Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Audit des plans d’action établis par les programmes pour la protection des renseignements personnels

Sommaire exécutif

Emploi et Développement social Canada (EDSC) conserve des dossiers personnels détaillés et dispose de nombreux mécanismes visant à protéger ses données qui contiennent des renseignements personnels.

Le Plan d’activités intégré (PAI) du Ministère pour l’exercice 2012–2015 précise que la protection des renseignements personnels constitue un des cinq thèmes de risques. Le Plan indique ce qui suit : « Les efforts actuels en matière d’atténuation des risques, y compris la mise en oeuvre de plans d’action pour la protection des renseignements personnels dirigés par les responsables des programmes, la modernisation des politiques et des processus sur la protection des renseignements personnels ainsi que la détermination et l’évaluation des risques pour la protection des renseignements personnels associés aux priorités relatives aux programmes et aux politiques, demeurent une priorité. »

Dans le cadre de sa stratégie de renouvellement en matière de protection des renseignements personnels, le Ministère a décidé, en juillet 2012, d’élaborer et de mettre en oeuvre des plans d’action à cet égard pour les huit principaux programmes ministériels.

La haute direction a demandé que les coordonnateurs des plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes présentent des rapports semestriels de mise à jour. Ces rapports ont été déposés en novembre 2012 ainsi qu’en mai et en novembre 2013.

Objectif de l’audit

Cet audit avait pour objectif de confirmer que les plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes progressent ou qu’ils ont été mis en oeuvre conformément aux renseignements communiqués dans les plus récents rapports d’étape.

Sommaire des constatations principales

  • Tous les éléments approuvés dans le plan initial étaient inclus dans les mises à jour.
  • Les plans d’action ne sont pas gérés comme des projets intégrés mais comme un groupe de tâches propres aux directions générales. L’imputabilité concernant les mesures à prendre par les différentes directions générales est souvent vague, ce qui présente un risque de lacunes ou de dédoublement des efforts.
  • Le contexte de risque a changé considérablement depuis que les plans initiaux ont été approuvés, mais les plans d’action n’ont pas été réévalués et mis à jour afin de tenir compte de cette réalité.
  • Les rapports d’étape reposent sur des auto-évaluations et l’état d’avancement de nombreuses mesures est surestimé, particulièrement en ce qui concerne les ébauches de rapports en attente d’une approbation.
  • Les rapports d’étape ne fournissent pas suffisamment de détails pour permettre à la haute direction ou aux gestionnaires de surveiller la mise en œuvre des plans d’action.

Conclusion de l’audit

L’équipe d’audit conclut que les travaux relatifs à la mise en œuvre des plans d’action en matière de protection des renseignements personnels propres aux programmes progressent, mais pas toujours tel qu’indiqué dans les mises à jour. Les progrès réalisés en ce qui concerne les mesures à prendre de nature horizontale dépendent du dynamisme des réseaux ad hoc qui sont en place. L’adoption d’une approche plus officielle à l’égard de la gestion des tâches connexes serait avantageuse pour les mesures horizontales ainsi que pour celles à l’échelle du Ministère.

Recommandations

  • Les sous-ministres adjoints (SMA) de toutes les directions générales participantes devraient reconfirmer les risques associés à l’intendance des renseignements protégés au sein du Ministère et utiliser l’évaluation qui en découle pour coordonner les mises à jour de chacun des plans d’action en matière de protection des renseignements personnels propres aux programmes.
  • Les SMA de toutes les directions générales participantes devraient coordonner l’élaboration de plans de travail dans lesquels des tâches seront assignées à chaque mesure de suivi figurant dans les plans mis à jour. Chaque tâche devrait être assignée à une seule entité responsable et être accompagnée d’attentes claires au sujet des produits livrables, des échéanciers et de l’imputabilité. Lorsque la coordination entre les directions générales est requise, il faudrait prévoir la mise en place de mécanismes officiels pour résoudre les problèmes.
  • Les coprésidents du Comité sur la protection des renseignements personnels et la sécurité de l’information (CPRPSI) devraient élaborer un modèle de rapport type à l’usage des gestionnaires responsables des mesures à prendre qui facilitera la compilation des données nécessaires à la préparation d’un rapport de mise à jour étoffé à l’intention de la haute direction.
  • Les coprésidents du CPRPSI devraient s’assurer que des plans de travail détaillés qui appuient les exigences en matière de production de rapports et d’imputabilité sont en place et qu’ils fournissent suffisamment de renseignements aux gestionnaires responsables pour leur permettre d’assurer le suivi des progrès réalisés par rapport aux plans d’action.

