Audit du filtrage de sécurité du personnel

De : Emploi et Développement social Canada

Titre officiel : Audit du filtrage de sécurité du personnel.

Sur cette page

Formats substituts

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.

Liste des acronymes utilisés dans ce rapport

ASM
Agent de sécurité ministériel
DGSRH
Direction générale des services de ressources humaines
EDSC
Emploi et Développement social Canada
DIIS
Direction de l’intégrité interne et de la sécurité
SCT
Secrétariat du Conseil du Trésor

Renseignements généraux

1.1 Contexte

À Emploi et Développement social Canada (EDSC), les employés doivent avoir accès à des renseignements protégés ou classifiés pour s’acquitter de leurs rôles et responsabilités. Afin de réduire le risque que des renseignements protégés ou classifiés soient consultés, utilisés ou diffusés indûment, le gouvernement du Canada a établi des politiques de sécurité, y compris des politiques relatives au filtrage de sécurité du personnel.

La Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (SCT) exige que les ministères évaluent et surveillent sur une base continue les risques pour la sécurité, et qu’ils mettent en œuvre et maintiennent des mesures et des contrôles de sécurité adéquats, y compris des contrôles liés au filtrage de sécurité du personnel qui évaluent la fiabilité et la loyauté d’une personne envers le Canada.

La gestion du filtrage de sécurité du personnel est régie principalement par la Norme sur le filtrage de sécurité du SCT. La Norme sur le filtrage de sécurité veille à ce que les enquêtes de sécurité au gouvernement du Canada soient efficaces, efficientes, rigoureuses, cohérentes et équitables. On s’attend à ce que les pratiques de filtrage de sécurité fournissent une assurance raisonnable que l’on peut faire confiance aux personnes pour protéger l’information, les biens et les installations du gouvernement et pour s’acquitter de leurs fonctions de façon fiable.

La Norme comprend les cotes de sécurité et les autorisations de sécurité suivantes :

À EDSC, la Direction de l’intégrité interne et de la sécurité (DIIS) de la Direction générale des services d’intégrité est chargée d’évaluer la fiabilité et la loyauté des demandeurs et des employés envers le Canada.

Le tableau ci-dessous indique le nombre de cotes de fiabilité et d’autorisations de sécurité de niveau secret traitées par le Ministère du 1 avril 2017 au 31 mars 2019 :

Exercice financier Cotes de fiabilité - Nouvelles Cotes de fiabilité - Mises à jour Cotes de sécurité Secrètes - Nouvelles Cotes de sécurité Secrètes - Mises à jour Résolutions du doute Refus Révocations
2017 à 2018 4 281 1 870 1 123 52 235 7 1
2018 à 2019 3 688 1 707 751 410 267 14 7

1.2 Objectif de l’audit

L’audit visait à déterminer si la gestion et la surveillance du processus du filtrage de sécurité sont adéquates.

1.3 Portée

La portée de cet audit englobait les contrôles clés relatifs à la pertinence et à l’uniformité des processus du filtrage de sécurité du personnel, ainsi qu’à la protection et à l’élimination des renseignements personnels recueillis dans le cadre de ces processus.

L’audit n’a pas tenu compte des processus relatifs à l’autorisation de sécurité de niveau très secret, car le nombre de titulaires d’une cote de niveau très secret au Ministère est négligeable.

1.4 Méthodologie

On a mené l’audit à l’aide de diverses méthodes, notamment :

Un échantillon statistique de 130 dossiers a été retenu parmi 6 556 processus de filtrage de sécurité effectués par le Ministère du 1 avril 2018 au 31 mars 2019. Ceci comprend notamment 100 demandes visant une cote de fiabilité et 30 demandes d’autorisation de sécurité de niveau secret. En outre, des échantillons discrétionnaires ont été sélectionnés pour les processus de filtrage de sécurité visant notamment des entrevues pour résolution du doute et des demandes refusées pour une autorisation de sécurité. Toutes les autorisations de sécurité révoquées ont été examinées.

L’approche et la méthodologie étaient conformes à la Politique sur la vérification interne du SCT et aux Normes internationales pour la pratique professionnelle de l'audit interne. Ces normes exigent que l’audit soit planifié et exécuté de manière à obtenir l’assurance raisonnable que l’objectif de l’audit est atteint.

