Vérification des projets spéciaux en ressources humaines (PeopleSoft) – Rapport final

(approuvé le 3 novembre 2010)

Table des matières

Résumé

Contexte

En 2006, le Secrétariat du Conseil du Trésor du Canada (SCT) a reconnu le Système de gestion des ressources humaines du gouvernement du Canada (SGRH GC) de PeopleSoft, version 8.9, comme l’environnement cible pour les systèmes de RH des organisations fédérales. La Commission de la fonction publique (CFP) risquait de ne plus être en mesure d’assurer le soutien technique du Système d’information sur la gestion des ressources humaines (SIGRH) et du Système d’information et de gestion des congés (SIGC). Le 14 septembre 2009, la CFP a effectué la mise en place réussie de PeopleSoft. Afin de faciliter le transfert et le partage des coûts liés au projet, la CFP a conclu une entente de partenariat avec Anciens Combattants Canada (ACC). (ACC est la première organisation fédérale qui a mis en œuvre cette version de l’application du SGRH GC de PeopleSoft.) Ce partenariat a été rendu possible grâce aux mesures de collaboration précisées dans un protocole d’entente (PE) conclu entre les deux organisations.

Justification

Le projet représente un investissement important et touche les activités permanentes de la CFP. Il s’agit du premier partenariat du genre entre la CFP et ACC. Pour atténuer les risques liés à la mise en œuvre, la CFP a donc adopté un système déjà en place dans un autre ministère. Elle a même utilisé un logiciel commercial éprouvé afin de réduire les risques technologiques. Toutefois, ce projet comporte de grands risques externes pour la CFP et ses données. La gouvernance, l’orientation stratégique et la communication sont aussi plus complexes dans un contexte de gestion partagée. Comme pour la plupart des installations de systèmes importants, il était possible que le personnel s’oppose au changement. De même, la conversion des données au format du nouveau système présentait des risques sur le plan de l’intégrité et de l’intégralité des renseignements personnels des employés.

Le Comité de vérification interne de la CFP a approuvé la vérification des projets spéciaux en ressources humaines (PeopleSoft) en février 2009.

Objectif

La présente vérification visait d’abord à déterminer si la mise en œuvre, l’essai et l’exploitation du nouveau système partagé (PeopleSoft) étaient adéquats. Elle visait ensuite à déterminer si ces démarches pouvaient assurer la continuité et l’efficacité des activités en RH. La vérification a tout particulièrement porté sur le volet de gestion du projet, les contrôles d’intégrité des données du nouveau projet d’application en RH et les possibilités d’utilisation optimale de la  technologie de l’information (TI).

Conclusion

La Direction de la gestion des ressources humaines (DGRH) a procédé à la pleine mise en œuvre de PeopleSoft. Il s’agit d’une solution de remplacement pour les applications SIGRH et SIGC non prises en charge sur le plan technique. Pour ce projet, la CFP a établi un partenariat avec ACC. Cette approche a permis d’atténuer les risques liés à la mise en œuvre et à l’exploitation d’un nouveau système. Cette initiative, qui est la première du genre pour la CFP, s’est aussi traduite par des économies et a atteint tous les objectifs stratégiques fixés. Les spécialistes des RH ont été en mesure d’accomplir toutes leurs tâches opérationnelles pendant et après la mise en œuvre et les employés de la CFP ont connu une transition harmonieuse.

Pour assurer la continuité des opérations de PeopleSoft et l’intégration de nouvelles fonctions, certains des processus existants pourraient être rendus plus rigoureux. Cette démarche permettrait de réduire les risques éventuels, d’accroître la responsabilisation et d’améliorer les opérations. Des mesures officielles devraient aussi être prises pour faciliter le transfert des connaissances lors d’un roulement de personnel. La gestion des risques fait partie intégrante du projet. Cependant, une meilleure documentation sur le niveau de suivi faciliterait la responsabilisation dans cet environnement partagé. Nous avons aussi constaté que davantage de travail s’impose dans le domaine du suivi de la formation, de l’accès au système et de la continuité des opérations. En règle générale, la mise en œuvre réussie de PeopleSoft assure une application à jour à la CFP pour gérer efficacement les RH. En outre, le système peut offrir d’autres fonctions qui permettront à la CFP d’évoluer vers une organisation modèle en gestion des finances et des RH.

La direction a collaboré avec la Direction de la vérification interne (DVI) pour accélérer le processus de vérification, formuler des commentaires additionnels et fournir d’autres renseignements, au besoin. Elle a d’ailleurs proposé des mesures qui permettront de combler les lacunes décelées.

1. Introduction

La Direction de la vérification interne (DVI) a proposé d’effectuer la vérification de la mise en œuvre et de la mise à l’essai de PeopleSoft comme nouvelle application dans le cadre du plan de vérification interne 2009-2010. En février 2009, le Comité de vérification interne de la Commission de la fonction publique (CFP) a approuvé la vérification des projets spéciaux en ressources humaines (PeopleSoft). L’étape de planification de la présente vérification a commencé en septembre 2009.

2. Contexte

Dans certains rapports sur les plans et les priorités antérieurs, la CFP a déclaré que l’«évolution vers une organisation modèle en matière de gestion des ressources humaines et financières » était une priorité de gestion. Elle s’engageait ainsi à améliorer les stratégies de gestion des technologies de l’information (TI). Ces stratégies devaient toutefois répondre aux besoins technologiques en constante évolution. Elles devaient aussi permettre d’atténuer les risques éventuels (soutien des fournisseurs et intégration, sécurité, désuétude et compatibilité des systèmes).

En avril 2006, une directive du Secrétariat du Conseil du Trésor du Canada (SCT) sur l’investissement dans les systèmes administratifs des organisations a reconnu le SGRH GC de PeopleSoft, version 8.9, comme l’environnement cible pour les systèmes de RH des organisations fédérales. PeopleSoft est en d’autres termes la suite logicielle de choix en RH à l’échelle du gouvernement. Elle est prise en charge par un centre de programme qui offre des services de soutien et de maintenance. Ce centre est aussi responsable de trouver des possibilités d’amélioration et des solutions aux systèmes. Il représente en fait le regroupement des ministères et organismes du gouvernement qui utilisent activement PeopleSoft. L’objectif de ce regroupement est d’assurer une amélioration continue des fonctions du système afin de l’adapter aux exigences réglementaires et aux besoins changeants en RH. Secrétariat du Conseil du Trésor du Canada (SCT) et la CFP ont tous deux droit à un vote lors de la prise de décisions. Par conséquent, le Système d’information sur la gestion des ressources humaines (SIGRH) de la CFP et le Système d’information et de gestion des congés (SIGC) risquaient de  perdre leur soutien technique, ce qui aurait entraîné la suppression des fonctions requises pour appuyer les priorités et activités de la Direction de la gestion des ressources humaines (DGRH). Après avoir comparé des solutions de remplacement viables grâce à l’analyse des possibilités offertes, il a été décidé que la mise en place de PeopleSoft était l’option la plus judicieuse.

