Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Audit de la gestion et de l’exécution du Programme du numéro d’assurance sociale

Titre officiel : Audit de la gestion et de l’exécution du Programme du numéro d’assurance sociale, décembre 2015

Formats substituts

Audit de la gestion et de l’exécution du Programme du numéro d’assurance sociale [PDF - 391 Ko]

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.

Sommaire exécutif

Le numéro d’assurance sociale (NAS) est un identificateur unique de dossier pour plusieurs services et prestations du gouvernement du Canada. En vertu de la Loi sur le ministère de l’Emploi et du Développement social et de la Loi sur l’assurance-emploi, Emploi et Développement social Canada Footnote 1 (EDSC) est responsable des NAS. Les demandes du NAS peuvent être présentées en personne aux Centres Service Canada (CSC) ou dans les sites de services mobiles, à l’aide du formulaire provincial d’enregistrement des naissances, ou par la poste, selon l’admissibilité du demandeur. Tous les renseignements sur la demande du NAS sont conservés dans le Registre d’assurance sociale (RAS), dont d’autres programmes et ministères autorisés se servent pour valider l’identification.

Objectif de l’audit

Le présent audit visait à évaluer la pertinence du processus de demande du NAS et l’intégrité du RAS.

Résumé des principales constatations

  • Le processus de demande en personne est bien conçu, mais il existe des possibilités d’en améliorer l’efficience.
  • Le Service d’enregistrement des nouveau-nés (demande du NAS à la naissance) assure une efficience, un service à la clientèle et une précision des données supérieure comparativement à d’autres modes de prestation du NAS.
  • Il y a lieu d’appliquer les clauses d’audit avec les partenaires provinciaux afin de valider la fiabilité des renseignements reçus au moyen du modèle de demande du NAS à la naissance.
  • Le Programme du NAS pourrait améliorer ses activités de surveillance de la qualité (SQ) de sorte à mieux cibler les risques graves, à compenser les processus dotés de moins de contrôles et à adopter une approche intégrée pour tous les modes de prestation des services.
  • La formation des employés, les documents de référence et les mécanismes de soutien sont suffisants.
  • La validation électronique au moyen des sources de données des provinces et de Citoyenneté et Immigration Canada (CIC) résulte en un processus de demande du NAS presque sans erreur. Nous avons noté qu’il y a lieu d’améliorer les données du RAS qui ont été obtenues avant l’adoption des contrôles actuels qui sont plus rigoureux.
  • Le personnel autorisé des programmes partenaires du NAS a un accès lecture à plus de données du RAS que nécessaire pour l’exécution de leurs tâches. Bien qu’il y ait des rapports sur l’accès des utilisateurs, l’accès au système n’est pas activement surveillé.

Conclusion de l’audit

Dans l’ensemble, le processus de demande du NAS est adéquat. Il existe des possibilités d’améliorer l’efficience et l’efficacité de la prestation des services en élargissant les partenariats avec CIC et en adoptant une approche intégrée pour la SQ. De plus, l’intégrité des données du RAS (précisément des données plus anciennes traitées avant le modèle de validation électronique actuel) doit être améliorée et les contrôles d’accès aux données du RAS doivent également être renforcés.

Recommandations

  1. En collaboration avec les partenaires fédéraux, la Direction générale des services d’intégrité (DGSI) devrait évaluer la viabilité d’un processus de demande du NAS pour les demandeurs nés à l’étranger qui soit fondé sur le modèle de demande du NAS à la naissance.
  2. En partenariat avec la Direction générale de service aux citoyens (DGSC), les régions et les Services nationaux d’identité (SNI), la DGSI devrait élaborer une stratégie de SQ nationale intégrée et axée sur le risque pour les transactions liées au NAS.
  3. La DGSI devrait améliorer les données historiques du RAS lorsque l’analyse coût-avantage le justifie.
  4. La DGSI devrait renforcer les contrôles d’accès aux données du RAS.

1.0 Renseignements généraux

1.1 Contexte

Créé en 1964, le NAS est un numéro de neuf chiffres qui sert d’identificateur de dossier ou numéro de compte pour une variété de services et prestations du gouvernement du Canada. Le NAS est essentiel à la saine gestion et à l'intégrité des programmes et des activités du gouvernement. Les renseignements relatifs à chaque dossier de NAS, y compris les renseignements personnels que fournissent les clients dans leur demande du NAS, sont conservés dans le RAS. D’autres programmes et ministères autorisés se servent également du RAS pour valider l’identification.

En vertu du la Loi sur le ministère de l’Emploi et du Développement social et de la Loi sur l’assurance-emploi, EDSC est responsable des NAS. L’administration des NAS et la mise à jour du RAS incombent aux Services de gestion du NAS (SGN) au sein de la DGSI. Plus de 1,4 millions de transactions liées au NAS ont été traitées pendant l’exercice financier (EF) 2014–2015 Footnote 2 . La DGSC est chargée de la prestation des services de demande du NAS dans les CSC au moyen de l’accès rapide au numéro d'assurance sociale (ARNAS), ce qui représente près de 73 % du volume total des transactions. Les SNI (situés dans la région de l’Atlantique) assurent le traitement des demandes et transactions complexes, la SQ des transactions en personne et le soutien par téléphone à la population et aux employés d’EDSC. Les SNI traitent aussi les demandes reçues par la poste, dont le nombre a diminué considérablement ces dernières années suite à la révision des critères d’admissibilité des demandes postales. Les parents d’un nouveau-né peuvent utiliser le Service d’enregistrement des nouveau-nés (demande du NAS à la naissance), qui représente 24 % du volume total (et 37 % des demandes de nouveaux NAS), ce service est administré par les provinces participantes.