1.0 Renseignements généraux

1.1 Contexte

Il est essentiel d’assurer la protection des renseignements personnels pour conserver la confiance des Canadiens, autrement ils pourraient hésiter à communiquer ces renseignements. Les entreprises, les organisations gouvernementales et les organisations sans but lucratif recueillent et conservent toutes des renseignements personnels dans le but d’offrir des programmes et des services aux Canadiens. L’engagement du gouvernement du Canada à protéger les renseignements personnels est renforcé par la Loi sur la protection des renseignements personnels et la loi habilitante du Ministère.

EDSC conserve des dossiers personnels détaillés et a donc mis en place de nombreux mécanismes visant à protéger ses données qui contiennent des renseignements personnels. Le PAI 2012-15 du Ministère précise que la protection des renseignements personnels constitue un des cinq thèmes de risques. Le Plan indique ce qui suit : « la mise en œuvre de plans d’action pour la protection des renseignements personnels dirigés par les responsables des programmes, la modernisation des politiques et des processus sur la protection des renseignements personnels ainsi que la détermination et l’évaluation des risques pour la protection des renseignements personnels associés aux priorités relatives aux programmes et aux politiques, demeurent une priorité. »

Dans le cadre de sa stratégie de renouvellement en matière de protection des renseignements personnels, le Ministère a décidé, en juillet 2012, d’élaborer et de mettre en œuvre des plans d’action à cet égard pour les huit principaux programmes ministériels. Par conséquent, un grand nombre de directions générales sont impliquées dans chacun des huit plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes. La mise en œuvre réussie de ces plans repose donc sur une coordination horizontale entre les directions générales.

La réalisation des tâches décrites dans chaque plan d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes revient à chacune des directions générales et des unités auxquelles ces tâches ont été assignées. Chaque responsable de programme présente au CPRPSI des mises à jour sur les progrès réalisés. Les coprésidents du CPRPSI font ensuite part de ces progrès au Comité de gestion ministérielle (CGM).

En plus des risques horizontaux qui touchent tous les employés et tous les programmes, il y a des risques liés aux lois et aux processus qui ne concernent que certains programmes. Tous les principaux secteurs d’activité du Ministère ont des exigences à satisfaire et des risques à gérer relativement à la protection des renseignements personnels.

Les plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes ont été préparés et approuvés en 2012 dans le but de gérer des risques particuliers concernant les programmes suivants :

  • Assurance-emploi (AE), Partie I
  • Assurance-emploi (AE), Partie II – Ententes sur le développement du marché du travail (EDMT),
  • Régime de pensions du Canada (RPC),
  • Programme de prestations d’invalidité du Régime de pensions du Canada (PPIRPC),
  • Sécurité de la vieillesse (SV),
  • Numéro d’assurance sociale/Registre d’assurance sociale (NAS/RAS),
  • Programme canadien de prêts aux étudiants (PCPE),
  • Programme canadien pour l’épargne-études (PCEE).

1.2 Objectif de l’audit

Cet audit avait pour objectif de confirmer que les plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes progressent ou qu’ils ont été mis en oeuvre conformément aux renseignements communiqués dans les plus récents rapports d’étape.

