Audit de la gestion des données

[ Version PDF ]

Projet de rapport final
Juillet 2020

Situation générale

Contexte

Le volume de données que le gouvernement canadien produit, recueille et utilise a considérablement augmenté. Cette croissance a largement été attribuée aux récents progrès de la technologie numérique. Les organisations modifient donc leurs modèles opérationnels, acquièrent de nouvelles compétences et conçoivent de nouvelles méthodes de gestion et de déverrouillage de leurs données pour prendre de meilleures décisions, concevoir de meilleurs programmes et fournir des services plus efficaces.

Compte tenu des récents efforts visant à moderniser la fonction publique pour la rendre plus agile, mieux équipée et plus inclusive, une approche prospective et ouverte des données est considérée comme un élément essentiel du renouvellement de la fonction publique. À cette fin, le greffier a chargé un groupe de hauts fonctionnaires en janvier 2018 de mettre au point une stratégie sur les données pour la fonction publique fédérale. Ce groupe a produit un document connu sous le nom de Rapport au greffier du Conseil privé : Feuille de route de la stratégie sur les données pour la fonction publique fédérale.

Suite à la publication du rapport susmentionné, tous les ministères fédéraux ont été chargés par le greffier du Conseil privé d’élaborer une stratégie sur les données adaptée à leurs besoins d’ici septembre 2019.

L’une des principales fonctions du Bureau du Conseil privé (BCP) est de servir le Canada et les Canadiens en fournissant des conseils et un soutien professionnels et non partisans au premier ministre, aux ministres du portefeuille et au Cabinet sur des questions d’importance nationale et internationale. Des données crédibles sont nécessaires pour appuyer en temps utile la prise de décision fondée sur des données probantes.

Cet audit a été proposé à la suite de consultations avec la haute direction et à la lumière des recommandations formulées dans le rapport susmentionné. En tant que projet lié à la gestion de l’information, cet audit complète l’Audit de la transformation de la tenue de documents de 2015-2016.

Il s’agissait d’un audit prospectif qui visait à évaluer les plans du BCP pour élaborer et mettre en œuvre une stratégie sur les données alors que les travaux d’élaboration de cette stratégie étaient en cours. L’audit visait à faciliter l’élaboration et la mise en œuvre de la stratégie en identifiant les risques potentiels susceptibles d’entraver la mise en œuvre effective de la stratégie. Il est prévu qu’après l’élaboration et la mise en œuvre complètes de la stratégie sur les données, des audits ultérieurs soient effectués.

Vu que le terme « données » peut avoir plusieurs significations, dans cet audit, basé sur les résultats globaux de l’audit et conformément à la définition du Conseil du Trésor, les données sont définies comme des informations non organisées que l’on trouve généralement dans un format structuré (fichier, base de données, statistiques, etc. ). Mais elles peuvent aussi se trouver dans un format non structuré (documents Word, rapports, etc. ) qui peut être transformé en un format structuré grâce à la technologie (p. ex. une carte de mots ou un traitement du langage naturel).

Objectif, portée et critères

L’audit a porté sur les activités liées à la gestion des données et à la planification au BCP au cours de la période allant de juillet à septembre 2019. Les principaux objectifs de l’audit étaient les suivants :

  1. évaluer si le BCP était en bonne voie pour élaborer une stratégie sur les données;
  2. identifier tout risque potentiel susceptible d’entraver la mise en œuvre de la stratégie lorsqu’elle aura été élaborée.

Conformément aux principaux piliers fondamentaux identifiés dans le rapport du greffier, l’audit visait à évaluer si le BCP remplissait les critères suivants (c.-à-d. points de référence pour l’évaluation du rendement) :

  1. 1.0 Gouvernance – Le BCP est en bonne voie pour mettre en place des mécanismes de gouvernance de la gestion des données avec des responsabilités définies visant à soutenir efficacement la planification de l’infrastructure des données et la collecte, le stockage et l’utilisation des données afin de répondre aux besoins actuels et futurs du Ministère.
  2. 2.0 Politique, procédure et outils – Le BCP est en bonne voie pour planifier, élaborer et mettre en œuvre une stratégie sur les données; et il a mis en place ou met en place des politiques et des procédures relatives à l’utilisation éthique et sûre des données pour soutenir la prise de décision fondée sur des données probantes.
  3. 3.0 Personnes et capacité – Le personnel du BCP possède les connaissances et les compétences nécessaires pour obtenir des résultats en matière de gestion des données dans divers modes, y compris les technologies numériques, et le BCP a mis en place des processus et des procédures pour recruter, perfectionner, former et maintenir en poste les personnes qualifiées dont il a besoin pour faire le travail lié aux données dans un environnement numérique.
  4. 4.0 Environnement et infrastructure numérique – Le BCP dispose de l’environnement et de l’infrastructure de technologie de l’information appropriés pour permettre à ses professionnels qualifiés d’utiliser les technologies en vue de soutenir la prise de décision fondée sur des données probantes.