Afin de faciliter le transfert et le partage des coûts liés au projet, la CFP a conclu une entente de partenariat avec ACC. ACC est la première organisation fédérale qui a mis en œuvre cette version de l’application du Système de gestion des ressources humaines du gouvernement du Canada (SGRH GC) de PeopleSoft. Ce partenariat a été rendu possible grâce aux mesures de collaboration précisées dans un protocole d’entente (PE) conclu entre les deux organisations.

Le 14 septembre 2009, la CFP a effectué la mise en place réussie de PeopleSoft. Des renseignements sur le système ont été communiqués aux utilisateurs et intervenants par courriel. Cette information a même été affichée dans l’intracom de la CFP à leur intention, dans une section consacrée au système.

À l’été 2010, la planification de la mise en place du module ajouté à l’interface de paie a débuté dans le but de simplifier les opérations de paie. Le module sera abordé comme un projet distinct aux fins de planification et de mise en place.

3. Risques

Le projet représente un investissement important et touche les activités permanentes de la CFP. C’est la première fois que la CFP et ACC concluent une entente du genre sur la mise en place, les activités permanentes et le soutien d’un système de TI. Ce partenariat offre des économies importantes. Il comporte toutefois de grands risques externes pour la CFP et ses données. La gouvernance, l’orientation stratégique et la communication sont aussi plus complexes dans un contexte de gestion partagée.

Le passage des systèmes de gestion des congés et autres systèmes de RH en place vers le nouveau système a des répercussions éventuelles sur les employés et les spécialistes fonctionnels de la CFP. Il est possible que le personnel s’oppose au changement pendant la transition. De plus, la conversion des données au format du nouveau système présente des risques sur le plan de l’intégralité et l’exactitude des renseignements personnels des employés de la CFP.

Il est à noter que le recours à un logiciel commercial éprouvé a atténué les risques technologiques et que l’adoption d’un système déjà en place dans une autre organisation gouvernementale a permis de réduire les risques liés à la mise en œuvre.

4. Objectifs

La présente vérification visait d’abord à déterminer si la mise en œuvre, l’essai et l’exploitation du nouveau système partagé (PeopleSoft) étaient adéquates. Elle visait ensuite à déterminer si ces démarches pouvaient assurer la continuité et l’efficacité des activités en RH. La vérification a tout particulièrement porté sur le volet de gestion du projet, les contrôles d’intégrité des données du nouveau projet d’application en RH et les possibilités d’utilisation optimales de la TI.

Nous nous attendions à ce que :

  • un organisme de surveillance efficace ait été créé et possède un mandat clairement communiqué qui comprend les rôles en matière de gouvernance, de gestion des risques et de contrôle;
  • les objectifs aient été établis et bien communiqués;
  • les contrôles internes et les mesures de sécurité et de vérifiabilité soient en place durant la configuration et l’intégration de l’application PeopleSoft afin de protéger les systèmes, les données et les autres ressources, ainsi que d’en assurer la disponibilité et l’intégrité;
  • les environnements interne et externe fassent l’objet d’un suivi, durant la mise en œuvre et après; cette démarche permet d’obtenir des renseignements susceptibles de signaler le besoin de revoir les objectifs fixés ou les contrôles effectués par l’organisation.

5. Portée

La vérification a porté sur la gestion globale du projet. Par gestion globale, on entend la mise en œuvre initiale du projet à la CFP et les aspects opérationnels permanents à la CFP de ce nouveau système partagé avec ACC. La vérification a abordé plus particulièrement :

  • les questions de gouvernance et de partenariat;
  • les pratiques de planification et de gestion des risques liés au projet;
  • l’intégrité, la sécurité et la confidentialité des données détenues par la CFP.

La vérification a en fait examiné certains des risques communs aux deux organisations dans le cadre de cette initiative conjointe. La DVI ne s’est toutefois pas concentrée sur les systèmes d’ACC lors de cette vérification et ne lui a pas non plus fourni de niveau d’assurance ou proposé de recommandations.

6. Énoncé d’assurance

La vérification interne a été effectuée conformément aux normes de la CFP, qui sont elles-mêmes fondées sur les normes de l’Institut des vérificateurs internes et la politique du SCT. La DVI de la CFP s’efforce  de respecter à la lettre toutes les normes en vigueur. Nous avons examiné suffisamment de données probantes et recueilli les renseignements nécessaires pour en arriver aux conclusions que vous trouverez dans ce rapport. Nous n’avons pas toujours pu obtenir les preuves voulues. Dans de tels cas, nous avons pris le soin d’ajouter une observation à cet effet.

7. Méthodologie

Le processus de vérification normalisé de la CFP comporte trois grandes étapes :

  • la planification;
  • l’examen détaillé;
  • la production d’un rapport.

Tous les documents livrables sont examinés et approuvés par le directeur de la DVI. Durant la vérification, le vice-président de la Direction générale de la gestion ministérielle (DGGM) et ses représentants ont constamment obtenu des comptes rendus des observations et ils ont pu les valider. La DGGM a fourni au personnel jugé essentiel, pour mener à bien cette vérification, tous les documents et les droits d’accès nécessaires.

La planification a commencé en septembre 2009. Lors de cette étape, une évaluation préliminaire des risques a permis de définir les champs d’examen. La DVI a établi des critères provisoires à l’aide, entre autres, des documents suivants : Les contrôles de gestion de base : Un guide à l’intention des vérificateurs internes (ébauche – novembre 2007) du Bureau du contrôleur général du Canada et Control Objectives for Information and Related Technology du IT Governance Institute. De plus, les critères ont été précisés grâce à l’examen des procédures déjà en place et des rapports antérieurs, ainsi qu’au moyen d’entrevues de membres clés de la direction et du secteur des opérations, y compris des cadres et des spécialistes fonctionnels de la direction générale.