1.2 Objectif de l’audit

Le présent audit visait à évaluer la pertinence du processus de demande du NAS et l’intégrité du RAS.

1.3 Portée et méthodologie

Cet audit comportait un examen des processus opérationnels et des modes de prestation de services appuyant le processus de demande du NAS et les processus et protocoles assurant l’intégrité des données du RAS. Outre les activités d’audit à l’Administration centrale (AC), des visites régionales ont permis d’examiner les activités liées aux NAS à Bathurst (Nouveau-Brunswick) et les processus de prestation de services à la clientèle dans les CSC des régions d‘EDSC.

L’équipe d’audit a utilisé diverses méthodes, notamment les suivantes : examen de la documentation, entretiens, observations sur place, examen des processus, et échantillonnage et essai sur les données du RAS.

2.0 Constatations de l’audit

2.1 Le processus de demande du NAS en personne est bien conçu, mais il existe des possibilités d’en accroître l’efficacité et d’élargir les contrôles

Lorsqu’un demandeur se rend dans un CSC pour obtenir un NAS, il est accueilli par un agent de service aux citoyens (ASC) dans la zone d’accueil, lequel confirme son admissibilité et détermine si le demandeur est muni de la documentation requise pour présenter une demande. Puis le demandeur attend d’être appelé dans la zone de service aux citoyens, où le NAS est traité par un autre ASC au moyen de l’ARNAS. L’ASC authentifie ensuite le demandeur, vérifie l’authenticité de ses pièces d’identité et entre ses données biographiques dans le système d’ARNAS. Le demandeur confirme verbalement ses renseignements personnels et fournit son adresse et numéro de téléphone. Lors des échanges, l’ASC est à l’affût de tout facteur de risque pouvant justifier d’autres examens ou un renvoi aux SNI ou à un enquêteur. Si aucun facteur de risque n’est repéré et que les vérifications du système d’ARNAS confirment les renseignements qu’a fournis le demandeur, l’ASC termine le processus de demande et remet au demandeur une copie papier de son NAS.

Nous avons constaté dans la plupart des cas que le processus d’ARNAS est bien contrôlé pour restreindre les erreurs et assurer l’intégrité du RAS. L’application Web d’ARNAS est un processus étape par étape à respecter afin d’émettre un NAS. L’application contient des contrôles intégrés qui limitent la probabilité d’erreurs. Par exemple, différents messages du système minimisent le risque d’interventions inappropriées. Ils vont des avertissements, ce qui nécessite que l’ASC vérifie les renseignements et les modifie ou qu’il détermine qu’ils sont valides, aux messages d’erreur qui empêchent l’ASC de poursuivre le traitement de la demande jusqu’à ce que les données inexactes soient corrigées ou qu’une autre mesure pertinente soit prise. Les messages du système signalent également les demandes complexes ou risquées qui doivent être transmises aux SNI ou à un enquêteur. En outre, dans le cadre de l’Audit interne de 2014 portant sur les contrôles ministériels en matière de système d’information et de technologie de l’information, les tests d’audit ont démontré que les contrôles de saisie de nouveaux renseignements dans le RAS étaient efficaces.

Protection des renseignements personnels et efficience des processus

Seulement un des six bureaux visités utilisait un code d’imprimante protégé par un mot de passe pour récupérer la lettre de confirmation du NAS de l’imprimante en réseau partagé. Nous avons été informés de cas d’atteinte à la vie privée où un agent a fourni à un demandeur une lettre de confirmation du NAS appartenant à une autre personne présentant une demande en même temps. Des constatations semblables ayant déjà été faites dans d’autres audits, nous suggérons à la DGSC d’exiger que tous les CSC régionaux utilisent des codes pour récupérer les lettres de confirmation du NAS des imprimantes en réseau partagé.

Contrairement aux autres processus de demande d’EDSC, la majorité des demandes du NAS sont faites verbalement dans un CSC. Dans la plupart des bureaux, le client doit fournir verbalement à l’ASC ses renseignements personnels dans un concept d’aires ouvertes, créant ainsi le risque que d’autres entendent ces renseignements personnels. Le recours au bruit blanc, comme le font certains CSC, constitue une technique d’atténuation des risques que nous avons observée et qui pourrait être adoptée par tous les CSC.

Par ailleurs, le processus actuel pourrait être modifié afin que le demandeur puisse saisir les renseignements requis dans un ordinateur situé dans la zone de libre-service du CSC. Le délai d’attente établi comme norme de service dans les CSC est de 25 minutes entre l’accueil dans la zone d’accueil et le début du processus de demande du NAS avec un ASC. Il y a lieu de mieux utiliser cette période en invitant le demandeur à saisir les renseignements personnels exigés dans une application sécurisée dans un ordinateur du CSC. Cette approche permettrait de prendre connaissance de la déclaration de confidentialité par voie électronique et de l’accepter au moyen d’une signature numérique. Après cela, l’ASC dans la zone de service aux citoyens pourrait authentifier le demandeur au moyen des techniques permettant de repérer les risques (et, le cas échéant, de le diriger vers un enquêteur), effectuer la validation électronique et terminer la transaction. Cela pourrait réduire le temps d’interaction, améliorer l’efficience du processus et accroître l’exactitude des données non validées par les provinces ou CIC.

Authentification des documents et identification des demandeurs

Le plus important contrôle dans le processus de demande d’un NAS est l’authentification des pièces d’identité, qui s’est beaucoup améliorée grâce à la validation électronique au moyen des données de base. La validation en ligne des actes de naissance est actuellement possible dans neuf provinces et des ententes ont été conclues avec les autres provinces où la validation électronique devrait être mise en œuvre au début de 2016. Certains documents d’immigration peuvent aussi être validés au moyen des données de base issues d’un système de CIC. La validation électronique est avantageuse à plusieurs égards pour le processus de demande d’un NAS : elle confirme que la documentation provient du gouvernement et qu’elle est valide; elle réduit la probabilité que plusieurs NAS soient émis à une même personne; elle garantit que les renseignements associés au NAS, comme le nom et la date de naissance, correspondent aux documents émis par l’autorité de délivrance de la province ou de CIC. La correspondance entre les données du RAS et les données de base a pris de l’importance à mesure que le RAS est devenu une source plus fiable de renseignements d’identification du gouvernement du Canada. À noter, toutefois, que certaines données du RAS recueillies dans le processus de demande d’un NAS (p. ex., le nom des parents qui sert à authentifier les clients) ne sont pas validées par les données de base de la province ou de CIC.

La validation électronique des pièces d’identité constitue une amélioration de taille pour le processus de demande d’un NAS, mais elle ne confirme pas que le demandeur est le propriétaire du document. Bien qu’une solution universelle soit impossible en raison de la variabilité de l’âge des demandeurs, la carte d’identité avec photo délivrée par le gouvernement pourrait mieux garantir l’identité du demandeur, ce qui réduirait le risque de vol d’identité.

Au cours des EFs de 2013–2014 et 2014–2015, les statistiques sur les programmes ont révélé que la validation électronique avait été réalisée pour 89 % de toutes les demandes traitées. Dans le but d’évaluer l’incidence de la validation électronique sur le taux d’erreur, l’équipe d’audit a extrait un échantillon aléatoire représentatif de demandes du NAS traitées entre 2008 et 2015 dont les données n’avaient pas été vérifiées électroniquement avec les données de base. Après la validation électronique des dossiers avec les données provinciales ou de CIC, nous avons conclu avec un niveau de confiance de 95 % que plus de 8 % de l’échantillon affichait au moins une erreur de données, ce qui aurait été évité au moyen de la validation électronique. Même si la plupart de ces erreurs n’entraîneraient pas de paiements erronés (y compris des erreurs de détermination du sexe ou d’épellation du nom ou du prénom), elles pourraient causer aux détenteurs d’un NAS des retards au moment d’accéder à des programmes gouvernementaux et accroître les coûts opérationnels des programmes utilisant le NAS. À noter que seulement deux cas, parmi notre échantillon de 92, concernaient des erreurs de date de naissance, ce qui pourrait entraîner un paiement en trop. Les résultats de notre examen soulignent l’importance du contrôle au moyen de la validation électronique.

La validation électronique étant un contrôle essentiel qui permet un processus de demande du NAS quasi parfait (en supposant que les données de base des provinces ou de CIC soient exactes), il devrait y avoir des contrôles compensatoires afin de limiter le risque d’erreurs dans les cas où la validation électronique n’est pas réalisée, voire qu’elle est irréalisable. Or, nous n’avons pas noté de contrôles compensatoires suffisants dans les cas où les données ne sont pas validées électroniquement avec les données provinciales ou de CIC. Dans les provinces où le système de validation électronique est temporairement inaccessible, les NAS continueront d’être émis par les CSC. Durant l’EF 2013–2014, 2 500 transactions (environ 0,25 %) ont été traitées pendant que les systèmes provinciaux étaient inaccessibles. Même si les données des demandeurs ont été envoyées plus tard par lots pour être validées, [information protégée] information protégé, ce qui fait en sorte de laisser des erreurs faciles à corriger dans le RAS. Les ASC pourraient plutôt numériser et envoyer par courriel les pièces d’identité aux SNI lorsque le portail de validation est inaccessible, et un agent des SNI pourrait examiner les disparités au moyen des pièces d’identité numérisées, ce qui permettrait de corriger facilement les erreurs de saisie de données. Dans les rares cas où un agent doute de la validité de la pièce d’identité, il pourrait signaler le dossier aux fins d’enquête.

Révocation d’indicateur inactif dans un dossier de NAS

Chaque année, l’Agence du revenu du Canada (ARC) fournit à EDSC une liste de NAS associés à des [information protégée] information protégé. EDSC associe ces NAS avec les dossiers du RAS et applique un indicateur inactif à ces dossiers. L’indicateur inactif dans un dossier de NAS peut empêcher le titulaire de recevoir des prestations des programmes autorisés à utiliser le NAS. Pour enlever l’indicateur, le client doit se rendre dans un CSC, où un ASC lui demandera de remplir un questionnaire qui sera envoyé aux SNI aux fins de traitement. Puis un agent des SNI évaluera, à l’aide d’un tableau des risques, s’il s’agit d’une demande simple ou d’une demande suspecte; les demandes suspectes seront traitées par le centre de services. En 2014–2015, il y avait 75 556 indicateurs inactifs et 10 889 révocations d’indicateurs inactifs. En vue de simplifier le processus de ces transactions, les ASC pourraient traiter les demandes non suspectes de réactivation du NAS après la validation de l’identité de la personne. Non seulement cela serait plus efficient, mais cela offrirait un meilleur service aux clients qui demandent la révocation d’un indicateur inactif.