2. Constatations de l’audit

2.1 Processus du filtrage de sécurité du personnel

Dans le cadre de la Norme sur le filtrage de sécurité du SCT, les ministères sont chargés d’établir et de mettre en œuvre des procédures et des pratiques d’enquête de sécurité relativement au processus de filtrage de sécurité.

La Norme sur le filtrage de sécurité précise également que l’agent de sécurité ministériel (ASM) est chargé de surveiller les procédures et les pratiques d’enquête de sécurité. Au Ministère, on a constaté que l’ASM a surveillé l’établissement de pratiques d’enquête de sécurité mises en œuvre par la DIIS et les agents de sécurité régionaux.

Durant l’audit, nous avons constaté qu’EDSC avait établi et mis en œuvre des procédures et des pratiques relativement aux processus de filtrage de sécurité.

Il existe certaines différences entre les processus de filtrage utilisés pour les personnes qui arrivent à EDSC en provenance d’autres ministères et ceux utilisés pour les personnes qui viennent d’entrer dans la fonction publique. Plus précisément :

La norme de service pour la vérification du statut de sécurité des personnes qui arrivent au Ministère en provenance d’autres ministères est de cinq jours.

La norme de service pour le traitement de la nouvelle cote de fiabilité va de 7 à 25 jours ouvrables ; la norme de service pour le traitement de la nouvelle autorisation de niveau secret est de 14 à 90 jours ouvrables.

Pour appuyer les décisions relatives aux processus de filtrage de sécurité, le Ministère a mis au point des outils, dont une matrice des risques liés aux enquêtes financières et une matrice des risques liés aux condamnations criminelles. Ces outils fournissent à l’évaluateur des conseils pour accorder une autorisation de sécurité ou mener une entrevue visant à dissiper les doutes possibles en cas de constatations défavorables apparaissant dans le rapport (des exemples : dette totale de 250 000 $ ou plus, conduite avec facultés affaiblies, conduite en état d’ébriété).

2.2 Activités de filtrage

Dans l’administration fédérale, la Norme sur le filtrage de sécurité précise les activités à effectuer pour permettre au personnel d’obtenir la cote de fiabilité ou l’autorisation de niveau secret. Le tableau ci-dessous décrit les activités de filtrage requises pour octroyer la cote de fiabilité ou l’autorisation de niveau secret :

Autorisation :

Cote de fiabilité

Activités de filtrage requises :

Contexte de cinq ans, notamment :

Autorisation :

Autorisation de niveau secret

Activités de filtrage requises :

Contexte de dix ans, notamment :

Dans le cas de la cote de fiabilité pour les demandeurs qui sont entrés au Canada il y a moins de cinq ans ou dans le cas de l’autorisation de niveau secret pour les demandeurs qui sont entrés au Canada il y a moins de dix ans, le Ministère doit :

Nous avons examiné l’échantillon de 130 processus de filtrage de sécurité et n’avons relevé aucun problème. Plus précisément :

On tient à souligner que la DIIS comptait sur la Direction générale des services de ressources humaines (DGSRH) et les gestionnaires responsables de l’embauche pour vérifier les renseignements sur l’identification et les antécédents, confirmer les titres de scolarité et les désignations professionnelles du demandeur ainsi que les références personnelles et professionnelles dans le cadre du processus d’embauche.

Il a également été constaté que le Ministère effectuait généralement les processus de filtrage de sécurité conformément aux normes de service. Nous avons constaté que les formulaires de vérification de sécurité, de consentement et d’autorisation du personnel n’étaient pas tous estampillés avec la date au début du processus de filtrage. Dans le cas des formulaires sans date estampillée, nous n’avons pas été en mesure d’évaluer si les processus de filtrage étaient conformes aux normes de service.

2.3 Entrevues de résolution du doute

Dans la Norme sur le filtrage de sécurité, on précise que les entrevues de sécurité peuvent servir à dissiper les doutes et/ou à traiter les renseignements défavorables qui sont dévoilés pendant le filtrage de sécurité.