Méthodologie

L’approche et la méthodologie de cette mission d’audit étaient fondées sur les risques et étaient conformes aux Normes internationales pour la pratique professionnelle de l’audit interne (IIA) et à la politique et à la directive du Conseil du Trésor sur l’audit interne. L’audit est en conformité avec le programme d’assurance et d’amélioration de la qualité de l’IIA.

Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans ce rapport, et pour fournir le niveau d’assurance que procure un audit. Les constatations et les conclusions reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Ces constatations et conclusions s’appliquent seulement à l’entité examinée ainsi qu’à la période visée par l’audit et à sa portée. L’évaluation s’est déroulée en trois phases :

Principales constatations

Gouvernance

Critère 1.0

Le BCP est en bonne voie pour mettre en place des mécanismes de gouvernance de la gestion des données avec des responsabilités définies visant à soutenir efficacement la planification de l’infrastructure des données et la collecte, le stockage et l’utilisation des données afin de répondre aux besoins actuels et futurs du Ministère.

Pourquoi est-ce important?

La mise en place d’une structure de gouvernance au bon niveau facilitera la surveillance efficace de l’élaboration et de la mise en œuvre de la stratégie sur les données au sein du Ministère.

Principales constatations

Recommendation

Le SMA, DSM devrait considérer à :

Politiques, procédures et outils

Critère 2.0

Le BCP est en bonne voie pour mettre en place des politiques et des procédures relatives à l’utilisation éthique et sûre des données.

Pourquoi est-ce important?

La mise en place de politiques, de procédures et d’outils contribue à garantir que les processus fondamentaux de la stratégie sur les données sont exécutés d’une manière conforme aux exigences du Ministère et du gouvernement.

Principales constatations

Recommendation

Le SMA, DSM, en collaboration avec ses collègues SMA/secrétaire adjoint concernés, devrait considérer à :

Personnes et capacité

Critère 3.0

Le personnel du BCP possède les connaissances et les compétences nécessaires pour obtenir des résultats en matière de gestion des données dans divers modes, y compris les technologies numériques, et le BCP a mis en place des processus et des procédures pour recruter, perfectionner, former et maintenir en poste les personnes qualifiées dont il a besoin pour faire le travail lié aux données dans un environnement numérique.

Pourquoi est-ce important?

Une stratégie sur les données réussie exige que l’organisation ait le talent et la capacité de gérer, d’interpréter, d’utiliser et de comprendre les données.

Principales constatations

Recommendation

Le SMA, DSM, en collaboration avec ses collègues SMA/secrétaire adjoint concernés, devrait considérer à :

Environnement et infrastructure numérique

Critère 4.0

Le BCP dispose de l’environnement et de l’infrastructure de technologie de l’information appropriés pour permettre à ses professionnels qualifiés d’utiliser les technologies en vue de soutenir la prise de décision fondée sur des données probantes.

Pourquoi est-ce important?

La réussite de la mise en œuvre de la stratégie sur les données nécessite la mise en place d’un environnement et d’une infrastructure de technologie de l’information appropriés.

Principales constatations

Recommendation

Le SMA, DSM devrait considérer à :

Conclusion

Dans l’ensemble, les résultats de notre audit indiquent qu’il y a suffisamment de données probantes pour fournir une assurance raisonnable que le BCP est en bonne voie pour créer les bases nécessaires à l’élaboration d’une stratégie sur les données, comme il est énoncé dans le rapport du greffier et conformément aux secteurs d’activité du Ministère.

Le Ministère a fourni son projet de stratégie sur les données aux principales parties prenantes en septembre 2019. Le projet de stratégie sur les données définit des objectifs à court terme (d’ici mars 2020), à moyen terme (d’ici mars 2021) et à long terme (au-delà de mars 2021). Le projet de stratégie sur les données a été décrit comme un document évolutif, qui sera modifié périodiquement selon les nouvelles possibilités et réalités.

L’audit a permis de formuler un certain nombre de recommandations visant à soutenir la mise en œuvre réussie de la stratégie sur les données à court terme (voir l’annexe A).

