Audit des pratiques de gestion de l’identité

De : Emploi et Développement social Canada
Titre officiel : Audit des pratiques de gestion de l’identité.

Sur cette page

Formats substituts

Cette publication est disponible dans d'autres formats en ligne , par téléphone au 1-800-O-Canada (1-800-622-6232), ou par téléimprimeur (TTY), au 1-800-926-9105. Aussi offerte en médias substituts sur demande : gros caractères, braille, audiocassette, CD avec fichier audio, disquette avec fichier texte, CD avec fichier texte, ou système DAISY.

Liste des acronymes utilisés dans ce rapport

AE
Assurance-emploi
EEC
Emplois d’été Canada
PNHA
Programme Nouveaux Horizons pour les aînés
PPS
Programme de protection des salariés
RE
Relevé d’emploi
SELSC
Services en ligne des subventions et contributions
SV
Sécurité de la vieillesse

1. Renseignements généraux

1.1 Contexte

La gestion de l’identité est le processus par lequel le Ministère établit la légitimité de l’identité de la personne ou de l’organisation avec laquelle il effectue des transactions. Des pratiques de gestion de l’identité adéquates et uniformes atténuent les risques d’usurpation d’identité, d’utilisation frauduleuse de pièces d’identité, d’octroi inapproprié de droits, d’attribution inadéquate d’avantages et de services, de pertes financières pour les parties concernées et de violation du droit à la vie privée d’une personne.

Conformément à la Directive sur la gestion de l’identité du Conseil du Trésor, le Ministère a adopté une Politique de gestion de l’identité en avril 2011, qui a été mise à jour en avril 2016. Les normes sur la validation de l’identité des entreprises et sur les preuves d’identité appuient cette Politique ministérielle. Ces normes se fondent sur le Modèle pancanadien d’assurance qui vise à offrir une expérience de la prestation de services transparente, pangouvernementale, axée sur l’utilisateur et multimodale à l’ensemble des Canadiens.

Ces normes visent à établir un cadre pour évaluer les besoins des programmes et services en matière d’assurance de l’identité; elles définissent les exigences minimales se rapportant aux données et aux processus afin d’obtenir le niveau d’assurance requis en ce qui concerne l’identité tout en respectant les pouvoirs légaux existants. En outre, des pratiques de gestion de l’identité pour les programmes et les services doivent être élaborées afin d’assurer la conformité au niveau d’assurance exigé pour l’inscription, l’authentification et la validation.

Les pratiques de gestion de l’identité relèvent en grande majorité des processus suivants :

L’élaboration des pratiques de gestion de l’identité (y compris les outils et les procédures) est mise au point avec les conseils, les outils et les lignes directrices fournis par la Direction des politiques et programmes sur l’identité de la Direction générale des services d’intégrité.

1.2 Objectif de l’audit

L’objectif de cet audit visait à déterminer si les pratiques de gestion de l’identité :

1.3 Portée

Cet audit a porté sur les structures, processus et pratiques ministériels clés liés à la gestion de l’identité de certains programmes et services sélectionnés en fonction du risque qu’ils présentent et pour lesquels les besoins d’assurance de l’identité sont variés. Cet audit englobait à la fois la gestion de l’identité des personnes et celle des entreprises et des organisations.

1.4 Méthodologie

L’audit a été réalisé au moyen de différentes méthodologies, dont celles qui suivent :

2. Constatations de l’audit

2.1 Les politiques et les normes ministérielles n’ont pas donné lieu à des pratiques uniformes de gestion de l’identité

Gestion de l’identité pour les personnes

L’audit interne a examiné les pratiques de gestion de l’identité utilisées pour les personnes au sein des programmes suivants :

Au cours des années 2014, 2015 et 2016, tous ces programmes ont fait l’objet d’une évaluation ministérielle visant à déterminer si leurs pratiques de gestion de l’identité répondaient aux exigences des politiques. Parmi les 10 programmes, seuls le régime d’AE et le programme de la SV respectaient pleinement les normes relatives à l’identité. Les 8 autres programmes ont révélé des lacunes, la plupart liées à la collecte et à la validation du nom de famille de la mère du client à la naissance et du statut du client (c’est-à-dire citoyenneté canadienne, statut d’autochtone ou d’étranger). Invoquant des changements coûteux au système, des répercussions sur la protection de la vie privée et des mesures correctives adéquates, 7 des 8 programmes ont opté pour le statu quo et n’ont pas modifié leurs pratiques de gestion de l’identité. Ainsi, les incohérences qui existaient avant l’élaboration de la Politique ministérielle ont été préservées.