La vérification est ensuite passée à l’étape de l’examen détaillé. La méthodologie comprenait des entrevues avec la direction et le personnel, l’examen et l’analyse de processus et documents clés, y compris des rapports générés par les systèmes, des documents stratégiques, des dossiers renfermant des renseignements personnels et d’autres données. Un nouvel essai à partir d’échantillons a également été effectué. L’examen détaillé s’est terminé en août 2010. Par la suite, des constatations ont été faites et présentées à la DGRH le 15 septembre 2010.

8. Observations et recommandations

Objectif de contrôle n˚ 1 Un organisme de surveillance efficace a été créé et possède un mandat clairement communiqué qui comprend les rôles en matière de gouvernance, de gestion des risques et de contrôle.

8.1 Gouvernance du projet

La vérification a mis en évidence que la documentation sur le projet définissait clairement les pouvoirs, la responsabilité et les obligations de l’organisme de surveillance. La structure de surveillance a été définie dans le protocole d’entente (PE) d’origine et précisée dans ceux provisoires de 2010-2011. Les pouvoirs hiérarchiques ont été définis et le cadre de référence donne des précisions sur la composition du groupe, la fréquence des réunions et les points permanents à l’ordre du jour.

La Direction des finances et de l’administration a appuyé les arrangements financiers et la Direction des opérations comptables a précisé le processus de règlement en collaboration avec la Direction générale des affaires juridiques (DGAJ). Les détails de ces processus et contrôles se trouvent dans le PE préparé par la DGAJ, en partenariat avec ACC, pour la mise en œuvre de l’application PeopleSoft. Le PE d’origine sera remplacé par un autre. Ce dernier sera signé à l’automne 2010 et visera l’étape qui suit la mise en œuvre du projet. La vérification a permis de constater que le PE abordait la conformité avec les lois et règlements, ainsi que d’autres questions liées au partenariat. Le PE fait l’objet d’un examen chaque année. Les vérificateurs ont déterminé que ce processus d’examen est complet et que le PE qui en découle tient compte des risques et des nouvelles circonstances liés à l’évolution du projet et du partenariat.

La mise en œuvre du projet en partenariat et les questions liées au partage des coûts ont été la première initiative du genre pour la CFP. Ces démarches ont permis de trouver des solutions ingénieuses. La DGAJ avait pour objectif de permettre à chaque organisation d’aborder les questions liées au mandat d’offrir des services de TI. Elle a donc rédigé « une clause sur la personne réputée employée » en vue de l’incorporer au PE, en se fondant sur les modèles d’autres organisations gouvernementales. Des avocats de différentes institutions gouvernementales ont participé à la préparation des documents sur le projet. De plus, grâce à des sections sélectionnées et son libellé, le PE a été adopté comme un modèle. Il est maintenant utilisé par la Direction générale des services de dotation et d’évaluation pour les PE avec d’autres ministères et organismes.

Selon les estimations, l’entente de partenariat a permis d’économiser plus de 2 020 000 $ lors de la mise en œuvre du Système de gestion des ressources humaines du gouvernement du Canada.

8.2 Planification des ressources

Les spécialistes de PeopleSoft sont très en demande puisqu’il s’agit de la plateforme préconisée par les organisations gouvernementales. Malgré des ressources limitées, en particulier sur le plan fonctionnel, la DVI a constaté que l’équipe chargée du projet a pu atteindre les objectifs fixés grâce à des mesures de collaboration.  

La vérification a révélé que la structure de gouvernance du projet définissait les rôles et responsabilités des promoteurs et responsables du projet, des comités directeurs, du bureau de projet et du gestionnaire de projet. Ces constatations ont bien été communiquées et ont fourni aux divers représentants des deux parties l’appui nécessaire pour atteindre leurs objectifs respectifs de façon systématique. Cependant, des circonstances imprévues sont survenues après la mise en œuvre de l’application en raison de l’absence temporaire d’un des participants clés au projet. Cette situation s’est présentée lors d’un changement de leadership à la DGRH.

Même si le poste a été doté assez rapidement, cette mesure a créé un vide après la mise en œuvre et a occasionné des retards lors du transfert des connaissances et d’autres activités. À titre d’exemple, sur le plan de la gestion de projet, les éléments du Plan d’application des mesures de protection ont été mis en suspens et les réunions sur la sécurité des TI ont été reportées. Cependant, sur le plan des activités, le personnel de la Direction des services de technologie de l’information a continué à organiser des réunions et à mener ses activités de suivi. L’examen a d’abord permis de déceler qu’il n’y avait pas de relève naturelle au sein de l’équipe chargée du projet. En effet, la prochaine personne qui aurait pu assurer ce poste clé occupait un poste inférieur de trois niveaux. Ensuite, l’examen a révélé qu’il n’y avait pas de mesures d’urgence officielles en place qui tenaient compte de l’expertise nécessaire pour le projet en cas d’absence prolongée du personnel clé.

Le comité mixte a examiné la documentation sur la gestion des risques. Toutefois, l’interruption des examens en matière de gestion des risques à l’échelon du projet a risqué de compromettre l’exactitude et le caractère opportun des renseignements présentés aux niveaux de surveillance supérieurs (les comités mixtes).

Recommandation

1. La Direction de la gestion des ressources humaines devrait prévoir des mesures d’urgence officielles qui tiennent compte de l’expertise clé nécessaire pour PeopleSoft. Il s’agirait, entre autres, de cibler les postes qui risqueraient d’empêcher d’atteindre les objectifs opérationnels s’ils devenaient vacants. Il serait aussi question de désigner les ressources disponibles qui ont les compétences, les habiletés et les connaissances requises pour occuper ces postes. Pour les postes essentiels, plus précisément celui de responsable du projet, des remplaçants compétents devraient être prêts à assumer ces responsabilités, et ce, souvent à courts préavis. Il faudrait aussi avoir des remplaçants pour d’autres postes.

Réponse de la direction

Après la mise en œuvre, la Division des systèmes des RH poursuivra le transfert des connaissances entre les analystes des fonctions et des activités, et rendra ce processus officiel. Elle continuera aussi de compter sur l’apport des experts en matière de fonctions d’ACC. De plus, la Division des systèmes des RH officialisera les plans d’urgence avec ACC et dressera une liste de remplaçants parmi le personnel actuel qui connaît les fonctions clés. Ces remplaçants pourront offrir des services de soutien, de maintenance et de développement,  et pourront produire des rapports de situation à jour à l’attention de la directrice générale (DG) de la DGRH, en cas d’urgence.

  • Responsables : Gestionnaire, Division des systèmes des RH, et gestionnaire, Services d’application des TI
  • Date limite : décembre 2010

Objectif de contrôle n˚ 2 Les objectifs ont été établis et bien communiqués.

8.3 Planification du projet

La DVI a constaté qu’une structure de planification stratégique bien définie est en place pour la mise en œuvre; elle est appuyée par une analyse de cas, une charte et, le cas échéant, des stratégies correspondantes. Les rôles et responsabilités et les voies de communication sont décrits clairement. En raison de la vaste portée du projet, il était nécessaire de mettre au point des stratégies à grande échelle dans divers secteurs. Ces stratégies (y compris la communication, la production de rapports, la conversion des données et la formation) sont détaillées, rigoureuses et conformes aux objectifs stratégiques de l’organisation.

Il existe des processus et mécanismes officiels de communication qui appuient la communication en temps opportun de renseignements pertinents et fiables aux utilisateurs et autres intervenants externes. La stratégie et le plan de communication sont très détaillés. Le site Web, les communiqués par courriel et le catalogue du libre-service en ligne contribuent aussi à améliorer le plan. Le consensus obtenu au moyen d’entrevues et de commentaires des intervenants qui utilisent PeopleSoft régulièrement ou occasionnellement a confirmé qu’ils étaient au courant de l’évolution du système et, en fin de compte, de sa mise en œuvre.

8.4 Formation

Nous nous attendions à ce que la formation sur PeopleSoft permette au personnel de bien accomplir ses tâches. Plus précisément, il était essentiel que les utilisateurs des RH chargés de saisir et de manipuler des données suivent la formation nécessaire en temps opportun pour pouvoir s’acquitter de leurs tâches opérationnelles. La DVI a obtenu et examiné le matériel de formation sur PeopleSoft afin d’en vérifier l’exhaustivité et la pertinence. En outre, les utilisateurs des systèmes – employés des RH connus sous le nom d’experts en la matière (EM) – ont été interviewés pour voir si les cours, les directives et le matériel de formation étaient complets, adéquats et opportuns et s’ils leur permettaient d’accomplir leurs tâches.

La vérification mentionne que la stratégie de formation pour la mise en œuvre de PeopleSoft est complète et rigoureuse. Des cours de formation complets ont été adaptés aux différents groupes et des séances de formation ont été organisées pour les utilisateurs de chaque niveau, selon leur spécialité respective, y compris les directeurs, les DG et le personnel de soutien de la CFP. D’après les EM interviewés, les cours de formation sont instructifs et bien présentés et offrent un matériel de formation complet.

L’examen a fait ressortir de petites divergences entre les divers documents du calendrier de formation. De plus, les registres de formation ont, semble-t-il, été remplis au fur et à mesure et répartis dans plusieurs fichiers. On a signalé que ce style avait été adopté pour respecter les délais serrés. Une soixantaine d’utilisateurs en tout ont reçu la formation; l’accent a été mis sur la vingtaine d’utilisateurs responsables de la saisie des données, plutôt que sur ceux qui consultent les données ou produisent des rapports à l’aide du système. Même si très peu de personnes ont participé aux séances individuelles, la DGRH a adapté et personnalisé les cours de formation pour tenir compte d’un échancier très serré. Des listes de présence ont été remplies. On y a cependant trouvé quelques divergences. Il n’y a pas eu d’évaluation du rendement des séances de formation ou des formateurs. L’absence de mesures officielles et d’évaluation pour la formation empêche la collecte de renseignements essentiels sur l’efficacité de la formation et du système.

Des séances libre-service ont aussi été offertes à tout le personnel de la CFP après la mise en place de l’application. Même si des directives étaient disponibles sur Intracom, ces séances de formation ont été jugées utiles. C’est en fait l’avis des employés qui ne connaissaient pas bien les fonctions du système permettant d’enregistrer et de modifier les demandes de congé, puis de gérer le solde des congés.

Des cours de formation supplémentaires après la mise en place du système, soit après octobre, ont été offerts. Il s’agissait surtout de séances individuelles données aux utilisateurs des RH. En mai 2010, un registre de formation plus rigoureux a été préparé pour la planification des cours de formation. Ce registre comprend aussi d’autres cours de formation, à l’intention des utilisateurs autres que ceux des RH, nécessaires pour certains intervenants de la CFP. Les registres de présences et les mesures d’évaluation ne sont pas encore en place. Cependant, la direction étudie la possibilité d’utiliser le système (PeopleSoft) pour assurer le suivi de la formation des employés.

Recommandation

2. La Division des systèmes des ressources humaines devrait utiliser des registres de formation fiables, ainsi que des listes de présence, pour assurer le suivi de la formation des employés sur l’utilisation du système. Les résultats devraient faire l’objet d’une évaluation après les séances afin de s’assurer de la satisfaction des clients et de l’efficacité des séances ainsi que la mise au point d’autres stratégies de formation.

Réponse de la direction

La direction admet qu’il faudrait utiliser un formulaire d’évaluation officiel pour faire le suivi de la formation. Elle en utilise actuellement un tout nouveau pour évaluer les séances de formation. Elle examinera d’ailleurs les résultats obtenus afin d’apporter des modifications à la formation, au besoin, et de mettre au point d’autres stratégies de formation. La Division des systèmes des RH conservera le registre existant des activités de formation sur PeopleSoft. Elle rendra également officiels les dossiers de formation sur PeopleSoft. Ces démarches lui permettront d’assurer le suivi et l’assurance de la qualité de la formation, tout au long des activités de formation sur PeopleSoft de la Division des systèmes des RH.

  • Responsable : Gestionnaire, Division des systèmes des RH
  • Date limite : janvier 2011

8.5 Gestion des risques

La détermination et la gestion des risques ont été des aspects essentiels du projet, y compris les discussions informelles sur l’examen de la gestion des risques durant les réunions du comité mixte.

