévaluation récemment en utilisant le modèle de maturité de la conformité en matière de tenue de documents du SCT. En général, les deux résultats de l'autoévaluation étaient favorables, bien que la portée de ces outils généraux d'autoévaluation se limite à la conception et à l'existence de mesures de contrôle normalisées sans tenir compte de l'efficacité des pratiques.

Conservation et élimination des documents électroniques

Pour répondre aux exigences relatives au cycle d'information de la Directive sur la tenue de documents du CT, la principale préoccupation est liée à l'élimination en temps opportun des documents électroniques. Autrement, les risques associés à l'entreposage et à la gestion des documents s'accumulent avec le temps. Les recherches prennent plus de temps, l'adoption de nouvelles technologies devient plus difficile, et les problèmes de sécurité augmentent.

L'élimination des documents survient à la fin d'une période au terme de laquelle un document est désigné comme étant en mode « lecture seule » (terminé); cependant, les utilisateurs ne connaissent pas leur responsabilité de désigner ainsi les documents lorsqu'il est terminé. Avec l'approbation du client, le BGI mettra en mode « lecture seule » tout document qu'il numérise (par exemple, c'est ce qui est fait pour tous les fichiers portant sur des activités politiques). Par contre, non seulement la plupart des documents dans le SGDDI ne sont pas éliminés en temps opportun, mais en plus, le cycle d'élimination est enclenché pour un très petit nombre d'entre eux. Seulement 7 % des documents dans un échantillon de 259 documents étaient en mode « lecture seule ».

Classification de documents

Pour classifier systématiquement l'information selon son importance pour le fonctionnement conformément à la Directive sur la tenue de documents, les directions générales de la CFP utilisent généralement le plan de classification des documents de la CFP. Par contre, selon le BGI, l'objectif du plan de classification des documents, qui provient de BAC, consiste à déterminer les périodes de conservation et d'élimination des documents à l'échelle du gouvernement, et non à classifier les documents par activité et par sujet, comme il faut le faire au niveau de l'organisation. Ainsi, de nombreuses directions générales ont collaboré avec le BGI pour adapter la structure du plan de classification des dossiers de BAC en ajoutant des sous-catégories et en adoptant des conventions d'appellation adaptées à leurs besoins. Au fil du temps, cette pratique a mené à la création d'un grand nombre de sous-catégories, dont un grand nombre ne sont plus utilisées maintenant, et à toute une variété de conventions d'appellation qui diffèrent d'une direction générale à l'autre. Certaines directions générales ont décidé d'adopter les catégories de BAC, ce qui les a parfois amenées à devoir s'adapter pour que tout fonctionne bien. Cette situation a entraîné certaines décisions arbitraires en matière de classification (par exemple, la Direction générale des enquêtes ne dispose pas d'une catégorie pour les « Appels », et elle les classe donc sous « Enquêtes »).

Documentation des pratiques en matière de gestion de l'information

Comme l'exige la Directive sur la tenue de documents du Conseil du Trésor (CT), les règles administratives, les politiques et les procédures opérationnelles du BGI sont abondamment documentées. Toutefois, la transition vers les systèmes électroniques a entraîné de nombreux changements aux pratiques, et le BGI n'a pas la capacité nécessaire pour mettre à jour les documents de façon adéquate. Par exemple, malgré le fait qu'il existe des problèmes rédactionnels évidents, et un lien inactif (trouvé par le vérificateur) sur la page des politiques et des documents clés, la plupart des employés connaissaient le Guide de classification et de désignation des renseignements de la CFP et savaient où en trouver une copie sur l'Intracom. Par contre, le Guide ne fournit pas d'information sur les processus électroniques principaux, par exemple quand il faut chiffrer des documents, quand on peut les envoyer par courriel, et s'il faut les protéger lorsqu'on les entrepose dans le SGDDI.

Pour s'adapter à ces changements apportés aux systèmes, certaines directions générales ont élaboré leur propre documentation des processus. Cependant, un grand nombre des changements apportés aux processus ont été adoptés en tant que « pratiques exemplaires » non documentées. Lorsqu'ils ont des questions, les employés doivent simplement communiquer avec le BGI. Néanmoins, pendant les entrevues, les employés ont démontré qu'ils comprenaient bien leurs processus, et les gestionnaires ont indiqué qu'ils étaient en mesure d'offrir une supervision adéquate. De par son côté informel, ce processus présente un défi pour la surveillance du BGI. Chaque direction générale dispose de ses propres pratiques en matière de gestion de l'information qui lui permet d'atteindre ses objectifs – bien que ce ne soit pas toujours de façon optimale – en utilisant des dossiers papier, le SGDDI, des lecteurs partagés et le courriel.

Sécurité des documents

En ce qui concerne la Norme de sécurité relative à l'organisation et l'administration du CT, les gestionnaires ont exprimé leur préoccupation selon laquelle les utilisateurs ne comprennent pas l'objectif des catégories de sécurité, surtout les catégories Protégé A et Protégé B. En pratique, il a été constaté que les documents avaient tendance à être désignés à un niveau plus élevé que nécessaire (même si, parfois, d'autres documents ont été désignés à un niveau moins élevé). De plus, malgré le fait que le BGI a pris des mesures correctives régulièrement, les documents protégés sont parfois entreposés dans le SGDDI sans profil de sécurité, ce qui permet à n'importe quel utilisateur de la CFP d'accéder à ces documents et de les modifier. Notre examen d'un échantillon de documents protégés dans le SGDDI illustre cette préoccupation, et la quantité de fichiers protégés contenant des métadonnées dans le SGDDI montre toute l'étendue du problème :

  • 65 % des 314 648 documents enregistrés dans le SGDDI depuis juillet 2011 sont désignés Protégé A ou Protégé B;
  • plus de 50 % d'un échantillon de 161 documents protégés ont été désignés de façon inexacte;
  • 100 documents Protégé A et Protégé B dans le SGDDI en date du 18 juillet 2013 ne possédaient aucun profil de sécurité.