2.2 Il existe des possibilités de réaliser des économies de coûts et d’améliorer l’exactitude des données

Le Programme du NAS a conclu des partenariats de prestation de services avec les gouvernements de neuf provinces, qui permettent aux parents d’enregistrer un nouveau-né auprès de la province et de demander le NAS au même moment. Durant l’EF 2014–2015, un peu plus de 346 000 NAS ont été émis au moyen du service de demande du NAS à la naissance, ce qui comptait pour environ 94 % des enregistrements de naissance dans ces provinces et 37 % de toutes les demandes de NAS traitées. Chaque NAS émis selon ce modèle coûte 1 $ par transaction, montant qui est versé à la province qui a facilité le processus de demande. Ce qui contraste avec le coût de 13 $ par transaction de chaque demande de NAS traitée aux CSC. Le modèle de service est non seulement plus pratique pour les Canadiens, mais il est plus économique pour le Ministère, qui utilise une application uniforme avec les provinces au moment d’enregistrer les nouveau-nés. De plus, cela élimine les erreurs possibles de saisie de données dans le processus actuel des CSC lorsque les données ne peuvent être validées électroniquement (p. ex., le nom des parents), car les données relatives au NAS correspondent aux renseignements sur les naissances dans la base de données provinciale de l’état civil.

Bien que les contrôles du service de demande du NAS à la naissance aient été efficacement conçus, les gestionnaires du Programme n’ont pas demandé aux provinces de confirmer que leurs contrôles fonctionnent comme prévu. Les clauses d’audit dans les protocoles d’entente (PE) prévoient que les provinces réalisent régulièrement des audits et présentent les rapports à EDSC. Cependant, les gestionnaires du Programme n’ont pas demandé aux provinces ces audits dans les dix années suivant la signature de la première entente et ils ignorent si les provinces ont réalisé les audits prévus dans les PE. En tant que saine pratique de gestion, le Programme du NAS devrait appliquer périodiquement les clauses d’audit prévues dans les ententes provinciales, car il est impératif de s’assurer de la fiabilité de l’intégrité des données et des méthodes de gestion de l’information, sans compter les coûts de transaction qu’engage EDSC.

Étant donné le succès du modèle de demande du NAS à la naissance, il y a une possibilité de l’appliquer aux demandeurs nés à l’étranger. Actuellement, la majorité de ces demandeurs doivent présenter une demande du NAS dans un CSC. Si ces demandeurs pouvaient demander un NAS dans le cadre du processus de demande de documents de CIC et, au besoin, terminer le processus à leur arrivée aux douanes canadiennes, des économies annuelles importantes seraient réalisées, et le service à la clientèle ainsi que l’exactitude des données seraient améliorés. Durant l’EF 2014–2015, jusqu’à 560 000 demandes du NAS auraient pu être traitées selon ce modèle, représentant des économies annuelles possibles de 7 millions de dollars. Nous sommes conscients qu’il est peu probable que des partenaires fédéraux perçoivent un coût par transaction semblable à celui du NAS à la naissance et nous comprenons qu’il faudrait un investissement initial important pour mettre en œuvre le nouveau modèle. À des fins comparatives, le coût d’investissement d’EDSC pour établir le partenariat avec l’Ontario était d’environ 5 millions de dollars.

Il importe de noter qu’en attendant de développer une solution automatisée en partenariat avec CIC, certains projets régionaux novateurs ont permis d’améliorer le service à la clientèle en partenariat avec CIC et l’Agence des services frontaliers du Canada (ASFC). EDSC s’est associé à l’ASFC dans le cadre du projet pilote de demande du NAS à l’arrivée, qui permet de délivrer un NAS aux résidents permanents au moment où ils franchissent les services frontaliers à l’aéroport Pearson de Toronto. Des agents de Service Canada, affectés à l’aéroport, facilitent l’émission d’un NAS à ces nouveaux arrivants. Le projet pilote d’obtention du statut de résidence permanente en groupe a été lancé dans le cadre d’un partenariat entre EDSC et CIC; des NAS sont émis aux nouveaux résidents permanents immédiatement après les séances d’obtention du statut de résidence permanente à Montréal. Les séances ont lieu dans un CSC de la région de Montréal où les nouveaux résidents permanents peuvent immédiatement avoir l’aide d’un agent pour obtenir un NAS. Le projet pilote de demande d’un NAS à l’arrivée et celui sur l’obtention du statut de résidence permanente en groupe sont avantageux pour les clients, mais aucun ne représente les mêmes économies ni une amélioration de l’exactitude des données qui seraient réalisées grâce à un partenariat de prestation de services entièrement établi avec CIC selon le modèle de demande du NAS à la naissance.

Recommandation 1

En collaboration avec les partenaires fédéraux, la DGSI devrait évaluer la viabilité d’un processus de demande du NAS pour les demandeurs nés à l’étranger qui soit fondé sur le modèle de demande du NAS à la naissance.

Réponse de la direction

La DGSI est d’accord avec cette recommandation et reconnaît qu’un modèle semblable à celui de la demande du NAS à la naissance pour les demandeurs nés à l’étranger pourrait améliorer l’intégrité du programme et le service à ce groupe de clients.

Afin d’évaluer la viabilité d’une telle approche, la DGSI demandera à la haute direction de CIC et de l’ASFC de consentir à la création d’un groupe de travail mixte chargé d’étudier la faisabilité d’une telle approche. S’il y a consentement, le groupe de travail fera rapport à la haute direction de chaque ministère en novembre 2016 sur la viabilité d’un processus de demande du NAS pour les demandeurs nés à l’étranger semblable au modèle de demande du NAS à la naissance.

2.3 Des lacunes ont été relevées dans la surveillance de la qualité du NAS

Bien qu’il y ait plusieurs mécanismes disparates de surveillance de la qualité du traitement et de la prestation de services liés au NAS, certaines faiblesses ont été relevées, notamment l’absence d’une stratégie holistique de SQ axée sur le risque. Peu a été fait pour optimiser la SQ du Programme du NAS ou pour réviser les paramètres en fonction des modifications apportées aux contrôles. Par ailleurs, les groupes responsables des initiatives de SQ collaborent peu entre eux.

Les SNI, qui opèrent dans la région de l’Atlantique, doivent répondre aux demandes de renseignements par téléphone relativement au NAS et traiter les transactions complexes transmises par les CSC ainsi que les demandes provenant des clients par la poste. L’unité d’expertise opérationnelle des SNI a créé un programme de SQ qui examine aléatoirement des demandes traitées par les SNI. Bien que bon nombre de ces demandes sont transférées par les CSC, nous avons appris que la rétroaction sur les résultats n’est transmis ni aux ASC ni à la direction. De plus, il y a des examens hebdomadaires des transactions jugées critiques et des examens semi-annuels exhaustifs de tous les employés des SNI. Quoique la conception du SQ fournisse un équilibre entre la portée, le risque et les commentaires des employés, le processus et les critères d’examen n’ont pas été officialisés et des ressources n’ont pas été affectées aux activités de surveillance. Nous avons aussi noté qu’il y a lieu de mieux partager les résultats avec la direction des SNI aux fins d’amélioration continue.

La SQ de l’ARNAS examine les demandes de NAS complétées dans les CSC. Environ 4 % du volume total des demandes est examiné afin d’y repérer des erreurs critiques (examens de la légitimité) et 10 % de ces dossiers (0,4 % du volume total) sont également examinés afin d’en vérifier la conformité aux procédures et l’exactitude des données (examens de la qualité). Durant l’EF 2014–2015, un peu moins de 40 000 examens de la légitimité ont été effectués et, au total, sept dossiers contenaient des erreurs critiques, ce qui représente un taux d’erreur de 0,02 %. Si le faible taux d’erreur témoigne des contrôles rigoureux intégrés dans l’application de l’ARNAS, il révèle certaines inefficacités dans les pratiques actuelles de SQ. Si un demandeur utilise des documents qui peuvent être validés électroniquement, des contrôles intégrés dans l’ARNAS éliminent pratiquement le risque qu’une erreur soit commise dans la date de naissance ou que plusieurs NAS soient émis à une même personne. Durant l’EF 2014–2015, environ 11 % des demandes n’ont pas été validées électroniquement. Une stratégie de SQ axée sur le risque qui accorde plus d’attention aux transactions où la validation électronique n’a pas été effectuée serait plus efficace que l’approche aléatoire actuelle, car ces transactions comportent un risque d’erreur beaucoup plus élevé.

Les examens de la qualité ajoutent plus de valeur que les examens de la légitimité, car environ 5,5 % des dossiers contenaient une erreur qui donne lieu à plus de rétroaction aux ASC et aux gestionnaires du Programme. Toutefois, il y a lieu de rationaliser les critères d’évaluation, car 14 des 23 critères n’ont pas permis de relever une seule erreur au cours de l’EF précédent. La révision et la mise à jour des critères en fonction des contrôles et processus actuels élimineraient les étapes d’examen redondantes. Il semble également que les résultats de la SQ n’aient pas servi à améliorer les processus ou la formation, car l’erreur la plus fréquente est la même depuis cinq ans. Puisqu’un ASC consacre de cinq à dix minutes à la rédaction et à l’envoi de la documentation propre à chacun des 40 000 examens de la légitimité (dont 4 000 sont examinés aux fins de la qualité), il importe que le processus de SQ de l’ARNAS cible les risques et favorise l’amélioration continue.

Les examens de la qualité de l’ARNAS étant effectués à Bathurst au moyen des données du RAS et de copies de la documentation, il est impossible d’évaluer à fond les interactions en personne liées au NAS. Le Système de rendement des agents (SRA) permet d’examiner une transaction liée au NAS par ASC (par leur chef d’équipe) chaque mois. Le SRA facilite l’évaluation des interactions avec les clients, notamment l’authentification des demandeurs et la conformité aux protocoles en personne se rapportant à l’ARNAS. Cependant, nous avons constaté que bien qu’il soit valable, le SRA n’avait été mis en œuvre que dans une région. Les régions hésitent peut-être à adopter le SRA parce que le modèle de dotation actuel dans les CSC ne privilégie pas l’expertise des chefs d’équipe, ce qui peut poser problème lorsque les chefs d’équipe évaluent les transactions des ASC au moyen du SRA. Même si le SRA exige que le chef d’équipe soit un formateur certifié aux fins de l’ARNAS pour effectuer les évaluations, nous ne croyons pas qu’une expertise approfondie de formateur soit nécessaire pour réaliser les examens au moyen du SRA. Nous suggérons que cette exigence soit revue et, au besoin, modifiée afin que tous les chefs d’équipe puissent obtenir les qualifications requises afin que le SRA soit mis en œuvre à l’échelle nationale.

Recommandation 2

En partenariat avec la DGSC, les régions et les SNI, la DGSI devrait élaborer une stratégie de SQ nationale intégrée et axée sur le risque pour les transactions liées au NAS.

Réponse de la direction

La DGSI est d’accord avec cette recommandation. Les SGN mettront au point une stratégie de SQ intégrée et axée sur les risques pour l’émission du NAS des paliers 1 et 2 d’ici décembre 2016. Cela comprendra une analyse des risques et l’établissement de mesures de SQ pour atténuer les risques qui ont été signalés. La mise en œuvre complète dépendra des changements au système pouvant être requis. Si ces changements sont minimes, une nouvelle stratégie de SQ sera mise en œuvre d’ici juin 2017.