La DVI s’attendait à trouver des éléments indiquant que l’équipe chargée de la gestion du projet et l’organisme de surveillance avaient réglé les questions interorganisationnelles. Par ailleurs, conformément à la charte de projet,  une évaluation des facteurs relatifs à la vie privée (EFVP) et une évaluation de la menace et des risques devaient être effectuées, puis un énoncé de sensibilité devait être préparé. Le projet visait à gérer les risques en utilisant la méthodologie de gestion continue du risque : stratégie recommandée par le Secrétariat du Conseil du Trésor du Canada pour les projets. Les vérificateurs ont constaté que tous ces documents étaient complets et conformes et qu’ils respectaient la méthodologie.

Le contenu de l’EFVP, de l’évaluation de la menace et des risques et de l’énoncé de sensibilité est le fondement du Plan d’application des mesures de protection (PAMP). Ce document constitue le dossier officiel de gestion des risques liés à PeopleSoft. Il indique les recommandations, les mesures prévues, le bureau de première responsabilité et l’état d’avancement d’un projet particulier. PeopleSoft a été le premier projet abordé selon l’approche du PAMP pour la gestion des risques à la CFP. Selon la Direction des services de technologie de l’information (DSTI), il demeure d’ailleurs l’exemple le plus complet de l’organisation. La DSTI est responsable de ce plan d’application et assure la liaison avec l’équipe chargée du projet pour recueillir des renseignements et mettre le document à jour régulièrement.

Durant la mise en œuvre du projet, un registre de gestion des risques a été utilisé et tenu à jour régulièrement. Le Comité mixte de planification (CMP) a examiné ces risques toutes les deux semaines et a élaboré un plan d’urgence pour les secteurs à risque élevé. Un rapport de situation (aussi appelé « tableau de bord de projet ») a été présenté au Comité directeur et au Comité exécutif de gestion.

Les mises à jour et les réunions ont été interrompues au moment du remplacement du gestionnaire de projet. Avant ce changement, les réunions entre le coordonnateur de PeopleSoft à la DSTI et les équipes fonctionnelles se tenaient à intervalles irréguliers. Après le départ du gestionnaire, ces réunions ont été interrompues pendant un certain temps. Cependant, tout indique qu’une réunion officieuse avait eu lieu entre le coordonnateur de la DSTI et l’équipe de soutien technique de PeopleSoft en février 2010. Les réunions officielles ont repris en mai 2010. Depuis ce temps, elles ont lieu chaque mois. La DGRH a signalé que la DG de la DGRH et le DG de la DSTI, y compris leurs homologues d’ACC, se sont réunis à une occasion. Leur intention était en fait d’augmenter le nombre d’activités de surveillance et de fournir un appui supplémentaire. De plus, le vice-président de la Direction générale de la gestion ministérielle et la DG de la DGRH ont tenu plusieurs rencontres et se sont grandement investis dans tous les aspects de ce projet.

Selon le protocole d’entente (PE) provisoire de 2010-2011, les questions liées au PAMP et à la gestion des risques doivent être examinées par le comité mixte. La DVI n’a trouvé aucun élément de preuve de questions soulevées à cet effet dans les ordres du jour et comptes rendus de décisions des réunions. Toutefois, les entrevues indiquent que le plan d’application a été examiné de manière officieuse lors des tables rondes du CMP. En outre, l’examen de ce plan d’application a été ajouté à l’ordre du jour de la réunion du CMP du 8 septembre 2010.

L’intégration explicite de la gestion des risques dans le PE est maintenant un point permanent à l’ordre du jour des réunions du CMP. Ce changement indique que la direction est consciente de l’importance de ce contrôle. La gestion des risques a donc fait l’objet de discussions informelles. Cependant, l’absence de documentation à cet effet affaiblit le compte rendu des discussions et des décisions et réduit la capacité des comités à assumer leurs responsabilités. De plus, l’absence de renseignements sur les décisions ou les mesures à prendre pourrait nuire à la planification stratégique. En fin de compte, l’attention réduite accordée à la gestion des risques par la haute gestion peut avoir diverses répercussions. Elle risque de mettre en péril l’établissement des priorités, le financement ou la prise de mesures, et d’avoir une incidence négative sur la viabilité du projet, surtout dans le cadre du partenariat existant.

Recommandation

3. Pour respecter le cadre de référence du comité et le protocole d’entente, la Division des systèmes des ressources humaines devrait prévoir des mécanismes. Ces derniers assureraient un examen efficace et périodique  des questions liées à la gestion des risques et de leur état d’avancement sur le plan de la gouvernance stratégique. Ce contrôle devrait être documenté dans les procès-verbaux ou  comptes rendus de décisions. 

Réponse de la direction

La direction ajoutera, comme points permanents à l’ordre du jour du CMP et du Comité directeur, la gestion des risques liés aux opérations courantes de PeopleSoft et aux fonctions de l’interface de paie du gouvernement du Canada, et le PAMP. Elle documentera aussi les comptes rendus de décisions.

  • Responsables : Gestionnaire, Division des systèmes des RH, et gestionnaire, Services d’application des TI
    Date limite : le 20 octobre 2010

Un registre de gestion des risques pour l’interface de paie du gouvernement du Canada a été présenté au Comité mixte directeur à sa réunion du 20 octobre 2010. La direction mettra au point ce registre de gestion des risques liés aux opérations courantes du système (PeopleSoft). La DG de la DGRH déterminera l’ampleur du travail d’examen nécessaire à l’échelle de la Direction.

  • Responsables : Gestionnaire, Division des systèmes des RH, et gestionnaire, Services d’application des TI
  • Date limite : décembre 2010

Objectif de contrôle n˚ 3 Les contrôles internes et les mesures de sécurité et de vérifiabilité sont en place durant la configuration et l’intégration de l’application PeopleSoft afin de protéger les systèmes, les données et les autres ressources, ainsi que d’en assurer la disponibilité et l’intégrité.

8.6 Contrôles

La vérification a révélé que, dans l’ensemble, des mesures rigoureuses étaient en place pour protéger les ressources de la CFP et l’intégrité des données et les renseignements personnels détenus par l’organisation. La conversion des données a été une réussite et reposait sur une stratégie et une méthodologie rigoureuses.

Les vérificateurs ont constaté que les mesures de mise à l’essai des données prises pour vérifier l’intégrité de la saisie continue de données et de leur conversion étaient complètes et adéquates. Les analystes des activités de gestion des deux organisations ont effectué des essais à partir d’échantillons et des requêtes. La DVI a de nouveau vérifié un échantillon des données de PeopleSoft pour s’assurer de leur intégrité. Lors de cette démarche, aucune anomalie inexplicable n’a été décelée.