1.3 Portée

Cette mission n’a porté que sur la gestion et l’exécution des plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes concernant l’AE, Partie I, l’AE, Partie II – EDMT, le RPC, le PPIRPC, la SV, le NAS/RAS, le PCPE et le PCEE. De plus, les Services d’audit interne ont examiné les mécanismes de surveillance des plans et la délégation des tâches prévues dans ces plans. L’équipe d’audit n’a pas examiné les initiatives horizontales à l’échelle du Ministère dirigées par les services habilitants, sauf pour confirmer l’existence et la coordination de celles qui figurent à titre d’initiative interdépendante dans les plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes.

1.4 Méthodologie

Dans le cadre de cet audit, plusieurs méthodes ont été utilisées. On a notamment mené des entrevues avec certains gestionnaires et employés et procédé à l’examen et à l’analyse de documents.

Des représentants de la Direction générale de service aux citoyens, du Secrétariat ministériel, de la Direction générale de la sécurité du revenu et du développement social, de la Direction générale de l’innovation, de l’information et de la technologie, de la Direction générale des services d’intégrité, de la Direction générale de l’apprentissage, de la Direction générale des services de traitement et de paiement, de la Direction générale des compétences et de l’emploi, et de la région de l’Ontario ont été interviewés afin de pouvoir brosser un tableau complet du contexte opérationnel. Les entrevues ont été menées de novembre 2013 à février 2014.

2.0 Constatations de l’audit

2.1 L’imputabilité concernant les mesures à prendre doit être clarifiée

Pour assurer une gestion efficace, des tâches claires doivent être assignées à une seule entité responsable qui dispose des ressources et du pouvoir nécessaires pour les exécuter. Dans les rapports de mise à jour présentés au CGM, la plupart des mesures à prendre étaient assorties d’une liste de nombreux intervenants et la responsabilité de bon nombre de ces mesures était confiée à deux directions générales ou plus.

Les rapports d’étape présentés consistaient en des résumés de haut niveau. L’équipe d’audit s’attendait à ce que des plans détaillés constituent le fondement des résumés de haut niveau et fassent état des structures de répartition du travail, des échéanciers et des gestionnaires responsables. Tous les coordonnateurs ont signalé à l’équipe que le rapport d’étape constituait le plan intégral et que des plans de travail détaillés n’étaient pas préparés.

L’équipe d’audit a également examiné les documents à l’appui du rapport d’étape de novembre. Ces documents ont été présentés pour chaque direction générale et chaque mesure de suivi. L’équipe d’audit a remarqué que dans les cas où les mesures planifiées relevaient d’une seule direction générale, le coordonnateur de cette direction générale était en mesure de confirmer que les tâches connexes avaient été assignées à une seule entité responsable. Cependant, dans les cas où les mesures planifiées nécessitaient des efforts concertés entre les directions générales, les tâches connexes n’étaient pas assignées clairement à une seule entité responsable. Cependant, les mesures à prendre concernant les évaluations des facteurs relatifs à la vie privée (EFVP) et les ententes sur l’échange de renseignements (EER) font exception à cette règle. En ce qui concerne les stratégies de renouvellement des EFVP et des EER, des comités directeurs coordonnent et clarifient les tâches à remplir au niveau de la direction générale.

Les structures des pouvoirs au sein du Ministère respectent les limites de la direction générale. Tous les plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes comprenaient des tâches qui dépassaient ces limites, mais aucun mécanisme n’avait été mis en place pour clarifier la délégation des tâches et pour résoudre tout problème découlant des priorités difficiles à concilier. Le CPRPSI est un sous-comité du CGM qui sert de tribune pour discuter des questions relatives à la protection des renseignements personnels. Compte tenu de son mandat, le CPRPSI ne peut pas prendre de décisions concernant la mise en œuvre des plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes ou la délégation des tâches énumérées dans ces plans.

L’équipe d’audit a appris que de nombreux réseaux ad hoc se réunissent pour discuter de divers aspects des plans d’action. Les documents fournis indiquaient clairement que les divers plans progressaient, mais il était difficile de déterminer si les tâches respectaient l’échéancier. Le manque de clarté au sujet de la délégation des tâches entre les intervenants dans le cadre des mesures à prendre plus importantes signifie qu’il était difficile de déterminer qui était responsable de quelle tâche, sauf lorsque l’entière responsabilité d‘une mesure à prendre relevait d’une seule direction générale.