À la suite de ces évaluations, en avril 2016, le Ministère a mis à jour sa Politique de gestion de l’identité et les normes connexes afin de lui conférer une plus grande souplesse. Par exemple, dans les normes mises à jour, les attributs d’identité doivent maintenant être recueillis « dans les limites des pouvoirs respectifs de chaque programme » et le nom de famille de la mère à la naissance « pourrait être recueilli […] au besoin ou si nécessaire ». Les normes actuelles relatives à l’identité pour les personnes adoptent un ton non normatif et permettent une interprétation qui pourrait expliquer les pratiques incohérentes de gestion de l’identité au sein du Ministère.

De plus, la Politique et les normes demeurent vagues quant au dépassement des exigences. Par exemple, pour les clients qui reviennent, la norme ministérielle exige un minimum de 3 attributs d’identité que le client doit fournir. Le travail sur le terrain au cours de l’audit interne a révélé que tous les programmes utilisent plus que le minimum, certains programmes utilisant 6 attributs d’identité pour valider l’identité des clients.

Au cours de notre travail sur le terrain, l’audit interne a également relevé des incohérences à cause de l’absence d’une approche ministérielle de gestion de l’identité des représentants de tierces parties. La norme actuelle reconnaît cette lacune et oblige les programmes à déterminer leurs propres exigences pour reconnaître une personne qui prétend représenter un client, en fonction de leurs pouvoirs respectifs.

Bien que l’uniformité et le service intégré soient mentionnés à maintes reprises dans la Politique de gestion de l’identité du Ministère (à la fois comme principes et comme résultats attendus), le travail sur le terrain de l’audit interne a permis d’observer des pratiques fragmentées qui entraînent des incohérences pour les utilisateurs des programmes, prestations et services offerts par le Ministère.

Gestion de l’identité pour les organisations

Dans le cadre de la mise à jour d’avril 2016 de la Politique de gestion de l’identité du Ministère, une norme sur la validation de l’identité des entreprises a été créée pour « assurer l’intégrité du programme ainsi que l’expérience de service des organisations ». L’audit interne a examiné la norme et a conclu que le ton est suffisamment normatif pour assurer l’uniformité prévue si les programmes satisfont à la norme.

Recommandation

La DGSI devrait revoir la Politique actuelle de gestion de l’identité et les normes connexes afin d’utiliser un langage suffisamment normatif pour assurer l’uniformité attendue entre les programmes et les modes de prestation des services, particulièrement en ce qui concerne les représentants de tierces parties.

Réponse de la direction

La DGSI est d’accord avec la recommandation. Bien qu’une certaine souplesse soit nécessaire afin de satisfaire les pouvoirs relevant de chaque programme, des pratiques de gestion de l’identité cohérentes devraient résulter dans une prestation des services intégrés. La DGSI entreprendra un examen de la Politique de gestion de l’identité afin de rehausser le ton et de restreindre les interprétations, plus spécifiquement au niveau des exigences pour PROTÉGÉ.

Les actions devraient être terminées d’ici septembre 2020.

2.2 Les pratiques actuelles de gestion de l’identité utilisées pour les personnes pourraient être améliorées afin de soutenir adéquatement l’intégrité des programmes

L’audit interne a examiné les pratiques de gestion de l’identité utilisées pour les personnes au sein des programmes suivants et a constaté ce qui suit :

Recommandation

La DGSI devrait surveiller périodiquement les programmes ministériels pour confirmer que des pratiques uniformes et suffisantes de gestion de l’identité ont été mises en œuvre.

Réponse de la direction

La DGSI est d’accord avec la recommandation et a déjà obtenu des services consultatifs pendant l’hiver de l’exercice financier 2018-2019 afin d’identifier diverses stratégies de surveillance et de production de rapports destinées à résoudre cette situation. La DGSI continuera d’examiner ces diverses stratégies et consultera les programmes afin d’établir un calendrier pour la production de rapports qui aidera à s’assurer que les programmes ont bien mis en place des pratiques uniformes de gestion de l’identité.

Les actions devraient être terminées d’ici septembre 2020.

2.3 Les pratiques actuelles de gestion de l’identité utilisées pour les organisations doivent être renforcées afin de soutenir adéquatement l’intégrité des programmes

L’audit interne a examiné les pratiques de gestion de l’identité utilisées pour les organisations au sein des programmes suivants et a permis de constater ce qui suit :

Recommandation

La DGSI, en collaboration avec les programmes, devrait examiner les pratiques de gestion de l’identité utilisées pour les organisations afin de combler les lacunes sur le plan de la conformité aux normes ministérielles et gouvernementales relatives à l’identité. PROTÉGÉ.