En prévision du lancement de PeopleSoft, des cas type ont dû être simulés plusieurs fois dans le cadre du processus de dépannage. Environ 95 % des difficultés étaient de type technique, et non fonctionnel. Les documents d’essai renfermaient les éléments vérifiés, les résultats obtenus et des détails sur les solutions individuelles d’un point de vue fonctionnel, s’ils présentaient une valeur ajoutée pour les analystes des activités de gestion en vue de mesures futures. Toutes les solutions techniques ont été conservées dans un système (connu sous le nom de « Bug Tracker ») commun à la CFP et ACC. Les équipes fonctionnelles et techniques ont accès à ce système.

Le PE stipule que la CFP et ACC doivent assurer la conformité des méthodes de conservation et de suppression des données avec les normes de Bibliothèque et Archives Canada (BAC). La capacité d’archivage et de suppression des données dans le système ne satisfait ni aux exigences de la CFP ni à celles de BAC. Il s’agit d’un problème à l’échelle du gouvernement puisque le système (PeopleSoft) n’a jamais permis d’archiver des données selon les normes commerciales ou gouvernementales. Un groupe de travail dirigé par ACC (formé entre autres de représentants de la CFP, d’ACC et de BAC) au centre de programme s’occupe de la question. On s’attend à ce que la solution fasse partie du produit d’ici juillet 2011 et soit intégrée à la prochaine version de PeopleSoft. Selon la DGRH, il faudra accorder la priorité à la conservation et à la suppression des données en cours de production après la mise en place de l’interface de paie du gouvernement du Canada. Il a également été noté qu’une annexe sera ajoutée au PE et reflétera les résolutions du groupe de travail. À titre de mesure d’urgence, une solution pour les données du Système de gestion des ressources humaines du gouvernement du Canada sera mise en place dès qu’elle sera élaborée et approuvée. D’autres contrôles obligatoires et complémentaires sont en place pour s’assurer que l’environnement du système respecte les normes de la classification « Protégé B ».

Conformément au PE, les utilisateurs doivent avoir lu et signé une déclaration où ils s’engagent à respecter les exigences en matière de sécurité et de protection du gouvernement du Canada. Il s’agit d’une autre initiative dirigée par le centre de programme. Elle fait partie du projet de configuration commune. Un groupe de travail a été chargé de trouver la meilleure solution possible et de miser sur le travail effectué par Agriculture Canada. Le groupe a produit un document sur les exigences opérationnelles, accompagné d’un énoncé de confidentialité. La Direction générale des affaires juridiques en a fait l’examen et l’a approuvé en octobre 2010. Ce document vient d’être soumis au comité opérationnel du centre de programme. Il sera peaufiné avant d’être mis à la disposition des ministères et organismes. De plus, les membres de l’équipe chargée de la gestion de PeopleSoft ont dû signer une déclaration de sécurité officielle afin d’obtenir l’accès aux données par l’entremise des systèmes Citrix. En ce moment, l’accès aux différents modules varie d’un poste à l’autre. La DGRH a indiqué qu’une procédure d’accès normalisée est en cours d’élaboration. Dès que cette procédure sera prête, elle sera mise en place.

En fonction des tâches liées à leur poste, les employés doivent avoir différents niveaux d’accès au système afin de pouvoir y saisir des données, de les modifier et de les consulter. Lors d’une consultation, par exemple, les données serviraient à la préparation de rapports. Le niveau d’accès autorisé (connu sous le nom de « profil de sécurité ») est attribué en fonction des exigences du poste. Pour les nouveaux employés, le Service de dépannage de la CFP est chargé d’attribuer les rôles standards (libre-service et libre-service gestionnaires). Pour les utilisateurs des RH qui nécessitent un accès de niveau supérieur, leur chef de section doit remplir une « demande de formation/sécurité PeopleSoft ». Chaque permission ou rôle rattaché au profil d’un employé est révisé à partir de l’information fournie par le gestionnaire.

Un rapport d’arrivée est produit tous les deux jours pour s’assurer que tous les nouveaux employés ont les droits d’accès pertinents à PeopleSoft. Un rapport de départ qui sera produit à la même fréquence est en cours d’élaboration. Il permettra de s’assurer que les comptes sont fermés dès le départ d’un employé de la CFP. Actuellement, lorsque les utilisateurs des RH changent de poste au sein de l’organisation, la modification est apportée manuellement au système. Il n’existe pas de procédure officielle encore pour cette opération et la révision des profils est basée sur les observations des membres de l’équipe chargé de la gestion de PeopleSoft.

La mise à jour manuelle des profils pourrait créer des problèmes d’accès non autorisé pour les employés et des conflits de tâche. Il se pourrait que le profil des utilisateurs des RH transférés à d’autres postes du secteur des RH ou à d’autres directions de la CFP ne soit pas modifié en temps opportun en fonction de leur nouveau poste. Cette lacune pourrait compromettre l’intégrité des données. Dans certaines circonstances (comme les affectations ou certains congés prolongés), la consultation de renseignements officieux ou d’information basée sur des observations pourrait empêcher les utilisateurs d’obtenir ou d’annuler des droits d’accès appropriés. Cette anomalie pourrait nuire aux activités et faire en sorte que la personne contrevienne aux règlements sur la protection des renseignements personnels et aux dispositions du PE. En cas de bris de la sécurité, les enquêtes peuvent même être trop complexes si les profils sont trop vastes.

Recommandation

4. La Division des systèmes des ressources humaines devrait mettre en place un mécanisme rigoureux de contrôle des profils des utilisateurs pour s’assurer que les employés ont des droits d’accès appropriés selon leur classification et leur poste.

Réponse de la direction

La Division des systèmes des RH se penchera sur la question et établira une procédure interne officielle avec l’aide des gestionnaires de la DGRH et la Direction des services de technologie de l’information. Cette procédure permettra de créer et de mettre à jour des comptes et des profils de sécurité. Un rapport de surveillance mensuel sera envoyé aux gestionnaires aux fins de validation et de signature.

  • Responsable : Gestionnaire, Division des systèmes des RH
  • Date limite : fin novembre 2010

8.7 Reprise après sinistre

Nous nous attendions à trouver des processus fiables qui assureraient la reprise après la perte de données et la défaillance du système.

Bien que les données soient cryptées de manière adéquate lors de la transmission, elles ne le sont pas dans le système. Compte tenu des mesures d’atténuation des risques en place, la direction a déterminé que ce niveau de contrôle supplémentaire est trop coûteux. Par ailleurs, les copies de sauvegarde ne sont pas cryptées et sont acheminées à l’externe au moyen d’un service de messagerie. En septembre 2010, la CFP a documenté ses exigences en matière de sauvegarde et de cryptage et les a transmises à ACC. La direction a déterminé que, en raison du faible risque de perte des copies de sauvegarde, il n’était pas nécessaire de crypter les données ou de faire appel à des services de messagerie protégés lors de leur envoi. Cependant, la direction sait que tout bris de la sécurité des données de nature délicate pourrait être coûteux pour l’organisation. Ce bris pourrait en fait mettre en jeu sa réputation et lui entraîner des frais remboursables liés à la vérification du profil de tous les employés concernés par un tel incident.

Conformément aux protocoles d’entente antérieurs et à celui en vigueur, ACC est chargé d’élaborer un plan de continuité des opérations. Puisque toute l’infrastructure du projet se trouve à ACC, il est logique que ce ministère se charge d’accomplir cette tâche. Aucun progrès notable n’a été réalisé quant à  l’élaboration d’un plan de continuité des opérations ou d’un plan de reprise après sinistre. En raison de l’absence de mesures de continuité, les données de la CFP comportent des risques.

Recommandation

5. La Direction de la gestion des ressources humaines devrait élaborer un plan d’urgence pour faire face à la possibilité de :

  • i) perte de données non cryptées stockées dans le système,
  • ii) perte de copies de sauvegarde,
  • iii) sinistre informatique

jusqu’à ce que le partenariat ait trouvé une solution ou bien accepté officiellement les risques.

Réponse de la direction

La CFP demandera à ACC de lui soumettre ses plans d’urgence en matière de reprise des activités après un sinistre d’ici novembre 2010. Ces plans seront d’abord présentés à la réunion du Comité mixte de planification de janvier 2011 aux fins de recommandation et, ensuite, à la réunion du Comité directeur de mars 2011 aux fins d’approbation et de prise de mesures.

  • Responsable : Gestionnaire, Division des systèmes des RH
  • Responsable secondaire : Directeur, Services d’application des TI
  • Date limite : mars 2011

Objectif de contrôle n˚ 4 – Durant la mise en œuvre et en mode de production, les environnements interne et externe font l’objet d’un suivi. Cette démarche permet d’obtenir des renseignements susceptibles de signaler le besoin de revoir les objectifs fixés ou les contrôles effectués par l’organisation.

8.8 Suivi

La transition globale vers le nouveau système a été harmonieuse selon les utilisateurs en général. Les vérificateurs ont constaté la présence d’un niveau de suivi de l’environnement du système adéquat. Une évaluation constante et fréquente a été effectuée à tous les niveaux, ce qui comprend la tenue de discussions au sein du comité mixte, le suivi des transactions et l’examen des billets envoyés au Service de dépannage.

En ce qui a trait aux transactions, l’application produit un rapport mensuel. Ce rapport permet à l’équipe chargée de la gestion de PeopleSoft de déceler les anomalies à examiner. De plus, le soutien permanent du Service de dépannage permet de cibler en temps opportun les difficultés éprouvées par les utilisateurs. Ces dernières sont en fait communiquées aux membres compétents de l’équipe chargée de la gestion de PeopleSoft selon leur type, soit technique ou fonctionnel.

Nous avons effectué une analyse rétrospective de la situation afin de détailler le rendement réel de la mise en œuvre et d’y proposer des améliorations. Dès le début, la vérification a permis de déceler l’absence d’un processus officiel pour s’adapter aux changements dans le système. Cette lacune a aussi été reconnue par l’équipe chargée du projet lors de l’analyse rétrospective. Des lignes directrices sur la gestion du changement ont été élaborées, puis adoptées, pour remédier à la situation. En cas de changement, un processus de gestion du changement fixe et systématique élaboré en collaboration avec ACC doit être suivi. Les vérificateurs ont trouvé des divergences mineures dans la documentation qui motivait la demande de changement. Cependant, ils ont jugé que le processus global était efficace.

Beaucoup d’employés utilisaient le Système d’information sur la gestion des ressources humaines (SIGRH) ou le Système d’information et de gestion des congés (SIGC) avec aise et maîtrisaient leurs fonctions. Nous nous attendions donc à une certaine opposition du personnel à la mise en place de la nouvelle application. L’équipe chargée de la gestion de PeopleSoft a offert de l’aide et a formé des groupes de travail pour cerner les besoins. Pour répondre au besoin de produire des rapports distincts, à l’exception de ceux standards produits par le système ou par ACC, l’équipe de vérification a entrepris un examen des rapports.

Les vérificateurs ont reconnu que l’environnement du système (PeopleSoft) et l’équipe chargée du projet étaient prêts pour la mise en œuvre de nouvelles fonctions. Les lignes directrices sur la gestion du changement comprennent une procédure officielle pour choisir et mettre en œuvre des nouvelles fonctions. Le comité mixte se penche actuellement sur la question.

L’équipe chargée de la gestion de PeopleSoft se prépare actuellement à activer les fonctions de l’interface de la paie et de carte de paiement. Cette initiative importante sera considérée comme un projet distinct en raison de sa portée et de son budget. Des contrats ont été signés et les travaux d’élaboration de documents sur la stratégie et la mise en œuvre de cette nouvelle initiative ont été amorcés.

9. Conclusion

La DGRH a procédé à la pleine mise en œuvre de PeopleSoft. Il s’agit d’une solution de remplacement pour les applications SIGRH et SIGC non prises en charge sur le plan technique. Pour ce projet, la CFP a établi un partenariat avec ACC. Cette approche a permis d’atténuer les risques liés à la mise en œuvre et à l’exploitation d’un nouveau système. Cette initiative, qui est la première du genre pour la CFP, s’est aussi traduite par des économies et a atteint tous les objectifs stratégiques fixés. Les spécialistes des RH ont été en mesure d’accomplir toutes leurs tâches opérationnelles pendant et après la mise en œuvre et les employés de la CFP ont connu une transition harmonieuse.

Pour assurer la continuité des opérations de PeopleSoft et l’intégration de nouvelles fonctions, certains des processus existants pourraient être rendus plus rigoureux. Cette démarche permettrait de réduire les risques éventuels, d’accroître la responsabilisation et d’améliorer les opérations. Des mesures officielles devraient aussi être prises pour faciliter le transfert des connaissances lors d’un roulement de personnel. La gestion des risques fait partie intégrante du projet. Cependant, une meilleure documentation sur le niveau de suivi faciliterait la responsabilisation dans cet environnement partagé. Nous avons aussi constaté que davantage de travail s’impose dans le domaine du suivi de la formation, de l’accès au système et de la continuité des opérations. En règle générale, la mise en œuvre réussie de PeopleSoft assure une application à jour à la CFP pour gérer efficacement les RH. En outre, le système peut offrir d’autres fonctions qui permettront à la CFP d’évoluer vers une organisation modèle en gestion des finances et des RH.

La direction a collaboré avec la Direction de la vérification interne pour accélérer le processus de vérification, formuler des commentaires additionnels et fournir d’autres renseignements, au besoin. Elle a d’ailleurs proposé des mesures qui permettront de combler les lacunes décelées.

Annexe A – Cadre de contrôle de la gestion s’appliquant à la vérification des projets spéciaux en ressources humaines (PeopleSoft)

Objectifs de contrôle Critères de vérification
Objectif de contrôle n˚ 1 Un organisme de surveillance efficace a été créé et possède un mandat clairement communiqué qui comprend les rôles en matière de gouvernance, de gestion des risques et de contrôle. 1.1 Le mandat établit clairement les pouvoirs, la responsabilité et les obligations de l’organisme de surveillance.
1.2 Les pouvoirs, la responsabilité et les obligations de l’organisme de surveillance concordent avec les objectifs de l’organisation, de sorte que les décisions et les mesures sont prises par le personnel compétent.
1.3 Le projet est conforme aux lois, aux règlements et aux pouvoirs acquis en vertu des politiques gouvernementales.
1.4 Le protocole d’entente fait l’objet d’un examen annuel assez rigoureux afin de s’assurer qu’il tient compte des changements sur le plan des risques et des nouvelles circonstances.
Objectif de contrôle n˚ 2 Les objectifs ont été établis et bien communiqués. 2.1 Une structure de planification stratégique est en place pour définir, en collaboration avec les intervenants appropriés, la façon dont la mise en place du projet permettra d’atteindre les objectifs stratégiques de l’organisation.
2.2 L’organisation établit ses exigences actuelles et futures en matière de ressources pour le projet. Elle les analyse en tenant compte des compétences et des capacités du secteur des RH.
2.3 Une formation complète sur PeopleSoft est offerte à tous les membres du personnel de la CFP pour leur permettre de s’acquitter de leurs tâches.
2.4 Les processus de détermination et de gestion des risques liés au projet sont rigoureux. Ils tiennent compte des sources de risque internes et externes, y compris des liens de dépendance et des relations entre les autres parties et organisations fédérales.
2.5 Des processus et mécanismes officiels sont en place et appuient la communication de renseignements ponctuels, pertinents et fiables aux utilisateurs et autres intervenants à l’externe.
Objectif de contrôle n˚ 3 Les contrôles internes et les mesures de sécurité et de vérifiabilité sont en place durant la configuration et l’intégration de l’application PeopleSoft afin de protéger les systèmes, les données et les autres ressources, ainsi que d’en assurer la disponibilité et l’intégrité. 3.1 Un processus de conversion des données est établi et appliqué de façon adéquate.
3.2 Une mise à l’essai est réalisée conformément à un protocole d’essai défini à toutes les étapes nécessaires ou critiques.
3.3 Des politiques et procédures sont en place et suivies pour établir les exigences en matière de sécurité et les satisfaire au moment de la réception de données, de leur traitement, de leur entreposage, ainsi que de leur transfert et de leur sortie. Cette mesure permet de se conformer à la politique sur la sécurité et aux exigences réglementaires de l’organisation, particulièrement en ce qui a trait au cryptage des données à la CFP et à ACC.
3.4 Des techniques de sécurité et des procédures de gestion connexes (comme les pare-feux, les dispositifs de sécurité, la segmentation de réseau, la détection d’intrusions et les mesures de sécurité physique) sont employées pour autoriser l’accès au réseau et contrôler le débit d’information en provenance et en direction des réseaux.
3.5 Les exigences réglementaires et législatives de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels sont respectées.
3.6 Les biens sont protégés et l’accès à ces biens, aux dossiers et à l’information est réservé au personnel autorisé.
3.7 Les procédures d’entreposage, de conservation, d’archivage et de suppression des données sont définies et mises en application afin de respecter la politique de sécurité et les exigences réglementaires de l’organisation.
3.8 Un plan de continuité des opérations éprouvé et fonctionnel est en place.
Objectif de contrôle n˚ 4Durant la mise en œuvre et en mode de production, les environnements interne et externe font l’objet d’un suivi. Cette démarche permet d’obtenir des renseignements susceptibles de signaler le besoin de revoir les objectifs fixés ou les contrôles effectués par l’organisation. 4.1 Les transactions sont exactes, complètes et valides.
4.2 Le rendement est surveillé en fonction des cibles et des indicateurs prévus dans les contrôles ou les objectifs de l’organisation.
4.3 Une procédure officielle de sélection des nouvelles fonctions, harmonisée avec les objectifs de l’organisation, est en place.
4.4 La direction devrait régulièrement évaluer l’efficacité des contrôles de l’organisation et transmettre les résultats obtenus aux personnes ou entités à qui elle doit rendre des comptes.

Annexe B – Glossaire

ACC
Anciens Combattants Canada
BAC
Bibliothèque et Archives Canada
CFP
Commission de la fonction publique
CMP
Comité mixte de planification
DG
Directeur général
DGAJ
Direction générale des affaires juridiques
DGGM
Direction générale de la gestion ministérielle
DGRH
Direction de la gestion des ressources humaines
DSTI
Direction des services de technologie de l’information
DVI
Direction de la vérification interne
EFVP
Évaluation des facteurs relatifs à la vie privée
EM
Experts en la matière
PAMP
Plan d’application des mesures de protection
PE
Protocole d’entente
SCT
Secrétariat du Conseil du Trésor du Canada
SGRH GC
Système de gestion des ressources humaines du gouvernement du Canada
SIGC
Système d’information et de gestion des congés
SIGRH
Système d’information sur la gestion des ressources humaines
TI
Technologie de l’information

Détails de la page

Date de modification :