La direction de la DIIS nous a informé que lorsque des renseignements défavorables sont révélés au cours des processus d’enquête, une entrevue visant à résoudre le doute est menée soit par un agent de sécurité régional, soit par le personnel de la DIIS à l’administration centrale, au cours de laquelle les renseignements défavorables font l’objet d’une discussion. À la suite de cette entrevue, la DIIS recommande à l’ASM d’accorder ou de refuser l’autorisation pour le demandeur.

Au cours de l’audit, nous avons examiné les demandes d’autorisation de sécurité pour lesquelles des entrevues pour résolution du doute ont été menées.

2.4 Demandes d’autorisation de sécurité

La Norme sur le filtrage de sécurité stipule que lorsqu’il existe un doute raisonnable quant à la fiabilité ou à la loyauté d’une personne envers le Canada, une cote ou une autorisation de sécurité peut être refusée.

Des entrevues de résolution du doute ont été menées au cours de chacun de ces processus de filtrage, mais les renseignements fournis par les individus pendant ces entrevues ne permettaient pas d’approfondir suffisamment les renseignements défavorables. Par conséquent, les autorisations de sécurité n’ont pas été accordées.

2.5 Processus de révocation de l’autorisation de sécurité

Comme l’indique la Norme sur le filtrage de sécurité, une révocation est une décision administrative de retirer, à la suite d’une mise à jour ou d’un examen motivé, la cote ou l’autorisation de sécurité accordée antérieurement à une personne. Lorsqu’une révocation vise un employé, les ministères doivent consulter le service des ressources humaines. Dans tous les cas, le motif de la révocation doit être documenté et les personnes doivent être informées par écrit de la décision ainsi que des mesures de révision ou des droits de recours.

Du 1 avril 2018 au 31 mars 2019, le Ministère a révoqué sept autorisations de sécurité. Durant l’audit, nous avons examiné six des sept dossiers visant une révocation.Note de bas de page 1

En général, on a constaté que les dossiers relatifs aux révocations contenaient une grande partie des renseignements exigés par la Norme sur le filtrage de sécurité. Plus précisément, les dossiers comprenaient des preuves que la DGSRH avait été consultée par l’ASM, documentaient le motif de la révocation et comprenaient des copies de l’avis écrit envoyé à l’employé qui indiquait la décision de révoquer sa cote de sécurité et qui l’informait de son droit de révision ou de recours.

2.6 Protection des renseignements personnels

La Norme sur le filtrage de sécurité exige que les renseignements personnels créés, recueillis, utilisés, divulgués, conservés et éliminés aux fins du filtrage de sécurité soient protégés conformément aux normes gouvernementales en matière de protection des renseignements personnels.

Au cours de l’audit, on a constaté que les dossiers de sécurité du personnel sont entreposés dans une pièce sécurisée dont l’accès n’est autorisé que par carte magnétique.

De plus, dans l’échantillon de 100 demandes de cote de fiabilité et de 30 demandes d’autorisation de niveau secret, sept dossiers se rapportaient à des personnes qui ne travaillent plus au Ministère. On a constaté que ces dossiers visaient des employés dont l’emploi avait pris fin au cours des deux dernières années. Il est donc de mise que le Ministère conserve les renseignements personnels créés, recueillis, utilisés, divulgués, conservés et éliminés aux fins du processus de filtrage de sécurité.

3. Conclusion

Le Ministère gère adéquatement les processus de filtrage de sécurité et a élaboré des procédures et des pratiques adéquates à l’appui des processus qui sont surveillés par l’ASM.

4. Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l’audit. Les conclusions ne s’appliquent qu’à l’Audit du filtrage de sécurité du personnel. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : Évaluation des critères de l’audit

Critères de l’audit :

On s’attend à ce que les besoins en matière de filtrage relatifs aux postes visés soient bien déterminés ; que les demandes et les mises à jour d’enquête de sécurité sur le personnel soient évaluées ou examinées en temps opportun en fonction des processus qui ont été établis et qui sont conformes aux normes applicables du SCT.

Cotation : Un contrôle suffisant est exercé ; risque faible

Critères de l’audit :

On s’attend à ce que les renseignements personnels recueillis au cours du processus d’enquête soient protégés et éliminés de façon appropriée lorsqu’ils ne sont plus utiles.

Cotation : Un contrôle suffisant est exercé ; risque faible

Détails de la page

Date de modification :