Les prochains audits évalueront la mise en œuvre de la stratégie sur les données et la manière dont elle aide le Ministère à libérer le pouvoir des données pour soutenir ses processus opérationnels et ses prises de décision.

Annexes

Annexe A – Recommandations

Gouvernance Politique, procédures et outils Personnes et capacité Environnement et infrastructure numériques
Le SMA, DSM devrait considérer à :

  • Créer/désigner un comité de gouvernance (p. ex. au niveau du sous-ministre adjoint) chargé de superviser l’élaboration et la mise en œuvre de la stratégie sur les données.
Le SMA, DSM, en collaboration avec ses collègues SMA/sous-secrétaire adjoint concernés, devrait considérer à :

  • Revoir les politiques et les procédures en vigueur pour s’assurer que les référentiels de données du BCP disposent de contrôles de protection (p. ex. l’accès est accordé en fonction des besoins), et d’appliquer de façon itérative des contrôles de détection (p. ex. les irrégularités sont identifiées rapidement) là où faisable pour atténuer le risque d’accès ou d’utilisation non autorisés des données; et
  • Élaborer des campagnes de formation et de sensibilisation pour améliorer la compréhension et l’adhésion des employés du BCP aux normes de la collecte, du partage et de l’utilisation éthiques et sûrs des données.
Le SMA, DSM, en collaboration avec ses collègues SMA/sous-secrétaire adjoint concernés, devrait considérer à :

  • Réaliser une évaluation des besoins en formation et élaborer des plans et des programmes de formation appropriés pour le personnel et la direction afin d’améliorer leur savoir-faire en matière de données et leurs compétences en gestion des données;
  • Mettre en place des initiatives visant à recruter et à maintenir en poste un personnel qualifié et compétent en matière de données afin de garantir que le Ministère dispose des talents et des capacités nécessaires pour gérer, comprendre, utiliser et partager les données.
Le SMA, DSM devrait considérer à :

  • Travailler avec des parties prenantes comme Services partagés Canada et le SCT ainsi qu’avec les gestionnaires de programme du BCP pour s’assurer que les investissements futurs dans l’infrastructure de la technologie de l’information soutiennent la mise en œuvre de la stratégie sur les données du BCP.

Annexe B : Réponse et plan d'action de la direction

Gouvernance
Recommandation Réponse de la direction Mesure Poste responsable Date cible
Le SMA, DSM devrait considérer à :

  • Créer/désigner un comité de gouvernance (p. ex. au niveau du sous-ministre adjoint) chargé de superviser l’élaboration et la mise en œuvre de la stratégie sur les données.
En accord Les comités de gouvernance existants seront utilisés pour mettre à jour la stratégie, établir des priorités et trouver les personnes ayant les compétences et le mandat nécessaires pour collaborer à des projets qui rendent la stratégie opérationnelle.

Plus spécifiquement, le cadre de référence pour le Comité de gouvernance des SMA sera revu dans le but de proposer un élargissement de son mandat pour inclure a stratégie sur les données. Le cadre de référence sera aussi développé pour un groupe de travail au niveau des directeurs généraux/directeurs afin de diriger l’élaboration de la stratégie sur les données.

En janvier 2020, une nouvelle équipe a été créée au sein de la DSM pour se charger d’un nombre de questions sur les données à l’appui de la stratégie sur les données. Cette équipe sera responsable de revoir/surveiller/établir un compte rendu sur les progrès de la mise en oeuvre de la stratégie sur les données.
SMA, DSM Trimestre 4 de l’exercice 2019-2020 : la stratégie sur les données a été approuvée par le Comité executif bu BCP en janvier 2020.

Trimestre 3 de l’exercice 2020-2021 : les documents sur la gouvernance seront amendés/créés/soumis pour approbation.
 
Politique, procédures et outils
Recommandation Réponse de la direction Mesure Poste responsable Date cible
Le SMA, DSM, en collaboration avec ses collègues SMA/secrétaire adjoint concernés, devrait considérer à :

  • Revoir les politiques et les procédures en vigueur pour s’assurer que les référentiels de données du BCP disposent de contrôles de protection (p. ex. l’accès est accordé en fonction des besoins), et d’appliquer de façon itérative des contrôles de détection (p. ex. les irrégularités sont identifiées rapidement) là où faisable pour atténuer le risque d’accès ou d’utilisation non autorisés des données; et
  • Élaborer des campagnes de formation et de sensibilisation pour améliorer la compréhension et l’adhésion des employés du BCP aux normes de la collecte, du partage et de l’utilisation éthiques et sûrs des données.
En accord Au fur et à mesure que la stratégie sur les données progresse, après son approbation et sa mise en œuvre progressive, seront évaluées les capacités d’audit et de traçabilité des bases de données et des référentiels nouveaux ou mis à niveau.

La DSM sensibilisera davantage les ministères aux activités du GC en matière de données ouvertes et à la façon dont elles sont liées à leurs fonds de données. Il s’agit notamment d’aider les unités opérationnelles du BCP à identifier les collectes de données potentielles, de les informer de la position du GC sur l’ouverture par défaut et le partage des données, ainsi que d’utiliser des outils ministériels pour faciliter la gestion, le partage et le stockage des données. La DSM continue de mettre à jour son inventaire des fonds de données (à la fois publiables et non publiables), publié sur Gouvernement ouvert.

La DSM élargit aussi sa capacité en analyse qui, entre autres choses, mettra l’accent sur le travail de base réquis pour preparer les données pour l’analyse.
Dirigeant principal de l’information

Directeur exécutif de la gestion de l’information et de l’analyse organisationnelle
Trimestre 4 de l’exercice 2020-2021 : les Politiques actuelles sur les TI seront revues et un plan sera developpé en consequence.

Trimestre 4 de l’exercice 2020-2021 : suite aux résultats du sondage sur le savoir-faire en données, les écarts et les besoins de formation seront identifiés et indiqués dans les plans de formation de façon appropriée.

Nota : ce travail est continu comme les discussions sur le sujet des données se tiennent à travers la fonction publique et que les meilleures pratiques sont continuellement mises à jour.
 
Personnes et capacité
Recommandation Réponse de la direction Mesure Poste responsable Date cible
Le SMA, DSM, en collaboration avec ses collègues SMA/sous-secrétaire adjoint concernés, devrait considérer à :

  • Réaliser une évaluation des besoins en formation et élaborer des plans et des programmes de formation appropriés pour le personnel et la direction afin d’améliorer leur savoir-faire en matière de données et leurs compétences en gestion des données;
  • Mettre en place des initiatives visant à recruter et à maintenir en poste un personnel qualifié et compétent en matière de données afin de garantir que le Ministère dispose des talents et des capacités nécessaires pour gérer, comprendre, utiliser et partager les données.
En accord Avant le 31 mars 2020 un sondage sur le savoir-faire en matière des données sera mené.

Les résultats serviront à guider les prochaines étapes au sujet des exigences au niveau du ministère à propos du savoir-faire en matière des données.
Directeur exécutif de la gestion de l’information et de l’analyse organisationnelle Trimestre 4 de l’exercice 2019-2020 : un sondage initial sur le savoir-faire en matière des données a été mené en mars 2020.

Trimestre 4 de l’exercice 2020-2021 : des plans de formation et un projet-pilote seront lancés.

Trimestre 4 de l’exercice 2020-2021 : les RH auront des options à leur disposition pour inclure le savoir-faire en matière des données dans leurs processus de recrutement là où applicable.

Trimestre 4 de l’exercice 2020-2021 : les gestionnaires recruteurs auront à leur disposition des énoncés et des methods standards pour évaluer le savoir-fairre en matière des données.
 
Environnement et infrastructure numériques
Recommandation Réponse de la direction Mesure Poste responsable Date cible
Le SMA, DSM devrait considérer à :

  • Travailler avec des parties prenantes telles que Services partagés Canada et le Secrétariat du Conseil du Trésor, ainsi qu’avec les gestionnaires de programme du BCP pour s’assurer que les investissements futurs dans l’infrastructure de la technologie de l’information soutiennent la mise en œuvre de la stratégie sur les données du BCP.
En accord Des représentants de l’équipe de la technologie de l’information du Ministère participent au groupe de travail sur la stratégie sur les données et au comité directeur pour cerner les lacunes et les possibilités de soutenir la mise en œuvre de la stratégie sur les données.

Au fur et à mesure que de nouveaux outils seront fournis, la Direction générale des services ministériels examinera si ces outils peuvent être utilisés pour appuyer les recommandations et les exigences de la stratégie sur les données. Dans certains cas, le Ministère pourrait devoir établir le financement nécessaire aux mises à niveau qui s’imposent, à partir de fonds nouveaux ou existants.
Dirigeant principal de l’information Le BCP est engagé dans les forums appropriés et ce travail est continu comme les discussions sur le sujet des données se tiennent à travers la fonction publique et que les meilleures pratiques sont continuellement mises à jour.

Détails de la page

Date de modification :