L’équipe d’audit conclut qu’il faut fournir plus de précisions sur le partage et la délégation des tâches énumérées dans les plans d’action, particulièrement dans les cas où de nombreux intervenants ou responsables sont concernés. Une gestion officielle de projet peut s’avérer nécessaire dans certains cas, mais la plupart des tâches sont présentement gérées dans le cadre des responsabilités quotidiennes des unités opérationnelles établies. L’établissement d’attentes plus claires, notamment de structures de répartition du travail assorties de jalons, de délais et, pour chacune des tâches, d’un responsable identifié clairement devrait permettre d’accélérer la mise en œuvre et de déceler rapidement les problèmes et les difficultés. Le contexte actuel de responsabilité partagée en ce qui concerne les mesures à prendre comporte un risque de lacunes ou de dédoublement des efforts faute d’attentes et de responsabilités énoncées clairement.

2.2 Nécessité de mettre à jour les plans de protection des renseignements personnels

Les évaluations initiales des risques ont été compilées à l’automne 2011 et ont donné lieu à l’élaboration de huit plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes en mai 2012. L’équipe d’audit a été mise au courant du fait que les séances sur l’évaluation des risques avaient été faites rapidement et qu’un grand nombre de participants estimaient que le processus avait été expéditif.

Les entrevues ont également permis de constater que la participation des principales directions générales était limitée en raison de la disponibilité du personnel. Certains participants clés n’étaient pas disponibles pour fournir de l’information durant les séances en personne, ce qui peut avoir créé des lacunes sur le plan des connaissances et de l’expertise.

Les plans établis ont été compilés à partir des mesures connues déjà en cours au moment de la présentation des séances sur les risques. L’équipe d’audit n’avait pas suffisamment de documents pour pouvoir déterminer si les séances offertes en 2011 étaient assez exhaustives pour repérer tous les risques liés à la protection des renseignements personnels. Cependant, les évaluations des risques ont confirmé que les mesures en cours permettraient d’éliminer les risques connus, et la priorité relative de certaines mesures a été changée à la suite de l’analyse.

Le contexte de risque a changé depuis ces premières séances sur les risques et d’autres changements sont en cours. En raison de différentes mises à niveau dans la technologie de l’information et d’initiatives de transformation, les outils que les employés utilisent ont changé. Les interventions à la suite des divers incidents liés à la sécurité ont attiré l’attention sur la gestion de l’information et la protection des renseignements personnels. La création de Services partagés Canada a changé l’environnement de l’infrastructure des technologies de l’information. Le départ d’employés à la suite du réaménagement des effectifs a également eu des répercussions sur le contexte de risque au Ministère.

Les évaluations initiales des risques ont été une bonne composante de base pour aborder les risques liés à la protection des renseignements personnels au Ministère. Cependant, les évaluations des risques reposaient sur des conditions qui étaient présentes il y a plus de deux ans. Il ne fait aucun doute que certains de ces risques sont demeurés inchangés, mais l’environnement opérationnel actuel du Ministère aura une incidence sur les stratégies visant à atténuer ces risques.

Recommandation

Les SMA de toutes les directions générales participantes devraient reconfirmer les risques associés à l’intendance des renseignements protégés au sein du Ministère et utiliser l’évaluation qui en découle pour coordonner les mises à jour de chacun des plans d’action en matière de protection des renseignements personnels propres aux programmes.

Réponse de la direction

Les SMA acceptent cette recommandation. Pour appuyer la réalisation de ces travaux, chaque SMA participant désignera un directeur général (DG) responsable qui devra coordonner les efforts de la direction générale en ce qui concerne l’évaluation des risques, le plan de travail, la mise en œuvre et la production de rapports. Ces travaux devraient être terminés d’ici la fin du mois d’avril 2014.

Pour mettre le processus en branle, une nouvelle méthode d’évaluation des risques sera élaborée à partir du modèle utilisé en 2011, de l’examen de leçons apprises, de la réaction du Ministère au rapport du Commissariat à la protection de la vie privée du Canada présenté à la suite de l’enquête relative à la perte du disque dur externe, et des consultations menées auprès des intervenants externes. Cette tâche devrait être terminée d’ici le début du second trimestre.

Grâce à cette méthode, les évaluations des risques des directions générales participantes seront axées sur les principaux aspects des huit programmes législatifs. Ces évaluations devraient être terminées d’ici décembre 2014.

Recommandations

Les SMA de toutes les directions générales participantes devraient coordonner l’élaboration de plans de travail dans lesquels des tâches seront assignées à chaque mesure de suivi figurant dans les plans mis à jour. Chaque tâche devrait être assignée à une seule entité responsable et être accompagnée d’attentes claires au sujet des produits livrables, des échéanciers et de l’imputabilité. Lorsque la coordination entre les directions générales est requise, il faudrait prévoir la mise en place de mécanismes officiels pour résoudre les problèmes.

Réponse de la direction

Les SMA acceptent cette recommandation. Les plans de travail seront amorcés au sein des directions générales. Les plans de travail propres aux directions générales indiqueront clairement la façon dont les activités aborderont les risques liés à la protection des renseignements personnels et à la sécurité et/ou les lacunes en matière de contrôle pour chacun des huit programmes législatifs. Les plans de travail indiqueront également le nom des DG responsables de chaque activité ainsi que le délai dans lequel cette activité doit être terminée. L’élaboration de ces plans devrait être terminée d’ici mars 2015.

2.3 Nécessité d’établir des rapports sur les progrès réalisés pour mieux renseigner les gestionnaires

En juillet 2012, le CGM a approuvé les huit plans d’action. À ce moment-là, le CGM a demandé qu’on lui remette des rapports semestriels de mise à jour en novembre et en mai et que ceux-ci soient présentés au CPRPSI. L’équipe d’audit a examiné les mises à jour de novembre 2013 afin de vérifier l’exactitude de l’information fournie concernant l’état d’avancement des mesures à prendre signalées dans les mises à jour.

L’équipe d’audit a confirmé que toutes les mesures énumérées dans les plans de 2012 devaient continuer de faire l’objet d’un suivi dans les mises à jour de novembre 2013. Certaines des mesures ont été étoffées dans le but de décrire plus en détail les travaux accomplis. L’évaluation de l’exactitude de la mise à jour est traitée ci-dessous.

En ce qui concerne la mise à jour de novembre 2013, deux modèles de rapport et des guides de cotation ont été utilisés. Les échelles de cotation ne sont pas entièrement comparables puisqu’une échelle ne signale pas les retards et que l’autre ne comporte qu’une seule catégorie « en cours ». Les guides de cotation et les modèles de rapport ont fait l’objet de discussions dans le cadre des travaux du CPRPSI, mais ce dernier n’a donné aucune consigne quant au guide qui devrait être utilisé.

Les mesures à prendre signalées comme étant terminées ne l’étaient pas toujours

Les rapports d’étape étaient le résultat de l’évaluation effectuée par la direction générale ou les directions générales responsables des mesures à prendre. Les termes utilisés dans les guides de cotation étaient assez ambigus pour laisser place à l’interprétation.

Selon l’équipe d’audit, dans de nombreux cas, l’état d’avancement des travaux indiqué était surestimé. À titre d’exemple, l’équipe a remarqué que des mesures à prendre concernant des ébauches de rapports en attente d’approbation avaient été qualifiées de documents terminés, au lieu de documents en suspens, ou que la mise en œuvre de certaines mesures était rapportée comme entièrement terminée alors qu’elle n’était qu’en voie de préparation. Dans un cas, on avait signalé la nécessité d’utiliser des coffres de sécurité. On avait indiqué que cette mesure avait été prise dans la colonne « État », tandis que la description précisait que seulement la moitié du matériel nécessaire pour un projet pilote avait été installé et que le reste avait été commandé. Une demande d’information de suivi présentée par l’équipe d’audit a permis de découvrir que l’acquisition de ces articles est assujettie à des règles bien précises concernant les appels d’offres. Ces articles n’avaient pas encore été achetés au moment où le rapport d’audit a été rédigé. Cette mesure de suivi aurait dû être signalée comme étant retardée.

Aucun mécanisme de contrôle n’était en place en ce qui concerne les mesures signalées comme étant en cours

La mention « En cours » n’était pas une option pour indiquer le niveau des progrès réalisés dans le rapport de mise à jour, mais elle figurait dans l’échéancier dans la colonne concernant l’état d’avancement comme étant une tâche en cours ou qui se poursuivrait après la date de mise en œuvre. De nombreuses mesures qui ont été signalées comme étant entièrement mises en place nécessitent un suivi permanent.

L’équipe d’audit s’attendait à ce que des stratégies de surveillance soient associées à ces mesures. Plus de la moitié de ces mesures était visée par une stratégie de surveillance. On a admis qu’il était très difficile d’assurer le suivi de certaines de ces mesures avec d’anciens systèmes et que ces mesures pourraient être prises à la condition de procéder aux mises à niveau des systèmes prévues pour mettre en place des outils de surveillance.

Les mesures signalées comme étant en cours auraient dû être plus détaillées

L’équipe d’audit a pu confirmer que toutes les mesures signalées comme étant au stade « En cours », « Retardé » ou en « Préparation en vue de la mise en œuvre » étaient effectivement au stade indiqué. Cependant, l’équipe d’audit s’attendait à obtenir plus de renseignements au sujet de ces mesures que leur mois d’achèvement prévu et une liste des directions générales participantes.

Au cours de la phase de réalisation de l’audit, les coordonnateurs ont fourni les renseignements demandés au sujet des travaux en cours. D’après les entrevues réalisées et les documents recueillis, il était évident que les travaux progressaient. Cependant, les renseignements importants sur la gestion de projet, tels que le nom du gestionnaire responsable, les structures de répartition du travail, le pourcentage d’achèvement et les difficultés connues n’étaient pas faciles à obtenir.

Les rapports semestriels ne fournissent pas les renseignements en temps opportun

Les rapports demandés par le CGM doivent être présentés deux fois par année. L’équipe d’audit s’attendait à ce que des rapports soient préparés plus fréquemment au niveau opérationnel. Rien n’indiquait qu’un rapport détaillé en fonction du plan dans son ensemble était préparé plus souvent que les mises à jour demandées par le CGM.

Au niveau de la direction générale, certains éléments permettaient de croire que des tâches assignées avaient été signalées au moyen des structures habituelles des comités de la direction générale. De plus, certaines mesures avaient été portées à l’attention du CPRPSI à des fins de discussion lorsque plusieurs directions générales étaient en cause.

Nous avons appris que le processus de compilation des données du rapport d’étape avait été laborieux et que les intervenants impliqués n’avaient pas tous été contactés en vue d’obtenir leurs commentaires. De plus, le roulement de personnel dans la foulée de la récente restructuration signifiait qu’un grand nombre de personnes-ressources au sein des directions générales compilaient les données de la mise à jour pour la première fois.

Les rapports d’étape ont été transmis au CPRPSI pour qu’il les examine avant de les présenter au CGM. Il s’agissait d’une belle occasion pour le CPRPSI de procéder à un examen rigoureux des rapports pour en assurer l’uniformité, quoique son mandat actuel ne l’exige pas.

L’équipe d’audit conclut que les modèles de rapport d’étape utilisés fournissent trop de détails pour un sommaire à l’intention de la haute direction et pas suffisamment de détails au niveau opérationnel pour assurer une gestion continue des plans d’action. On laisse également trop de place à l’interprétation dans la description des progrès réalisés. Cependant, il est possible de présenter des rapports plus clairs et de fournir plus rapidement l’information afin de faciliter la prise de décisions.