Il est rare qu'un utilisateur diminue le niveau de sécurité d'un document après qu'un niveau de protection a été choisi. En réalité, la date de l'attribution d'un niveau inférieur de sécurité doit apparaître à côté de la désignation. Sur ce point, le Guide de classification et de désignation des renseignements de la CFP est très clair. On y indique que « [l]e marquage de sécurité devrait inclure la date ou l'occasion à la suite de laquelle se produira la déclassification ou le déclassement. Sinon, il faudrait l'indiquer (…) ». Toutefois, la date de l'attribution d'un niveau inférieur de sécurité n'apparaissait sur aucun des documents protégés que nous avons vérifiés dans l'échantillonnage.

Résumé des constatations sur la conformité aux politiques en matière de gestion de l'information

La structure organisationnelle au niveau de la haute direction semble être conforme aux exigences du CT. Par contre, il existe d'importantes lacunes quant à la conformité au niveau opérationnel aux règles administratives prévues pour le SGDDI. Cette non-conformité est une conséquence du manque de capacité du BGI l'empêchant de traiter les éléments complexes des documents électroniques et d'offrir aux employés de la CFP la formation sur la gestion de l'information dont ils ont besoin. Les employés s'acquittent de leurs responsabilités de façon incohérente dans des domaines comme la sécurité de l'information électronique, l'élimination des documents ou les techniques de recherche avancée. En outre, les rôles et responsabilités opérationnels ne sont pas officiellement définis, et les employés se fient beaucoup à des « pratiques exemplaires » non documentées pour consigner les processus liés à la GI. Ces lacunes empêchent la CFP d'adopter une approche commune pour se conformer aux politiques gouvernementales de façon efficace et économique.

Observation 2 : Le repérage

Il devrait être possible de repérer facilement des ressources d'information, au besoin, et celles-ci sont de bonne qualité et ont les droits d'accès appropriés, et leur date de publication ainsi que leurs relations avec d'autres documents sont indiquées.

Les « profils » des documents dans le SGDDI sont conçus pour contenir de l'information sur la qualité des versions provisoires ou finales, les droits d'accès, la date de publication, les relations avec d'autres documents, et d'autres métadonnées utiles qui améliorent le repérage des ressources documentaires à valeur opérationnelle (RDVO). Ainsi, nous nous attendions à ce que les RDVO soient enregistrées de façon détaillée et cohérente dans le SGDDI avec un profil défini, afin que les utilisateurs puissent utiliser cette information en toute confiance lorsqu'ils cherchent des documents.

Repérage des documents à l'aide d'outils électroniques

En général, les employés et les gestionnaires s'entendent sur le fait que le repérage des documents constituait un élément important à prendre en considération. Cependant, ils ont aussi déclaré que les outils de recherche étaient inefficaces, et ils ont indiqué qu'ils n'avaient pas confiance en leur capacité d'utiliser des métadonnées lorsqu'ils effectuent des recherches dans le SGDDI. La plupart des employés interrogés ont affirmé que même si une recherche par titre générait habituellement trop d'occurrences invalides, ils utilisaient presque exclusivement cette démarche. L'utilisation d'un titre dans le champ de recherche est rendue plus complexe en raison du manque d'uniformité d'une direction générale à l'autre. Par exemple, certaines directions générales indiquent le nom de la catégorie du plan de classement après le numéro du plan de classement, alors que d'autres directions générales ne procèdent pas ainsi. Dans un échantillon aléatoire de 259 documents du SGDDI, 11 % (29) des documents portaient apparemment un numéro de plan de classement inexact. Compte tenu du peu de confiance qu'ils ont à l'égard des recherches, certains utilisateurs du SGDDI conservent des listes externes de documents importants.

Accès aux documents électroniques

À des fins de repérage, il est nécessaire que les utilisateurs aient des droits d'accès aux documents qu'ils essaient de trouver. La Règle administrative 18 du SGDDI indique que, dans la mesure du possible, tous les utilisateurs de la CFP devaient être capables de trouver le profil de tout document. Toutefois, la fonction du SGDDI par défaut accorde l'accès seulement à l'auteur et à la personne responsable du document. Il en résulte que de nombreux documents du SGDDI qui n'ont pas besoin de protection ne sont pas accessibles aux autres membres de l'organisation. Par conséquent, une recherche ne permettra pas nécessairement de trouver tous les documents pertinents qui existent. Parmi 98 documents non classifiés dans le SGDDI tirés d'un échantillon aléatoire, 54 % (53) des documents avaient un profil inaccessible.

Utilisation de documents associés

Le repérage dépend de l'information contextuelle, et un élément clé de cette information contextuelle est la relation d'un document avec les autres. Le SGDDI comprend de nombreuses options pour établir des liens entre les documents. Par exemple, une fonction d'aire de travail est intégrée au SGDDI afin d'aider à conserver un répertoire des documents dans une collection, mais les aires de travail ne peuvent pas être partagées; par conséquent, les utilisateurs créent fréquemment de tels répertoires dans Microsoft (MS) Word. Le SGDDI fournit également une fonction « d'association » qui peut être utilisée pour établir des liens entre les documents; une fonction de dossier, pour mettre en correspondance les documents dans une structure hiérarchisée; et une fonction de recherche rapide, pour établir un lien entre les documents au moyen de la formule servant à les chercher. Cependant, selon les entrevues réalisées auprès des utilisateurs, l'examen des échantillons et l'analyse des métadonnées, nous avons conclu que les utilisateurs n'avaient pas une bonne compréhension de ces options et de leur utilisation appropriée. Par exemple, seulement 8,6 % (65 701) des 760 000 documents entreposés dans le SGDDI en août 2013 avaient un lien établi avec d'autres documents. De plus, seulement 14 % (8) d'un échantillon de 59 documents du SGDDI avaient un lien avec leur traduction même si le vérificateur avait déterminé que ces documents seraient très probablement traduits.

Utilisation du logiciel de courriel aux fins d'entreposage

De nombreux employés de la CFP utilisent leur logiciel de courriel comme s'il s'agissait de leur répertoire personnel pour les RDVO. Le logiciel de courriel a des avantages en matière de repérage, à savoir que ce logiciel peut être organisé facilement car on peut y créer des dossiers adaptés aux besoins des utilisateurs, on peut y effectuer des recherches facilement et le logiciel comprend des métadonnées cruciales sur les destinataires et les expéditeurs, ainsi que la date. Cependant, un répertoire de courriels privé ne peut pas répondre aux exigences en matière de tenue de documents pour ce qui est du repérage de l'information ayant une valeur opérationnelle, et cela devient un problème encore plus grand lorsqu'un employé quitte la CFP. Pour dissuader les employés d'utiliser les répertoires du logiciel de courriel, la nouvelle Norme sur la gestion des services de courriel du CT limitera le nombre de données sauvegardées à deux gigaoctets. Toutefois, cette restriction permettra d'enregistrer de nombreux documents dans un répertoire de courriels. Les employés pourront ainsi encore avoir tendance à créer des répertoires de courriels, à moins que le dépôt ministériel fournisse des avantages comparables en matière de repérage.