2.4 La formation et le soutien au Programme du NAS sont suffisants, mais il existe des possibilités d’améliorer l’efficience des activités de formation

Des discussions avec les ASC en personne et les employés des SNI ont confirmé que le matériel de référence sur le NAS est complet et à jour. Du matériel de référence est intégré dans le système d’ARNAS, ce qui permet aux ASC d’y accéder facilement pendant les interactions avec les clients; quant aux employés des SNI, ils ont accès au matériel de référence dans l’intranet d’EDSC. Si un ASC a besoin d’aide pour traiter une demande, le centre de services peut lui offrir un soutien immédiat par téléphone. Les ASC ont indiqué qu’ils attendent rarement en ligne et qu’ils sont satisfaits de l’aide fournie. Les employés des SNI ont indiqué que le soutien est accessible sur place ou auprès des experts opérationnels.

La formation des employés des SNI, qui est complexe en raison de la nature diversifiée du travail, est généralement offerte sur place par un collègue ou l’unité d’expertise opérationnelle. Elle est complétée par de la surveillance et de l’encadrement. En revanche, un programme de formation et de certification bien conçu est en place pour ce qui est de la prestation de services en personne. Lorsqu’un ASC a démontré sa capacité d’effectuer avec exactitude dix transactions liées au NAS à un formateur certifié aux fins de l’ARNAS, il recevra sa certification pour l’ARNAS. La certification est obligatoire pour tous les ASC qui traitent des transactions dans le système d’ARNAS, et un ASC doit renouveler sa certification après 120 jours d’inactivité.

La certification et la recertification incombent à un formateur certifié aux fins de l’ARNAS, lequel devrait être au moins au niveau PM-03. Bien que nous ayons reçu principalement des commentaires positifs concernant la qualité du programme de formation et de certification, on pourrait améliorer son efficience. Par exemple, l’exigence que le formateur soit au niveau PM-03 signifie que la tâche est confiée en général aux conseillers en expertise opérationnelle (CEO), car les chefs d’équipe ne possèdent habituellement pas les connaissances techniques requises. Des déplacements sont donc souvent nécessaires, car les CEO ne travaillent pas dans les CSC. L’efficience pourrait être améliorée au moyen de solutions telles que la formation virtuelle ou l’habilitation des chefs d’équipe (comme c’est le cas dans une région). Une région a adopté une autre solution de rechange, soit que les ASC s’occupent de la formation dans certains cas. Même si cette approche n’est pas habituelle, elle n’a pas posé de problèmes observables; cette région avait le taux d’exactitude du traitement le plus élevé durant l’EF 2014–2015.

Le Programme du NAS exige la recertification si un ASC n’a pas traité de transaction récemment. Toutefois, il serait possible de réduire les coûts en modifiant la période d’inactivité déclenchant la recertification. Nous espérions que la détermination de la période d’inactivité prenne en compte le coût de recertification et le risque accru qu’un ASC commette des erreurs critiques si sa période d’inactivité se prolonge. Nous avons constaté que la détermination d’une période de 120 jours plutôt qu’une autre n’était fondée sur aucune justification particulière. Étant donné que la recertification peut être coûteuse et que l’ARNAS comprend des contrôles intégrés, nous suggérons de réévaluer la période d’inactivité déclenchant la recertification et d’examiner des solutions moins coûteuses pour concilier risque et coût.

2.5 L’amélioration de l’exactitude des données du RAS est essentielle pour accroître sa fiabilité pour les utilisateurs des programmes autorisés à utiliser le NAS

Les contrôles assurant l’exactitude des données du RAS se sont progressivement améliorés depuis la mise en œuvre du NAS en 1964. Par exemple, jusqu’en 1976, les demandeurs de NAS n’étaient pas tenus de fournir des pièces d’identité comme des certificats de naissance ou des cartes de citoyenneté, ce qui signifie que l’exactitude dépendait de la qualité des renseignements que fournissait le demandeur. Les contrôles d’exactitude des données utilisés dans le traitement des demandes, telle que la validation électronique des renseignements avec les données des provinces ou de CIC, ont fortement accru la fiabilité des données liées aux NAS récemment émis. Comme nous l’avons indiqué précédemment, les résultats de nos examens indiquent que la probabilité d’erreur augmente quand la validation électronique n’est pas appliquée. Les données du RAS servent de plus en plus à identifier les clients, ce qui pose des défis quand il faut se fier aux données créées avant la mise en place des contrôles. [information protégée] information protégé, au titre des programmes Footnote 3 de pensions d’EDSC, représentait 79 milliards de dollars en prestations durant l’EF 2013–2014 Footnote 4 .

Les erreurs du RAS ne comportant pas toutes les mêmes risques, il faut prendre en compte les économies potentielles et les coûts associés aux initiatives d’amélioration ciblant les erreurs du RAS survenues avant l’application de la validation électronique. Des paiements inexacts sont généralement causés par des erreurs critiques, notamment une date de naissance incorrecte, un citoyen ayant reçu plusieurs NAS, ou un citoyen utilisant l’identité d’une personne décédée ou une fausse identité. Ces erreurs peuvent augmenter le risque d’une mauvaise authentification d’identité et d’un calcul incorrect des prestations au titre des programmes autorisés à utiliser le NAS. Moins graves mais néanmoins coûteuses sont les erreurs de renseignements personnels des clients, comme leur nom. Ces erreurs peuvent faire en sorte qu’un client reçoive un service en retard et que les programmes autorisés à utiliser le NAS engagent des coûts pour analyser et corriger les erreurs. Même si ces erreurs empêcheront de se fier au RAS pour valider les renseignements, elles ne devraient pas causer des erreurs de paiement.

[Information protégée] information protégé

Une unité distincte d’analyse des données au sein de la DGSI possède l’expertise et les outils pour réaliser des analyses économétriques et pour contribuer à des initiatives visant à améliorer l’exactitude des données. Toutefois, elle n’a pas la capacité nécessaire pour appuyer adéquatement un projet de grande envergure visant à améliorer la qualité des données du RAS. Par ailleurs, les SGN ne possèdent pas l’expertise ni les ressources suffisantes pour accomplir ce travail. En l’absence de ressources pour réaliser un projet exhaustif d’amélioration du RAS, des ressources analytiques ont été consacrées à la surveillance du taux d’erreur, au repérage des anomalies et à l’analyse ciblée des sous-sections à risque du RAS.

Le Programme du NAS tient à jour cinq indicateurs de rendement clés (IRC) qui forment cumulativement le taux d’erreur critique estimatif dans le RAS. Trois de ces IRC servent à estimer le « taux d’exactitude des NAS légitimes », [information protégée] information protégé et qui est déclaré dans le Rapport sur les plans et les priorités du Ministère. Le « taux d’exactitude des NAS légitimes » est une estimation du taux d’erreur attribué à [information protégée] information protégé. Le taux d’exactitude de ce paramètre a toujours dépassé les 99,9 %.

Les deux autres IRC [information protégée] information protégé peuvent être combinés pour fournir le taux d’erreur de l’état civil. Ces erreurs sont considérées comme critiques et peuvent donner lieu à des paiements incorrects. Ce taux d’erreur est passé de 2,7 % en 2007 à 1,9 % en 2014. Le fait que les provinces fournissent [information protégée] information protégé a contribué en grande partie à cette amélioration. Il s’agit d’une bonne mesure pour améliorer l’exactitude du RAS qui a contribué à une réduction du taux d’erreur critique. Toutefois, [information protégée] information protégé a aussi diminué après la mise en œuvre de la validation électronique, qui renforce l’exactitude pour les nouveaux demandeurs, puisque les erreurs sont repérées et corrigées pendant les interactions avec Service Canada. Cependant, ces mesures ne suffisent pas à corriger les inexactitudes dans les anciennes données.

Recommandation 3

La DGSI devrait améliorer les données historiques du RAS lorsque l’analyse coût-avantage le justifie.

Réponse de la direction

La DGSI est d’accord avec cette recommandation. Nous collaborerons avec Statistique Canada à la collecte de renseignements sur la qualité des données historiques et mettrons au point un plan d’action donnant suite aux constatations lorsque l’avantage est correspondant avec le coût d’ici juin 2017.

2.6 Il faut renforcer les contrôles d’accès aux données du RAS

Nous avons constaté que les agents de traitement des programmes autorisés à utiliser le NAS que gère EDSC, comme le Régime d’assurance-emploi et le Régime de pensions du Canada, peuvent consulter l’intégralité des données du RAS plutôt que de pouvoir uniquement confirmer la correspondance entre les renseignements des clients et ceux du RAS. Le RAS étant considéré comme une base de données fondamentale du gouvernement du Canada qui renferme des renseignements personnels sur la vaste majorité des Canadiens et de nombreux étrangers, nous nous attendions à ce que des contrôles rigoureux d’accès aux données soient mis en application.

Il y a des pistes d’audit qui assurent le suivi et l’enregistrement de l’accès au RAS par les utilisateurs autorisés et des rapports d’exception sont produits. Cependant, la surveillance des habitudes d’accès au RAS pour vérifier si des activités d’accès inappropriées ont lieu était limitée. Qui plus est, des [information protégée] information protégé chaque semaine. Des dispositions de protection sont énoncées dans le [information protégée] information protégé, mais nous avons appris que le Programme n’a réalisé aucune activité de surveillance ni appliqué les clauses d’audit du PE afin de vérifier si l’accès est correctement restreint, si les protocoles de protection sont suivis et si les copies antérieures sont adéquatement éliminées [information protégée] information protégé.

À mesure qu’augmente l’exactitude des données du RAS, il y aurait lieu de remplacer l’accès à la recherche ouverte dans les données du RAS par un portail de validation des données similaire au modèle provincial. Cela peut nécessiter un investissement de taille, mais il pourrait améliorer l’intégrité du RAS. Nonobstant de futures améliorations, les contrôles compensatoires devraient être renforcés afin d’assurer un accès approprié aux données du RAS.

Recommandation 4

La DGSI devrait renforcer les contrôles d’accès aux données du RAS.

Réponse de la direction

La DGSI est d’accord avec la recommandation d’améliorer la surveillance de l’accès au système. Des processus de restriction de l’accès au RAS à ceux qui nécessitent cet accès sont en vigueur dans le cadre du Programme du NAS. En réponse à un récent audit des contrôles ministériels en matière de système d’information et de technologie de l’information, qui a recommandé une évaluation de la faisabilité d’une approche ministérielle de surveillance active de l’accès aux systèmes à haut risque, des travaux ont été entrepris, et les changements apportés dans la foulée de ces travaux seront pris en compte à mesure que le Programme du NAS améliore ses contrôles d’accès aux données.

La DGSI prévoit compléter les actions d’ici août 2017.

2.7 L’unité nationale de soutien fait face à des problèmes d’effectif qui pourrait nuire à sa capacité de gérer certains risques propres au Programme

L’unité des SGN est essentielle pour assurer la sécurité et l’intégrité du processus d’attribution du NAS et pour maintenir l’exactitude et l’intégralité du RAS. Ces services sont actuellement situés à l’AC et à Bathurst où résident un grand nombre d’employés clés. En 2014, il a été annoncé que ces services seraient offerts exclusivement à l’AC. Bien que cette fusion permettra des gains d’efficience et une affectation plus ciblée des ressources aux améliorations que requiert le Programme, plusieurs risques doivent être atténués afin que la transition soit harmonieuse et que les perturbations des opérations soient évitées.

Les employés de Bathurst, qui assurent certaines des fonctions les plus essentielles et qui possèdent les connaissances et l’expertise associées au Programme, n’ont pas l’intention de s’établir à l’AC. Les nouveaux employés devront être formés par les employés actuels, qui devront continuer d’accomplir leurs tâches régulières. De plus, les rôles et responsabilités de certains postes n’ayant pas encore été définis, les fonctions clés risquent de ne pas être réalisées avec efficacité et efficience après la transition. Une autre lacune qui a été relevée concernant la gestion de l’information pourrait aussi aggraver ces problèmes. Si ces risques ne sont pas pris en compte, ils pourraient non seulement menacer la capacité des SGN à assumer leur rôle de soutien opérationnel, mais aussi nuire à leur capacité à améliorer les modèles de prestation des services et l’intégrité des données du RAS.

3.0 Conclusion

Dans l’ensemble, le processus de demande du NAS est adéquat. Il existe des possibilités d’améliorer l’efficience et l’efficacité de la prestation des services en élargissant les partenariats avec CIC et en adoptant une approche intégrée pour la SQ. De plus, l’intégrité des données du RAS (précisément des données plus anciennes traitées avant le modèle de validation électronique actuel) doit être améliorée et les contrôles d’accès aux données du RAS doivent être renforcés.

4.0 Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur les observations et les analyses faites lors de l’audit. Elles s’appliquent uniquement à l’Audit de la gestion et de l’exécution du Programme du NAS. Les éléments probants ont été recueillis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : Évaluation des critères de l’audit

Critères d’audit

Processus de demande du NAS

  1. Le processus est axé sur le risque, efficient, bien communiqué et appliqué uniformément.

    Cotation : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque
  2. Les lignes directrices, la formation et les outils sont suffisants, compréhensibles et conformes aux exigences en matière de politiques et de lois

    Cotation : les contrôles sont suffisants; exposition faible au risque
  3. Des mécanismes de supervision, d’assurance de la qualité et de rétroaction sont établis pour surveiller le rendement et les tendances, ainsi que favoriser l’amélioration continue.

    Cotation : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque
  4. Les demandeurs sont adéquatement authentifiés et les renseignements personnels sont bien protégés pour maintenir l’intégrité des programmes conformément aux normes ministérielles.

    Cotation : les contrôles sont suffisants; exposition faible au risque
  5. Des stratégies de dotation appropriées sont en vigueur pour gérer les opérations de façon efficiente et atténuer efficacement les risques.

    Cotation : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque

Intégrité du RAS

  1. Des protocoles, des ententes et des mécanismes de communication sont en vigueur pour assurer l’exactitude et l’intégrité des données.

    Cotation : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque
  2. Des ententes, des contrôles et des mécanismes de communication sont en vigueur pour restreindre l’échange des données du RAS et leur accès conformément aux lois applicables.

    Cotation : les contrôles ont été effectués, mais ils pourraient être renforcés; exposition modérée au risque

Annexe B : Glossaire

  • AC - Administration centrale
  • ARC - Agence du revenu du Canada
  • ARNAS - Accès rapide au numéro d’assurance sociale
  • ASC - Agent de service aux citoyens
  • ASFC - Agence des services frontaliers du Canada
  • CEO - Conseiller en expertise opérationnelle
  • CIC - Citoyenneté et Immigration Canada
  • CSC - Centre Service Canada
  • DGSC - Direction générale de service aux citoyens
  • DGSI - Direction générale des services d’intégrité
  • EDSC - Emploi et Développement social Canada
  • EF - Exercice financier
  • IRC - Indicateur de rendement clé
  • NAS - Numéro d’assurance sociale
  • PE - Protocole d’entente
  • RAS - Registre d’assurance sociale
  • SGN - Services de gestion du NAS
  • SNI - Services nationaux d’identité
  • SQ - Surveillance de la qualité
  • SRA - Système de rendement des agents

Annexe C : Types d’erreurs dans le RAS

Erreurs dans les renseignements personnels : Des erreurs dans ces champs peuvent réduire la capacité de Service Canada à valider l’identité des titulaires de NAS aux fins de modification ou de mise à jour des données relatives au NAS.

  • Date de naissance (jour) (erreur inexacte)
  • Lieu de naissance
  • Nom de famille courant ou original (nom légal complet), premier prénom courant ou original
  • Deuxième prénom courant ou original
  • Sexe
  • Nom de jeune fille de la mère
  • Prénom du père
  • Numéro d’enregistrement de l’acte de naissance
  • Pièce d’identité de l’immigration
  • Date d’expiration d’un NAS de la série 900

Erreurs critiques : Des erreurs dans ces champs augmentent le risque d’authentification de l’identité et de calcul des prestations inappropriés au titre des programmes autorisés à utiliser le NAS.

  • [Information protégée] Information protégé

Détails de la page

2022-04-13