Recommandations

Les coprésidents du CPRPSI devraient élaborer un modèle de rapport type à l’usage des gestionnaires responsables des mesures à prendre qui facilitera la compilation des données nécessaires à la préparation d’un rapport de mise à jour étoffé à l’intention de la haute direction.

Réponse de la direction

Les coprésidents du CPRPSI acceptent cette recommandation. La date d’achèvement prévue est septembre 2014.

Recommandations

Les coprésidents du CPRPSI devraient s’assurer que des plans de travail détaillés qui appuient les exigences en matière de production de rapports et d’imputabilité sont en place et qu’ils fournissent suffisamment de renseignements aux gestionnaires responsables pour leur permettre d’assurer le suivi des progrès réalisés par rapport aux plans d’action.

Réponse de la direction

Les coprésidents du CPRPSI acceptent cette recommandation. Les DG qui sont responsables des plans présenteront un compte rendu au CPRPSI et leurs SMA en feront un au CGM, à tous les semestres, afin d’informer les membres de ces comités des progrès réalisés dans la mise en œuvre des plans d’action détaillés. Cette activité débutera en avril 2015, une fois que les plans d’action détaillés auront été élaborés, et elle continuera jusqu’à la mise en œuvre complète de ces plans.

3.0 Conclusion

L’équipe d’audit conclut que les travaux relatifs à la mise en œuvre des plans d’action en matière de protection des renseignements personnels propres aux programmes progressent, mais pas toujours tel qu’indiqué dans les mises à jour. Les progrès réalisés en ce qui concerne les mesures à prendre de nature horizontale dépendent du dynamisme des réseaux ad hoc en place. L’adoption d’une approche plus officielle à l’égard de la gestion des tâches connexes serait avantageuse pour les mesures horizontales ainsi que pour celles à l’échelle du Ministère.

4.0 Énoncé d’Assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur les observations et les analyses faites lors de l’audit. Elles s’appliquent uniquement à l’évaluation des huit plans d’action en matière de protection des renseignements personnels dirigés par les responsables des programmes qui ont été examinés par l’équipe d’audit. Les éléments probants ont été recueillis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : Évaluation des critères d’audit

Critères d’audit

 Il est attendu que : 		Évaluation
Les pouvoirs et l’imputabilité à l’égard de chaque plan sont clairement définis. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque
Les pouvoirs et l’imputabilité à l’égard de chaque tâche et de chaque responsabilité énumérées dans le plan ont été conférés à une seule entité responsable. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque
Des mécanismes de contrôle adéquats et efficaces ont été prévus ou mis en œuvre pour faire face aux risques identifiés. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque
Les mesures signalées comme étant terminées ont été entièrement mises en place. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque
Les mesures signalées comme étant en cours sont visées par un plan de surveillance et des indicateurs de rendement. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque
Les mesures des plans d’action signalées comme étant en cours de mise en œuvre sont réalisables et sont au stade de progression indiqué dans les rapports d’étape. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque
Des mécanismes ont été mis en place pour communiquer les résultats des activités de surveillance et des mises à jour sont faites au besoin. Des contrôles sont en place, mais ils pourraient être renforcés; exposition modérée au risque

Annexe B : Glossaire

AE
Assurance-emploi
CGM
Comité de gestion ministérielle
CPRPSI
Comité sur la protection des renseignements personnels et la sécurité de l’information
DG
Directeur général
EDMT
Entente sur le développement du marché du travail
EDSC
Emploi et Développement social Canada
EER
Entente sur l’échange de renseignements
EFVP
Évaluation des facteurs relatifs à la vie privée
PAI
Plan d’activités intégré
PCEE
Programme canadien pour l’épargne-études
PCPE
Programme canadien de prêts aux étudiants
PPIRPC
Programme de prestations d’invalidité du Régime de pensions du Canada
NAS
Numéro d’assurance sociale
RAS
Registre d’assurance sociale
SMA
Sous-ministre adjoint
SV
Sécurité de la vieillesse
RPC
Régime de pensions du Canada

Détails de la page

2016-03-23