En réalité, comme une grande partie des courriels sont de nature provisoire et ont une valeur opérationnelle seulement pour l'utilisateur qui les a enregistrés (p. ex. un dossier d'approbation de formation), l'identification des documents qui peuvent être supprimés sans conséquence dans un répertoire de courriels peut constituer un défi de taille. Cette tâche doit néanmoins être entreprise pour assurer la transition de GroupWise à Outlook d'ici décembre 2013, afin de préparer le remplacement du SGDDI par GCDocs (en mai 2014, cette transition est encore à venir).

Il est à noter que si elle est mise en œuvre de façon convenable, la transition vers GCDocs devrait représenter une occasion d'améliorer les avantages du repérage pour l'entreposage des courriels dans un répertoire organisationnel.

Résumé des constatations sur le repérage

Bien qu'ils reconnaissent l'importance du repérage, les employés interviewés croyaient que les outils de recherche actuels n'étaient ni efficients, ni efficaces pour effectuer des recherches. De plus, les droits d'accès aux documents par défaut sont très restrictifs; ainsi, les utilisateurs du SGDDI ne savent souvent pas si un document ne se trouve pas dans le SGDDI, ou s'ils ne peuvent tout simplement pas le voir. On a aussi observé que les utilisateurs ne comprennent pas bien les options des métadonnées du SGDDI et leur utilisation appropriée. Par conséquent, de nombreux utilisateurs se tournent vers l'application de courriels, dans laquelle ils créent des dossiers personnels pour les aider à organiser les documents importants ou à créer des liens entre les documents. Toutefois, ces répertoires de courriels privés créent des problèmes en matière de récupération des documents, surtout lorsqu'un employé quitte la CFP.

Observation 3 : La sécurité de l'information

Les systèmes et les procédures destinés à entreposer, à transporter et à éliminer des ressources d'information et à y accéder devraient assurer une sécurité en cas d'accès non autorisé et favoriser la protection adéquate des renseignements personnels, de la confidentialité et des travaux en cours.

Nous nous attendions à ce qu'il existe des procédures bien établies pour traiter l'information électronique et en format papier de nature délicate, à ce que les systèmes électroniques répondent aux normes de sécurité, à ce que les procédures soient comprises et suivies par les employés et à ce que l'accès aux répertoires d'information soit géré de façon adéquate, et fasse l'objet d'un contrôle et d'une surveillance.

Les procédures de traitement des documents en format papier sont bien établies, alors que les procédures pour traiter les documents électroniques de nature délicate sont en train d'être regroupées.

La Règle administrative 3 du SGDDI indique ce qui suit : « Tout document électronique jusqu'au niveau PROTÉGÉ B créé, recueilli ou reçu pendant la réalisation des activités de la CFP doit être géré dans le SGDDI. » Plus précisément, 36 % (114 214) des 314 648 documents enregistrés dans le SGDDI depuis juillet 2011 sont de niveau Protégé B. En revanche, malgré ce nombre important, le SGDDI ne sera pas déplacé dans la zone restreinte de la CFP, comme cela est obligatoire pour les documents Protégé B, avant le début de l'année 2014.

La gestion de l'accès aux documents dans le SGDDI pourrait faire l'objet d'améliorations.

L'accès au SGDDI est géré au niveau des documents au lieu de l'être au niveau du système, ce qui signifie que les documents dans le SGDDI peuvent être protégés individuellement, de sorte que la sécurité s'en trouve accrue. Par contre, en ce qui concerne l'accès au niveau des documents, des changements apportés aux droits d'accès (p. ex. un changement de la personne responsable lorsqu'un employé quitte ses fonctions) exigent une « mise à jour de masse » comme il est indiqué dans les Règles administratives du SGDDI, ce qui n'est souvent pas fait, ce qui fait en sorte que de nombreux documents ont un accès inapproprié, voire aucun responsable actif.

Comme le BGI considère que le SGDDI est un répertoire de documents ayant une valeur opérationnelle et non un outil de collaboration, de nombreuses directions générales ont décidé d'entreposer des documents provisoires, y compris des documents de nature délicate, sur des lecteurs virtuels au lieu de le faire dans le SGDDI. Selon l'actuel dirigeant principal de l'information (DPI), les lecteurs virtuels nécessitent des mesures de contrôle spéciales, comme un module de chiffrement, pour répondre aux normes s'appliquant aux documents protégés. Cependant, seules certaines sections possèdent ces mesures de contrôle spéciales sur leurs lecteurs virtuels.

Bien qu'environ 50 % des employés aient un logiciel de chiffrement Entrust et maClé installés sur leur ordinateur, l'utilisation appropriée du chiffrement pour envoyer des documents de nature délicate par courriel n'est pas bien comprise par les employés. Selon le BGI, les documents protégés de tous les niveaux envoyés à l'externe par courriel doivent être chiffrés. À l'interne, les documents Protégé A peuvent être envoyés sans être chiffrés, mais les documents Protégé B doivent toujours être chiffrés. Les entrevues réalisées auprès des gestionnaires et des employés indiquent que cette exigence en matière de chiffrement pour les documents Protégé B n'est souvent pas respectée.

La protection des documents est une préoccupation suffisamment sérieuse pour avoir fait l'objet de discussions au cours d'une réunion du CEG. Plus précisément, une pratique commune consiste à envoyer un lien SGDDI par courriel (au lieu d'envoyer le document lui-même). Cependant, on sait que les destinataires téléchargent le document, puis le réexpédient par courriel, ce qui expose le document dans le système de courriel et a pour effet de contrecarrer tout niveau de protection qui aurait pu être appliqué aux métadonnées du SGDDI.

La DSTI examine aussi la sécurité des tablettes et évalue des façons d'introduire des mesures de sécurité supplémentaires fondées sur la norme ITSB-65 du Centre de la sécurité des télécommunications Canada (CSTC).

Pour surveiller l'accès, les systèmes électroniques d'information comportent un avantage sur les documents en format papier, à savoir que la plupart des activités des utilisateurs, y compris les tentatives d'accès non autorisé, sont inscrites dans des registres et peuvent être consultées. Dans le passé, la CFP a effectué sa propre surveillance, mais actuellement, cette capacité n'existe que dans l'infrastructure gérée par Services partagés Canada (SPC). Le DPI a indiqué que la restauration d'un certain niveau de capacité en matière de surveillance à la CFP pourrait permettre d'apporter des améliorations, et à cette fin, des négociations ont eu lieu avec SPC au sujet de l'achat d'un système qui effectuerait une vérification automatique et limitée des registres; en revanche, cet achat nécessiterait des fonds.

Résumé des constatations en matière de sécurité de l'information

Les employés et les membres de la direction se disent préoccupés au sujet des procédures de sécurité relatives à l'information électronique de nature délicate. Bien qu'on ait installé Entrust et maClé sur l'ordinateur de nombreux employés, ceux-ci n'effectuent pas toujours le chiffrement avant d'envoyer des documents de nature délicate. De nombreuses directions générales ont décidé d'entreposer les documents provisoires de nature délicate dans des lecteurs virtuels, qui ne disposent pas toujours des contrôles spéciaux nécessaires pour les sécuriser. De nombreux documents Protégé B sont entreposés dans le système, même si le SGDDI ne sera sécuritaire pour les documents Protégé B qu'au début de l'année 2014. La surveillance de l'accès à l'information électronique est actuellement contrôlée par SPC.

Observation 4 : La gouvernance

Des processus et des structures devraient être en place afin d'orienter, de diriger, de gérer et de surveiller de façon adéquate les activités requises pour atteindre les objectifs en matière de gestion de l'information.

Nous nous attendions à trouver des comités et des équipes chargés de soutenir le cadre de gestion de l'information aux niveaux stratégique, opérationnel et tactique, et à ce que les décisions de niveau élevé soient prises au niveau stratégique, puis mises en œuvre aux niveaux opérationnel et tactique. Nous nous attendions à ce que les procédures soient appuyées par des justifications et à ce qu'elles soient cohérentes par rapport au cadre commun, optimisé afin d'être efficient. Nous nous attendions aussi à ce que les exigences des employés et des gestionnaires soient clairement communiquées, et à ce que les efforts visant à intégrer et à adapter les outils et les processus opérationnels soient évidents. Parallèlement, nous nous attendions à ce qu'une rétroaction soit formulée au niveau opérationnel à l'intention du niveau stratégique, ce qui constitue un aspect important de la surveillance. Finalement, afin d'assurer la conformité par rapport aux normes de sécurité du CT, y compris la Norme opérationnelle sur la sécurité matérielle – Planification de continuité des activités (PCA), nous nous attendions à trouver des mises à jour régulières de l'évaluation des répercussions sur les opérations de la gestion de l'information dans le cycle de planification stratégique.

Les structures de gouvernance requises au niveau stratégique sont en place

L'information et les processus d'information sont gérés par un ou des comités qui communiquent les décisions aux VP des directions générales. Nous avons trouvé la preuve qu'il existait une planification stratégique à grande échelle, y compris des documents complets comme les suivants :

  • Plan d'action stratégique sur la gestion de l'information 2013-2015
  • Restructuration de la CFP – Analyse de rentabilisation du Bureau de gestion de l'information (2013)
  • Plan de GI pour la gestion de documents et de dossiers, exercices financiers 2011-2012 à 2014-2015

La planification des initiatives importantes, par exemple le déménagement à Gatineau et la transition vers GCDocs, était également évidente.

Néanmoins, l'analyse de rentabilisation indique que la planification stratégique n'est pas appuyée par suffisamment de ressources pour élaborer un cadre de gestion de l'information qui définit les rôles et les responsabilités et qui soutient la gestion du changement. En réalité, bien que les gestionnaires aient souvent félicité le BGI pour l'aide qu'il apportait lorsqu'on le lui demandait, une observation énoncée fréquemment indiquait que le BGI n'était pas suffisamment « proactif ».

La gestion de l'information constitue une responsabilité individuelle

En général, les entrevues ont permis de déterminer que les employés considéraient que la gestion de l'information n'était pas leur responsabilité, mais qu'il s'agissait plutôt d'un service fourni par le BGI. Comme les employés ne disposaient pas de cadre d'orientation, ils réglaient les problèmes au cas par cas et de façon ponctuelle en communiquant avec le BGI lorsque la situation devenait critique. De plus, sans un cadre qui définit la façon dont les niveaux opérationnels doivent fournir de la rétroaction, le niveau stratégique est entravé dans son processus de prise de décisions. Certaines conséquences concrètes de cette absence de cadre de gestion de l'information adéquat sont énumérées ci-dessous.

Les vérificateurs ont noté un manque de rigueur dans la définition des types d'information, ainsi que des incohérences quant à la façon de traiter l'information dans les diverses unités de travail. En effet, le cadre de gestion de l'information n'était pas assorti d'un processus permettant de déterminer les types de ressources d'information importants et d'élaborer des politiques et des procédures afin de traiter ces divers types d'information. L'objectif n'est pas de mettre en place un processus uniforme à l'échelle de la CFP. Il faut plutôt déterminer les types d'information appropriés pour créer le fondement d'une architecture d'information associant les politiques, les procédures, les rôles et les responsabilités aux divers types d'information. La liste des types de documents dans le SGDDI accessible dans le menu Profil illustre ce manque de rigueur en ce qui concerne la détermination des types d'information. En réalité, cette liste comprend divers aspects des documents qui ont été fusionnés dans une seule liste simple, par exemple COMITÉ, RÉUNION et COURRIEL. La sélection du type de courriel portant sur la réunion d'un comité peut donc représenter un problème. Certains types d'information assez courants ne sont tout simplement pas disponibles dans la liste, par exemple DIAGRAMME.

La collaboration et les échanges touchant le travail gagneraient également à être améliorés

Bien que le SGDDI soit d'abord un répertoire de documents et non un outil de collaboration, il dispose d'une fonction rudimentaire d'inscription de l'arrivée et de l'envoi des documents qui permettrait d'échanger l'information relative au travail en cours. Cette fonction empêche d'écraser le texte lorsqu'un autre auteur travaille sur le même document. Toutefois, la fonction de corédaction formelle avancée permettant à plusieurs rédacteurs de travailler simultanément sur un même document n'est pas disponible. À partir du SGDDI, il n'est même pas possible d'utiliser la fonction de comparaison de MS Word pour combiner le travail de plusieurs rédacteurs. Ainsi, de nombreuses unités préfèrent partager le travail en cours sur un lecteur virtuel, qui ne dispose pas d'une fonction de vérification de l'arrivée et de l'envoi, mais qui permet de combiner plus facilement le travail. Le document final est ensuite converti en format PDF et importé dans le SGDDI, mais les lecteurs virtuels ne permettent cependant pas de nous protéger contre les éventuelles pertes de RDVO. Un gestionnaire a résumé ainsi la situation : « si les gens doivent vraiment collaborer, il faudra avoir accès à un meilleur outil ».

L'enregistrement des courriels est géré de façon incohérente

La Règle administrative 31 du SGDDI définit qui doit enregistrer les pièces jointes d'un courriel. Or, de nombreux employés ne connaissent pas cette règle. Par conséquent, un courriel à grande diffusion et contenant beaucoup de pièces jointes peut être enregistré à plusieurs reprises dans divers répertoires, ce qui contribue à l'encombrement des bases de données. En outre, de nombreux employés ne connaissent pas la fonction du bouton « Enregistrer dans eDOCS », qui permet l'entreposage des courriels dans le SGDDI dans le format verrouillé RFT. Ainsi, pour empêcher toute manipulation, les employés convertissent leurs courriels en format PDF, ce qui demande un effort supplémentaire pour importer les courriels, s'ils se donnent la peine de les archiver dans le SGDDI.

Analyse des répercussions sur les opérations

Même s'il s'agit d'une exigence pour les systèmes d'information qui traitent des documents Protégé B, nous avons conclu que l'analyse des répercussions sur les opérations (ARO) liée à la gestion de l'information n'était pas mise à jour régulièrement. Bien qu'un processus d'ARO ait été lancé pendant l'étape d'examen de la vérification, la plupart des directions générales n'avaient participé à aucune ARO depuis 2009, c'est-à-dire avant le lancement du SGDDI.

Résumé des constatations sur la gouvernance

Les éléments essentiels et nécessaires d'une structure de gouvernance sont en place, bien que des lacunes aient été relevées dans le cadre de gestion de l'information au niveau opérationnel, ce qui empêche de définir les rôles et les responsabilités. Même si les règles, les politiques et les procédures opérationnelles de la GI sont abondamment documentées, ces documents sont rarement consultés. Lorsque les employés font face à des problèmes, ils communiquent avec le BGI, et les problèmes sont réglés de façon ponctuelle. Cette approche réactive constitue un défi pour la surveillance effectuée par le BGI, car elle nuit à ses capacités d'améliorer l'efficience en cherchant des solutions communes aux problèmes communs, par exemple en ce qui concerne la gestion des différents types de ressources d'information, la collaboration pour le travail en cours, l'enregistrement des courriels et la mise à jour de l'ARO.

Recommandations et conclusion

Les vérificateurs ont identifié six recommandations à partir des observations qui précèdent.

Recommandation 1

Le BGI doit renforcer les structures de gouvernance afin que :

  • les politiques et les procédures reflètent la transition vers un environnement électronique;
  • le Guide de classification et de désignation des renseignements s'applique également aux documents électroniques;
  • le BGI documente, en collaboration avec les directions générales, les divers types de processus de gestion de l'information;
  • la conformité aux règles administratives et aux politiques en matière de GI soit contrôlée et surveillée;
  • des mécanismes soient en place pour fournir une rétroaction sur les enjeux opérationnels.

Recommandation 2

Le BGI doit s'assurer que tous les employés ont suivi la formation initiale et la formation de niveau 2 obligatoires sur les sujets suivants :

  • le traitement de documents de nature délicate, y compris le travail en cours;
  • l'utilisation du courriel, du SGDDI et des lecteurs virtuels;
  • la catégorisation et la classification des documents ainsi que l'attribution de noms à ces documents, et l'utilisation efficace des outils de recherche;
  • les responsabilités des employés en matière de GI, y compris la responsabilité de soulever les problèmes auprès des personnes du niveau approprié, afin que ceux-ci soient réglés de façon stratégique, au besoin.

Recommandation 3

Le BGI doit établir des mécanismes appropriés pour :

  • aider les utilisateurs à surveiller le statut d'élimination de leurs documents;
  • aider les utilisateurs à gérer le profil de leurs documents et à reclassifier à la baisse le niveau de protection de leurs documents;
  • établir, avec l'approbation du CEG, le niveau d'accès par défaut afin de confirmer la Règle administrative 18 du SGDDI, de manière à ce que si l'auteur ou la personne responsable ne prend aucune mesure, tous les utilisateurs aient le droit de voir les profils.

Recommandation 4

Le BGI doit élaborer un système de classification de l'information :

  • contenant des catégories qui appuient mieux les collections et les recherches;
  • qui appuie les exigences de Bibliothèque et Archives Canada (BAC) en matière de conservation des documents et les exigences de la CFP pour une classification des activités et des sujets.

Recommandation 5

Le BGI doit s'assurer que le SGDDI est mis à niveau afin de respecter les normes de sécurité Protégé B, ce qui nécessitera la délimitation de sections et des mises à jour aux ARO sur la gestion de l'information.

Recommandation 6

Le directeur général, Direction des services de technologie de l'information (DSTI) doit s'assurer que le BGI possède les ressources appropriées pour assumer ses fonctions essentielles en matière de GI.

Conclusion

Les structures de gouvernance clés pour la gestion de l'information sont en place. La CFP a démontré sa capacité de se conformer aux exigences du Conseil du Trésor (CT), car elle a préconisé l'utilisation des systèmes électroniques comme moyen principal de gérer l'information. Le BGI a également prouvé qu'il était en mesure de mettre en œuvre des décisions stratégiques clés, comme la décision de réduire la quantité de documents papier. La plupart des directions générales ont élaboré des processus adéquats pour garantir les aspects relatifs à la sécurité et au repérage dans le cadre de leur fonctionnement. Cependant, un cadre d'architecture de l'information intégré, complet et documenté n'a été mis en œuvre que partiellement. De nombreux processus des directions générales sont fondés sur des « pratiques exemplaires » non documentées qui ne bénéficient pas d'une supervision du BGI. Chaque direction générale, et en réalité chaque employé, travaille avec les contraintes imposées par les outils fournis afin de parvenir à ses propres solutions, comme en témoigne le manque d'uniformité observé dans le répertoire du SGDDI.

Une formation supplémentaire des employés pourrait améliorer la gestion de l'information à la CFP, y compris des suivis de la direction visant à s'assurer que la formation obligatoire est réellement suivie. La plupart des utilisateurs considèrent que le BGI est un service et ne connaissent pas leurs propres responsabilités en matière de GI énoncées dans la Politique sur la gestion de l'information du CT. Les employés comprennent mal l'utilisation des outils de recherche du SGDDI de même que l'utilisation appropriée du courriel, du SGDDI et des lecteurs virtuels pour partager et entreposer des documents et pour travailler sur les documents. Les utilisateurs ne connaissent pas non plus leurs responsabilités en matière d'identification des documents en vue de leur élimination. Par conséquent, les documents électroniques sont entreposés, de façon souvent inappropriée, dans un certain nombre de répertoires différents. En particulier, le répertoire du SGDDI devient encombré de documents qui sont inaccessibles et temporaires et qui n'ont pas les niveaux de protection appropriés.

La CFP ne répond que partiellement aux exigences de classification de l'information selon son importance pour le fonctionnement. Les lacunes en matière de classification ont des répercussions importantes sur le repérage des documents, lequel est, de surcroît, entravé par plusieurs autres facteurs. Parmi ces facteurs, on note les conventions d'appellation du SGDDI qui ne sont pas uniformes d'une direction générale à l'autre, les droits d'accès trop restrictifs et la mauvaise compréhension des options contextuelles qui définissent le caractère actuel des documents dans le SGDDI et l'état d'achèvement des collections de documents.

Les vérificateurs ont noté que certaines mesures correctives en étaient déjà à un stade avancé de planification, notamment l'intégration du BGI au sein de la DSTI, la transition du SGDDI à GCDocs, l'élimination des répertoires de courriels privés, la définition des sections du SGDDI pour répondre aux normes de la mention Protégé B, et l'ajout de nouvelles ressources liées à la GI afin de s'assurer que toutes les fonctions essentielles de la GI peuvent être exécutées.

La direction a fourni des plans d'action qui devraient permettre de régler entièrement les questions soulevées dans la présente vérification.

Annexe A – Réponse du Comité exécutif de gestion et aperçu du plan d'action

Le Comité exécutif de gestion de la CFP accueille favorablement ces recommandations et les considère comme essentielles pour définir l'orientation stratégique de la GI/TI dans le prochain plan intégré des activités. L'amélioration de la capacité en matière de gestion de l'information (GI) de la CFP passe par la mise en œuvre de recommandations particulières, et nécessitera la mise en place d'un changement de culture organisationnelle. La réponse aux recommandations suivantes permettra non seulement de s'attaquer aux problèmes spécifiques relevés dans la vérification, mais elle sera aussi intégrée dans une refonte plus complète de la GI en tant que fonction organisationnelle.

Les grandes lignes de ce travail incluront ce qui suit :

Politiques/orientation/outils

  • L'examen, la mise à jour et la promotion des politiques en matière de GI pour s'assurer qu'elles correspondent aux pratiques exemplaires et aux capacités technologiques actuelles, y compris la conformité de l'organisation à la Directive sur la tenue de documents.
  • L'initiative visant l'harmonisation accrue des lignes directrices et des activités de surveillance sera mise à profit en permanence pour assurer une intégration et une collaboration plus faciles au sein de la CFP.
  • La mise en œuvre d'une surveillance et d'outils de contrôle afin de fournir des paramètres utiles et de l'information pour la prise de décisions à des fins d'amélioration continue.
  • Une mise à jour des outils centraux de la GI, comme le système de courriels (Outlook), la suite bureautique (Office 2013) et le système de gestion de l'information (GCDocs), conformément aux exigences en matière de soutien de SPC.

Organisation et capacité

  • Un rôle plus central pour la fonction de gestion de l'information en tant qu'architecte et intervenant central pour tous les fonds de renseignements au sein de la CFP, ce qui permet une meilleure protection des ressources d'information de l'organisation sur les plans de la sécurité et de la protection des renseignements personnels.
  • L'intégration accrue entre les fonctions de gestion de l'information et de technologie de l'information de l'organisation à la suite de l'intégration du BGI à la DSTI.
  • Une vaste analyse de l'environnement des fonds de renseignements au sein de la CFP, de leur valeur pour l'organisation et de la façon dont ils pourraient être gérés de façon plus efficiente et plus efficace.

Formation et sensibilisation

  • Une formation à jour des employés de la CFP dans les domaines de la gestion de l'information et de la sécurité de l'information.
  • Le lancement d'un programme de communication pour s'assurer que le BGI est facile à joindre, et qu'il est perçu comme un partenaire précieux par les unités opérationnelles et les employés de la CFP.
  • Des ressources adéquates et de nouveaux employés recrutés en fonction de leurs compétences dans des domaines actuellement recherchés par l'organisation actuelle.

Les mesures à prendre et les dates d'achèvement qui suivent dépendent de l'hypothèse selon laquelle la CFP effectuera la migration de son système de gestion de l'information actuel (SGDDI) vers l'application GCDocs en 2014-2015 et tout retard dans cette mise en œuvre exigera de modifier les dates d'achèvement connues.

Annexe B – Plan d'action de la gestion

Recommandations Réponse de la gestion et mesures prévues Responsabilité de la gestion État d'avancement et date d'achèvement
1. Le BGI doit renforcer les structures de gouvernance afin que :

• les politiques et les procédures reflètent la transition vers un environnement électronique;

• le Guide de classification et de désignation des renseignements s'applique également aux documents électroniques;
• le BGI documente, en collaboration avec les directions générales, les divers types de processus de gestion de l'information;

• la conformité aux règles administratives et aux politiques en matière de GI soit contrôlée et surveillée;

• des mécanismes soient en place pour fournir une rétroaction sur les enjeux opérationnels.
L'organisation examinera et mettra à jour, grâce à une collaboration systématique avec les directions générales et le Secrétariat aux affaires générales/AIPRP et à leurs suggestions, les politiques en matière de GI de la CFP, le guide de classification et les processus pour refléter la transition culturelle et opérationnelle vers un environnement électronique. Il mettra aussi en place des mécanismes, y compris l'utilisation des outils de communication de la CFP, visant à accroître la sensibilisation au sein de la CFP, à demander une rétroaction aux utilisateurs et à régler sans délai les problèmes.

L'organisation entend acquérir une expertise et une capacité dans le domaine des documents électroniques et des outils de gestion des dossiers.

L'organisation analysera les exigences relatives à la surveillance de la conformité pour la gestion de l'information et proposera une démarche au CEG afin qu'il l'examine.

Des mesures de la conformité en matière de GI seront rassemblées et utilisées pour soutenir les changements opérationnels et mettre l'accent sur les enjeux opérationnels.
DPI de la CFP Les politiques révisées, le guide de classification et les processus connexes seront disponibles d'ici le 1er octobre 2014.

Les premiers employés ayant des compétences complémentaires seront en poste d'ici au 31 juillet 2014. Un plan de dotation révisé du BGI sera disponible d'ici au 15 mars 2014 et permettra d'examiner la possibilité de procéder à une dotation liée à des projets à court terme.

La démarche à jour sera disponible d'ici au 30 septembre 2014.

Un premier ensemble de mesures définies sera disponible d'ici le 31 août 2014.
2. Le BGI doit s'assurer que tous les employés ont suivi la formation initiale et la formation de niveau 2 obligatoires sur les sujets suivants :

• le traitement de documents de nature délicate, y compris le travail en cours;
• l'utilisation du courriel, du SGDDI et des lecteurs virtuels;

• la catégorisation et la classification des documents ainsi que l'attribution de noms à ces documents, et l'utilisation efficace des outils de recherche;

• les responsabilités des employés en matière de GI, y compris la responsabilité de soulever les problèmes auprès des personnes du niveau approprié, afin que ceux-ci soient réglés de façon stratégique, au besoin.
Le BGI collaborera avec la Direction de la gestion des ressources humaines et le Secrétariat aux affaires générales/AIPRP afin de créer et d'offrir une formation à jour liée à la GI à tous les employés de la CFP. Cette formation propre à la CFP :
- complétera la formation fournie par l'EFPC sur les outils comme Outlook et GCDocs,
- se concentrera sur les quatre priorités déterminées dans la recommandation.

Le BGI collaborera avec la Direction des communications et des affaires parlementaires (DCAP) pour maintenir les ressources d'aide en ligne et les forums de discussion afin que les employés de la CFP puissent compter sur des ressources disponibles en tout temps pour actualiser la formation initiale et fournir une formation de niveau 2. Cette présence en ligne comprendra des mécanismes explicites permettant de rapporter les problèmes au BGI afin que ce dernier puisse les corriger de façon appropriée.
DPI de la CFP Le plan de cours sera disponible d'ici le 1er septembre 2014. La formation commencera d'ici le 15 octobre 2014.

Une nouvelle structure du site Intracom sera disponible d'ici au 1er octobre 2014.
3. Le BGI doit établir des mécanismes appropriés pour :

• aider les utilisateurs à surveiller le statut d'élimination de leurs documents;

• aider les utilisateurs à gérer le profil de leurs documents et à reclassifier à la baisse le niveau de protection de leurs documents;

• établir, avec l'approbation du CEG, le niveau d'accès par défaut afin de confirmer la Règle administrative 18 du SGDDI, de manière à ce que si l'auteur ou la personne responsable ne prend aucune mesure, tous les utilisateurs aient le droit de voir les profils.
Grâce à la mise en œuvre de GCDocs, le BGI assurera l'accès ministériel aux outils automatisés et à des politiques claires pour aider les utilisateurs à surveiller le statut d'élimination, le profil des documents et la reclassification de leurs documents à un niveau inférieur de protection.

En consultation avec les intervenants appropriés, une analyse sera menée sur les répercussions de politiques d'affichage de profil ouvert par défaut, et les constatations et les recommandations seront présentées au CEG.
DPI de la CFP La mise en œuvre des outils aura lieu en même temps que l'introduction de GCDocs au cours du troisième trimestre de 2014 2015. Les politiques qui s'appliquent directement au GCDocs seront disponibles d'ici au 15 janvier 2015.

Cette analyse sera disponible d'ici au 30 juin 2014.
4. Le BGI doit élaborer un système de classification de l'information :

• contenant des catégories qui appuient mieux les collections et les recherches;

• qui appuie les exigences de Bibliothèque et Archives Canada (BAC) en matière de conservation des documents et les exigences de la CFP pour une classification des activités et des sujets.
En attendant la mise en œuvre de GCDocs, le BGI, en collaboration avec le Secrétariat aux affaires générales/AIPRP, élaborera et mettra en œuvre un système de classification de l'information qui soutiendra les exigences de la CFP pour ce qui est de la classification des activités et des sujets, les collections et les recherches d'information de la CFP ainsi que les exigences de BAC en matière de conservation des documents.

La mise en œuvre de GCDocs permettra de s'assurer que des méthodes complémentaires (p. ex. boîtes de recherche, structure des dossiers et signets personnels) seront disponibles pour classifier, chercher et retrouver l'information selon les préférences de l'utilisateur et conformément aux normes ministérielles bien définies.
DPI de la CFP La définition du système sera disponible d'ici au 1er décembre 2014.

La mise en œuvre aura lieu en même temps que l'introduction de GCDocs au cours du troisième trimestre de 2014 2015.
5. Le BGI doit s'assurer que le SGDDI est mis à niveau afin de respecter les normes de sécurité Protégé B, ce qui nécessitera la délimitation de sections et des mises à jour aux ARO sur la gestion de l'information. En raison de la mise hors service du SGDDI prévue à l'automne 2014, il n'est pas recommandé d'affecter des ressources pour redéfinir les sections d'une application en fin de vie. Entre-temps, le SGDDI sera examiné de manière à ce que soient mises en œuvre les normes de sécurité appropriées jusqu'à la migration vers GCDocs. Parallèlement, avec notre partenaire Services partagés Canada (SPC), l'organisation étudie la faisabilité du déplacement du SGDDI vers la section Protégé B au cours du présent exercice financier. SPC évalue actuellement le travail à faire.

La mise en œuvre de GCDocs par la CFP sera orientée par des principes de sécurité éprouvés afin de faire en sorte que le nouveau système soit classifié de façon appropriée. Un énoncé de sensibilité provisoire indiquera les étapes à suivre pour effectuer la migration vers un environnement GCDocs entièrement sécuritaire.
DPI de la CFP Un plan d'action pour gérer la sécurité du SGDDI jusqu'à sa mise hors service sera disponible d'ici au 31 août 2014.

Un plan pour la mise en œuvre sécuritaire de GCDocs sera disponible d'ici le 31 décembre 2014.
6. Le directeur général, Direction des services de technologie de l'information (DSTI) doit s'assurer que le BGI possède les ressources appropriées pour assumer ses fonctions essentielles en matière de GI. Le vice-président de la Direction générale de la gestion ministériel (DGGM) a approuvé une nouvelle structure du BGI qui porte sur l'organisation de la prestation des fonctions essentielles en matière de GI et qui répond au besoin d'améliorer la gestion des documents électroniques. À ce jour, le CEG a approuvé la dotation d'un nouveau poste. Le DGI recrutera du personnel ayant les compétences nécessaires au fur et à mesure que les occasions se présenteront.

D'autres mesures de ressourcement liées à la gestion de l'information seront orientées par le plan intégré des activités, qui fournira une démarche harmonisée pour la gestion de l'information et la technologie de l'information, et qui tiendra compte des compétences complémentaires les mieux adaptées aux besoins actuels en matière de gestion de l'information. Le ressourcement à court terme lié aux projets constituera une priorité.
DPI de la CFP Le poste sera doté d'ici au 31 juillet 2014.

Un plan de dotation révisé du BGI sera disponible d'ici au 31 mars 2014.

Annexe C – Critères de vérification

Secteurs d'intérêt Critères de vérification
1. La gestion de l'information à la CFP est conforme aux lois, aux politiques, aux directives, aux règlements, au Code de conduite et aux normes du gouvernement du Canada. Conformité

1.1 La structure de gouvernance en place est conforme aux exigences principales des politiques du CT.

1.2 La CFP se conforme aux politiques et aux directives du CT en ce qui concerne la capacité de l'effectif à assumer ses rôles en matière de gestion de l'information.

1.3 La CFP se conforme aux exigences du CT en ce qui concerne un cadre opérationnel qui permet de déterminer et de gérer les ressources d'information en tant que biens de grande valeur.

1.4 La CFP se conforme aux exigences du CT en ce qui concerne les méthodologies, les méthodes et les outils qui soutiennent tout le cycle de vie de l'information.

1.5 La CFP se conforme aux exigences du CT en ce qui concerne la détermination, le signalement, l'entreposage et la transmission d'information de nature délicate.

1.6 Les activités de gestion de l'information à la CFP sont conformes aux règles administratives et aux politiques propres à la CFP.
2. Il est possible de trouver facilement des ressources d'information, au besoin, et celles-ci sont de bonne qualité et ont les droits d'accès appropriés, et leur date de publication ainsi que leurs relations avec d'autres documents sont indiquées. Repérage

2.1 Les ressources d'information sont uniques et pertinentes pour les personnes qui en ont besoin, et elles sont entreposées avec des métadonnées et selon des structures de données qui sont adéquates pour faciliter un repérage efficient.

2.2 Les outils de recherche sont adéquats sur le plan fonctionnel, et leur fonctionnement est compris par les employés.
3. Les systèmes et les procédures destinés à entreposer, à transporter et à éliminer des ressources d'information, et à y accéder, assurent une sécurité en cas d'accès non autorisé et favorisent la protection adéquate des renseignements personnels, de la confidentialité et des travaux en cours. Sécurité

3.1 Les procédures appropriées pour l'entreposage, le transfert et l'échange d'information de nature délicate ont été établies et sont suivies par les employés.

3.2 L'accès aux documents de nature délicate est contrôlé et surveillé.
4. Des processus et des structures sont en place afin d'orienter, de diriger, de gérer et de surveiller de façon adéquate les activités requises pour atteindre les objectifs en matière de gestion de l'information. Gouvernance

4.1 Un cadre établi pour l'architecture d'information détermine qui peut prendre des mesures par rapport à telle ou telle ressource d'information (y compris les documents finaux, les documents temporaires, les approbations, les notes et la collections regroupant ces documents), et détermine quand et comment le faire.

4.2 Les rôles et les responsabilités sont définis de façon adéquate pour assurer une supervision efficace du cadre pour l'architecture d'information.

4.3 La planification stratégique est adéquate pour répondre aux besoins des intervenants, réagir aux circonstances imprévues et assurer une transition sans heurts lorsqu'une nouvelle technologie ou de nouveaux processus sont introduits.

Annexe D – Glossaire

  • AIPRP – Accès à l'information et protection des renseignements personnels
  • ARO – Analyse des répercussions sur les opérations
  • BAC – Bibliothèque et Archives Canada
  • BCG – Bureau du contrôleur général
  • BGI – Bureau de gestion de l'information
  • CEG – Comité exécutif de gestion
  • CFP – Commission de la fonction publique
  • CGITI – Comité de la gestion de l'information/technologie de l'information
  • CPP – Centre de psychologie du personnel
  • CSTC – Centre de la sécurité des télécommunications Canada
  • CT – Conseil du Trésor
  • CVI – Comité de vérification interne
  • DDPI – Direction du dirigeant principal de l'information
  • DGGM – Direction générale de la gestion ministérielle
  • DGVSD – Direction générale de la vérification et des services de données
  • DPI – Dirigeant principal de l'information
  • DSTI – Direction des services de technologie de l'information (fait partie de la DGGM)
  • DVI – Direction de la vérification interne
  • GCDocs – Documents du gouvernement du Canada (remplace le SGDDI)
  • PCA – Programme de continuité des activités
  • PDF – Format Portable Document Format (Adobe)
  • RDVO – Ressources documentaires à valeur opérationnelle
  • RTF – Format Rich Text Format (de Microsoft)
  • SCT – Secrétariat du Conseil du Trésor
  • SGDDI – Système de gestion des dossiers, des documents et de l'information
  • SPC – Services partagés Canada
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

.

Date de modification :