Réponse de la direction

La DGSI est d’accord avec la recommandation et confirme qu’il existe une lacune dans la mise en œuvre de la Politique sur la gestion de l’identité pour PROTÉGÉ, nous leur avons demandé de suspendre l’élaboration des analyses de leurs lacunes et de leurs plans de mise en œuvre jusqu’à ce que le Ministère ait PROTÉGÉ. Les récentes modifications qui ont été apportées à la Loi sur le ministère de l’Emploi et du Développement social en ce qui a trait à la prestation des services ont corrigé cette situation.

Le Secrétariat du Conseil du Trésor s’attend à renouveler la Directive sur la gestion de l’identité en 2019. La DGSI travaillera avec PROTÉGÉ afin de combler les lacunes qui existent à l’égard de leurs pratiques de gestion de l’identité, et mettra à jour la Politique, le cas échéant. PROTÉGÉ ont déjà été approchés afin de leur fournir des conseils en matière de gestion de l’identité.

Les actions devraient être terminées d’ici mars 2022.

3. Conclusion

L’audit a conclu que des pratiques de gestion de l’identité ont été élaborées et mises en œuvre, mais que le niveau prévu d’uniformité entre les programmes et les modes de prestation des services n’a pas été atteint. Ces problèmes d’uniformité découlent principalement des programmes qui ont recours à des normes plus élevées que celles exigées par la Politique et de l’absence d’une approche ministérielle en ce qui a trait aux représentants des tierces parties agissant au nom des clients individuels.

Dans l’ensemble, les pratiques de gestion de l’identité utilisées pour les personnes soutiennent adéquatement l’intégrité et la sécurité des programmes et des services. Des exceptions ont été relevées pour chaque programme où des améliorations pourraient être apportées afin d’accroître davantage l’intégrité des programmes.
Protégé

4. Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour étayer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l’audit. Les conclusions ne s’appliquent qu’aux pratiques de gestion de l’identité des programmes énumérés dans le présent rapport. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne. 

Annexe A : Évaluation des critères de l’audit

Critères de l’audit :
On s’attend à ce que le Ministère ait élaboré une politique, des normes, des outils et des conseils adéquats qui permettent aux programmes et services ministériels de mettre au point des pratiques de gestion de l’identité uniformes.
Cotation :
Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
Critères de l’audit :
On s’attend à ce que le Ministère fasse le suivi des pratiques de gestion de l’identité qui ont été élaborées afin de confirmer que les exigences de la Politique sont respectées.
Cotation :
Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
Critères de l’audit :
Pratiques de gestion de l’identité utilisées pour les personnes : on s’attend à ce que les programmes et les services aient mis en œuvre (c’est-à-dire élaboré, documenté et communiqué) des pratiques de gestion de l’identité conformes au niveau d’assurance exigé pour l’inscription, l’authentification, la validation et les modifications.
Cotation :
Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
Critères de l’audit :
Pratiques de gestion de l’identité utilisées pour les organisations : on s’attend à ce que les programmes et les services aient mis en œuvre (c’est-à-dire élaboré, documenté et communiqué) des pratiques de gestion de l’identité conformes au niveau d’assurance exigé pour l’inscription, l’authentification, la validation et les modifications.
Cotation :
Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
Critères de l’audit :
On s’attend à ce que les programmes et les services protègent les renseignements sur l’identité contre tout accès non autorisé.
Cotation :
Un contrôle suffisant est exercé ; risque faible
Critères de l’audit :
Pour tous les modes de prestation des services (en personne, centre d’appels spécialisé, courrier, en ligne) sauf les centres de traitement : on s’attend à ce que les programmes et les services surveillent les activités liées à la gestion de l’identité afin de confirmer que des mesures correctives appropriées sont prises en temps opportun pour combler les lacunes portant atteinte à l’intégrité des programmes.
Cotation :
Un contrôle suffisant est exercé ; risque faible
Critères de l’audit :
Appels entrants et sortants des centres de traitement : on s’attend à ce que les programmes et les services surveillent les activités liées à la gestion de l’identité afin de confirmer que des mesures correctives appropriées sont prises en temps opportun pour combler les lacunes portant atteinte à l’intégrité des programmes.
Cotation :
Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :