Audit interne de la gouvernance des données

Direction générale de la vérification interne et de la responsabilisation
Le 17 octobre 2019

Table des matières

I. Contexte

Introduction

  1. L’audit de la gouvernance des données a été intégré au Plan de l’audit axé sur les risques 2019‑2021 du Ministère, lequel a été examiné par le Comité ministériel d’audit lors de sa réunion d’avril 2019, puis approuvé par la sous-ministre.

Importance des données

  1. L’atteinte des résultats ministériels d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) dépend de plus en plus de la capacité à accéder, utiliser et échanger facilement des volumes croissants de données, dont la plupart sont des données personnelles. La collecte et l’utilisation croissantes des données par différents secteurs d’activité d’IRCC comportent le risque que ces secteurs fonctionnels n’adoptent pas une approche intégrée et systémique à l’égard de la détermination, la collecte, la préservation, la protection et l’échange des informations à IRCC et dans l’ensemble des ministères partenaires. L’absence d’une approche intégrée peut réduire l’efficacité des services aux clients, entraver l’efficience opérationnelle et l’efficacité des politiques, compromettre la conformité aux lois et aux règlements concernés et menacer la sécurité des renseignements personnels.
  2. À mesure que le volume et la diversité des données produites par IRCC augmente et que la technologie évolue rapidement, il est impératif que le Ministère demeure à jour et mette au point de nouvelles façons de gérer les données. La Directive sur le gouvernement ouvert et la Politique sur les résultats du Conseil du Trésor enjoignent aux ministères et aux organismes d’appuyer la transparence, la responsabilisation et la mobilisation des citoyens en adoptant des pratiques rigoureuses de gestion de l’information de façon à ce que les Canadiens puissent facilement trouver et utiliser les renseignements et les données gouvernementales ayant une valeur opérationnelle. On attend aussi des ministères qu’ils veillent à mettre en place des initiatives et des pratiques visant à augmenter l’accessibilité et le caractère échangeable des données et de l’information, tout en protégeant les renseignements personnels et en préservant la confidentialité, la sécurité et l’excellence des services.

Gouvernance des données à IRCC

  1. La gouvernance des données est la façon dont une organisation dirige la gestion de ses actifs de données. À IRCC, « la gouvernance des données est la gestion horizontale des politiques et des procédures concernant l’accessibilité, l’intégrité, la sécurité et le caractère utilisable des actifs de données ainsi que le rendement des fonctions relatives aux données »Note de bas de page 1.
  2. Le fait que le Ministère s’appuie de plus en plus sur les données l’oblige à améliorer sa pratique de gouvernance des données. Depuis 2013, IRCC a réalisé un certain nombre d’activités connexes. Par exemple, le Ministère a commandé des études réalisées par un consultant indépendant et qui ont mené à des recommandations selon lesquelles IRCC doit préciser le leadership et donner des directives claires sur les priorités ministérielles, y compris sur la gouvernance des données.
  3. En 2019, IRCC a lancé une initiative de transformation afin que le Ministère puisse moderniser ses services et les offrir de façons améliorées, plus rapides et plus productives, tout en préservant la sécurité et la sûreté. Cette initiative a permis de diviser l’ancienne fonction de technologie de l’information d’IRCC en trois directions générales spécialisées et de créer deux nouvelles directions générales, qui sont toutes présentes au sein d’un secteur général de la transformation et des solutions numériques. Parmi les cinq directions générales, la Direction générale de la stratégie numérique est chargée de définir la stratégie numérique globale qui appuiera la transformation d’IRCC. Ses responsabilités comprennent l’offre au Ministère d’une expertise précise en matière de gestion de l’information et une orientation plus vaste relativement à certains domaines, comme l’architecture de l’information, l’analyse et l’innovation. Ces changements renforcent le besoin d’IRCC d’actualiser et d’améliorer ses pratiques de gouvernance des données afin qu’elles reflètent les priorités actuelles et l’environnement opérationnel.

II. Objectif, portée et méthode de l’audit

Objectif et portée de l’audit

  1. L’objectif de l’audit consistait à évaluer si IRCC est doté d’une structure et des processus de gouvernance adéquats pour appuyer la gestion des données ministérielles.
  2. L’audit a permis d’évaluer le caractère adéquat de la structure de gouvernance et des processus en examinant si :
    • une structure de gouvernance des données, dont les rôles, les responsabilités et les obligations de rendre des comptes clés, a été mise en place et communiquée;
    • des processus de gouvernance internes sont en place pour gérer les données dans l’ensemble de son cycle de vie;
    • les activités de surveillance et de contrôle ont lieu de manière à ce que les objectifs liés à la gouvernance des données soient atteints.
  3. L’audit couvrait la période du 1er janvier 2017 au 31 mai 2019.

Méthodologie

  1. Voici les procédures d’audit qui ont été appliquées :
    • examens des lois applicables et des documents de politique;
    • examens des principaux documents à l’appui et des documents d’information pertinents;
    • examen des processus, des procédures et des systèmes;
    • entrevues avec le personnel-clé;
    • observation des réunions de groupe de surveillance appropriées.
  2. La portée de l’audit ne comprenait pas les activités opérationnelles pour gérer des données ou les problèmes et incidences qui en découlaient.
  3. Les observations, les conclusions et les recommandations de l’audit reposent sur le travail effectué.

Énoncé de conformité

  1. L’audit a été planifié et mené conformément au cadre des pratiques professionnelles internationales de l’Institut des auditeurs internes, comme en font foi les résultats du programme d’assurance et d’amélioration de la qualité.

III. Constatations et recommandations de l’audit

Structure de gouvernance des données

  1. La gouvernance des données a lieu aux niveaux du processus décisionnel des directeurs administratifs et de la haute direction avec l’appui des cadres intermédiaires et du niveau opérationnel, lesquels fournissent des recommandations et des conseils éclairés.
  2. La base de la gouvernance des données à IRCC est constituée de cinq organismes ministériels qui s’échelonnent au niveau de la haute direction et aux niveaux opérationnels:
    • Le Comité directeur de gestion des données (CDGD), qui a été mis sur pied en 2013, est un comité au niveau du directeur général, composé de 20 délégués. Il assure un examen et une orientation stratégique de la haute direction pour appuyer l’excellence de la gouvernance des données, notamment en définissant et en s’accordant sur une vision et une stratégie de gouvernance des données à l’échelle du ministère.
    • Le CDGD central, établi en 2013, était au départ composé de trois membres du CDGD, à savoir la Direction générale de la recherche et de l’évaluation, la Direction générale de la planification et du rendement des opérations ainsi que la Direction générale des solutions et de la gestion de l’information. La Direction générale des solutions et de la gestion de l’information est désormais remplacée par la Direction générale de la stratégie numérique et la Direction générale des Opérations de la TI. Le CDGD central est un comité de coordination pour le CDGD plénier qui sert à établir l’orientation générale du programme de gouvernance des données et à définir les priorités qui nécessitent des prises de décisions par le CDGD plénier.
    • Le Conseil de la gouvernance des données, établi en 2014, est un comité du niveau du directeur chargé d’exécuter la stratégie de gouvernance.
    • L’Équipe de gouvernance des données, établie en 2013, est l’organe du niveau opérationnel chargé de faciliter l’adoption de pratiques exemplaires et d’élaborer des outils et des procédures dans le but de mettre en œuvre la stratégie de gouvernance des données d’IRCC.
    • Le Réseau des intendants des données, établi en 2017, est un groupe de travail présidé par l’Équipe de gouvernance des données et composé de spécialistes et d’experts techniques. Le Réseau des intendants des données a pour objectif principal d’améliorer la qualité des données d’IRCC pour appuyer les processus opérationnels et améliorer le processus décisionnel.
  3. En tant que comité de niveau du directeur général, le CDGD n’a pas le pouvoir décisionnel officiel au sein de la structure de gouvernance ministérielle à IRCC. Ce pouvoir appartient aux comités du niveau du sous-ministre adjoint. Toutefois, selon la Charte du programme de gouvernance des données de 2015, le CDGD est chargé de définir et d’approuver une approche à l’échelle du ministère pour déterminer la façon dont les données sont gérées et le meilleur moyen de régler les problèmes de données actuels et à venir. La charte décrit le travail de tous les autres groupes établis au sein de la structure de gouvernance des données comme découlant des décisions prises par le CDGD.
  4. La Charte du programme de gouvernance des données indique que le CDGD relèvera du comité exécutif, un comité officiel de prise de décisions au niveau du sous-ministre adjoint (SMA) à IRCC, qui est présidé par la sous-ministre. Toutefois, un examen des procès-verbaux des réunions du comité exécutif entre janvier 2014 et décembre 2016 révèle qu’aucune discussion sur les activités du CDGD ou sur la gouvernance des données n’a eu lieu pendant ces années.
  5. Le mandat de février 2019 du Comité de la mesure du rendement et d’évaluation indique que le CDGD relève de cet organe. Toutefois, un examen des procès-verbaux du Comité de mesure du rendement et d’évaluation rédigés entre mars 2013 et mai 2019 indique que le CDGD ne relevait pas officiellement de ce comité pendant cette période.
  6. Selon son mandat, le CDGD doit tenir compte de l’orientation stratégique et obtenir des ressources pour la gouvernance des données. De plus, il aide la haute direction à prendre des décisions fondées sur des données probantes. En l’absence d’aptitude de communiquer ses rapports à l’autorité décisionnelle à l’échelle du ministère, le CDGD ne peut pas rendre compte ou obtenir des ressources dans le but de mettre en œuvre la direction stratégique de la gouvernance des données à IRCC, et, par conséquent, peut ne pas avoir le pouvoir officiel dont il a besoin pour appuyer et orienter la gouvernance directe des données au sein d’IRCC. Le pouvoir approprié à des niveaux clés fait en sorte que le « ton soit donné par la direction » et il est ainsi possible d’appuyer des initiatives horizontales et de favoriser la création d’une culture de données qui valorise les données en tant qu’actif important à tous les niveaux du Ministère.
  7. Le mandat du CDGD indique que ce comité doit se réunir chaque mois. Entre janvier 2017 et mai 2019, trois réunions ont eu lieu. La participation à ces réunions par des représentants délégués était faible. Le CDGD est composé de 20 directeurs généraux et directeurs issus de diverses directions générales. Aux trois réunions qui ont eu lieu, entre 10 et 11 membres du comité étaient absents ou étaient remplacés par des délégués. Les délégués présents étaient souvent des remplaçants de niveau inférieur à celui des membres officiels du CDGD. Aucune réunion n’a eu lieu en 2018 et 2019.
  8. Selon le mandat provisoire du CDGD central (rédigé en mai 2019 même si le comité a été établi en 2013), le CDGD central est un comité de coordination du CDGD plénier et ses rôles principaux visent à établir l’orientation générale du programme de gouvernance des données et à orienter les priorités décisionnelles pour le CDGD plénier. Le CDGD central ne figure pas dans la Charte de la gouvernance des données de 2015 d’IRCC, ni dans le mandat du CDGD. Dans la documentation, le CDGD central existe pour appuyer et orienter le travail du CDGD. Toutefois, dans la pratique, il semble que le CDGD central a exercé la fonction décisionnelle exécutive et a poursuivi les travaux de gouvernance de données, par exemple en travaillant avec l’évaluation indépendante de la gouvernance des données et en entamant des projets de gouvernance des données, tels que le projet de gestion de données de référence. Par conséquent, il existe des divergences entre les rôles, les responsabilités et les obligations de rendre des comptes officiellement désignés et la pratique informelle au sein du Ministère. Entre janvier 2017 et mai 2019, le CDGD central a tenu neuf réunions. Aucune réunion du CDGD central n’a eu lieu depuis le 2 novembre 2018.
  9. Le Conseil de la gouvernance des données et le Réseau des intendants des données se sont réunis sur une base plus conforme aux directives de leurs mandats, même si six mois séparent la réunion la plus récente du Conseil de la gouvernance des données de sa précédente réunion. Le Réseau des intendants des données se réunit régulièrement et offre une plateforme de collaboration qui fait la promotion des connaissances, de l’échange de renseignements et de l’importance de la qualité des données aux niveaux opérationnels dans l’ensemble du Ministère. Ces comités de niveau opérationnel ne peuvent pas rendre compte de leurs activités ou veiller à la réalisation de la vision stratégique de niveau élevé pour la gouvernance des données à IRCC si le CDGD ne se réunit pas ou ne valide pas ses travaux auprès du Comité de mesure du rendement et d’évaluation.
  10. En juillet 2019, le sous-ministre intérimaire d’IRCC a annoncé que le Ministère établirait un nouveau poste de directeur des données au sein du Secteur des politiques stratégiques et des programmes. D’autres détails sur ce nouveau poste n’étaient pas disponibles au moment de l’audit. Toutefois, le nouveau poste de directeur des données sera impliqué dans les activités futures de gouvernance des données.
  11. L’absence de rapports, le manque de clarté au niveau des pouvoirs et la participation insuffisante au comité sans une représentation de niveau adéquat empêchent la tenue de discussions régulières de haut niveau et la prise de décisions parmi ceux qui détiennent les pouvoirs appropriés pour faire la promotion d’objectifs communs dans l’ensemble du Ministère.
  12. Recommandation 1. Le SMA, Politiques stratégiques et des programmes doit créer et conserver une structure de gouvernance des données pourvue de niveaux de pouvoir requis pour approuver les stratégies, les normes et les pratiques en matière de données et en faire la promotion dans l’ensemble d’IRCC.

    Réponse de la direction. Le SMA, Politiques stratégiques et des programmes (PSP) est d’accord avec le rapport d’audit et accepte la recommandation. Les mesures détaillées dans la réponse de la direction visent à traiter les possibilités, les problèmes et les risques identifiés dans l’audit.

Supervision et surveillance

  1. La surveillance des projets et des initiatives de gestion de données et le suivi et le contrôle de la conformité réglementaire du Ministère avec les stratégies et les politiques de données constituent deux aspects importants de la gouvernance des données.
  2. Les pratiques de gestion des données sont régies par la Politique sur la gestion de l’information et le Cadre stratégique pour l’information et la technologie du Secrétariat du Conseil du Trésor du CanadaNote de bas de page 2, et, au niveau du Ministère, par la Politique sur la gestion de l’information / la gouvernance des technologies de l’information d’IRCC. IRCC a subi plusieurs réorganisations dont sa politique actuelle ne tient pas compte. Par exemple, certains des organismes de gouvernance désignés comme ayant des responsabilités en matière de gestion de l’information ou de technologies de l’information, dont leur responsabilité est d’assurer la conformité du Ministère avec la politique, ne sont plus en fonction. De plus, le CDGD central et le CDGD qui sont les comités de gouvernance des données du plus haut niveau à IRCC n’y sont pas désignés. Le mandat du CDGD indique que l’une des responsabilités du président et du coprésident consiste à surveiller le développement et la mise en œuvre des activités de gouvernance des données au sein du Ministère.
  3. Quoique dépassée, la Politique sur la gestion de l’information / la gouvernance des technologies de l’information d’IRCC demeure en vigueur. Elle indique que les projets approuvés sur la gestion de l’information et de la technologie de l’information doivent respecter les pratiques exemplaires de gestion de projets, et les activités de gestion de l’information doivent démontrer qu’elles appuient l’intégrité, l’exactitude et l’efficacité de la gestion de l’information dans l’ensemble de son cycle de vie. Des initiatives de gestion de l’information ont été planifiées et sont en cours de mise en œuvre, y compris des glossaires opérationnels, un modèle de données de référence, une stratégie de données, ainsi qu’un processus d’évaluation de la qualité des données. L’une de ces initiatives, la création de la stratégie de données, donnerait suite à une recommandation du greffier du Conseil privé selon laquelle, avant septembre 2019, tous les ministères, organismes ou portefeuilles doivent avoir en place une stratégie de données adaptée à leur secteur d’activité.
  4. Une approche officielle de gestion de projet en vue de proposer, approuver et faire rapport sur des projets de gestion de l’information, tel que l’évaluation de la qualité des données aux comités exécutifs n’a pas été utilisée. Une approche officielle comprendrait un plan contenant des renseignements sur l’objectif, la portée, les ressources, les produits livrables et les jalons du projet. Certaines initiatives, comme la création d’une stratégie de données, ne sont pas des projets, mais tireraient aussi parti d’un processus officiel énonçant clairement des rôles, des responsabilités, des obligations de rendre des comptes et des exigences en matière d’établissement de rapport. Le consentement et le compte rendu de la direction et des intervenants clés aident non seulement à rallier tous les intervenants autour des projets et d’initiatives, mais aident aussi à faciliter la transparence et la communication, tout en déterminant les obligations à rendre des comptes et en prévenant la duplication des efforts.
  5. La Politique sur la gestion de l’information du Conseil du Trésor donne des directives sur la gestion des données. Elle indique que les ministères doivent gérer les informations, qui comprennent des données, considérées comme un actif précieux qui appuie les résultats des programmes et des services, ainsi que les besoins et les obligations de rendre des comptes opérationnels. La gestion des données doit se faire dans l’ensemble de son cycle de vie. De la collecte des données à leur utilisation et à leur disposition, le Ministère doit non seulement protéger les informations, mais aussi les gérer conformément aux règles et règlements applicables. En raison de la nature délicate et personnelle d’une grande partie de données conservées par IRCC, il est impératif que le Ministère respecte toutes les lois et tous les règlements.
  6. IRCC a établi et communiqué des lignes directrices et des instructions de niveau opérationnel pour gérer la collecte, l’utilisation, l’échange, le stockage et la disposition des informations ministérielles et des données conformément aux lois, aux politiques et aux directives gouvernementales. Elles comprennent, par exemple, des calendriers de conservation et de disposition, le cadre de protection des renseignements personnels d’IRCC, ainsi que des ressources d’échange d’information. Toutefois, il n’existe pas de contrôle proactif pour savoir si les pratiques du Ministère atténuent les risques connus, si elles sont à jour ou si elles respectent les directives. Par conséquent, la haute direction risque de ne pas accéder en temps opportun aux informations dont elle a besoin pour déterminer si le Ministère respecte toutes les exigences applicables concernant les informations, y compris les données et la gestion du cycle de vie.
  7. Par exemple, l’examen du Profil de risque ministériel de 2018-2019 a démontré que des risques relatifs à la gestion de l’information et des données ont été cernés, tout comme des stratégies d’atténuation relatives à ces risques. Toutefois, aucune responsabilité centrale ne surveille la réalisation des stratégies d’atténuation définies dans le profil des risques. De plus, une nouvelle autorisation de disposition de Bibliothèque et Archives Canada exige que chacun de ces calendriers de conservation et de disposition soit examiné et tenu à jour de façon continue et qu’ils fassent l’objet d’examens annuels. Les calendriers de conservation et de disposition à IRCC n’ont pas été mis à jour depuis 2011 et ne traitent pas de toutes les données produites et utilisées par les systèmes d’IRCC.
  8. Sans obligations de rendre des comptes pour surveiller les directives ministérielles, les rôles et les responsabilités concernant la disposition des données ne sont pas clairs. Les directives sur la disposition des données à IRCC indiquent que le « responsable fonctionnel » de l’information doit décider du moment où il convient de disposer les données. Le « responsable fonctionnel » est un programme ou un secteur fonctionnel, et on l’appelle souvent le « bureau de première responsabilité » pour la collecte de données particulières. Le bureau de première responsabilité doit donner l’autorisation lorsque d’autres utilisateurs doivent échanger ces données ou lorsqu’ils en disposent à la fin de leur période de conservation. Il existe plusieurs bureaux de première responsabilité pour des ensembles de données particuliers, par exemple lorsque des utilisateurs de plusieurs directions générales saisissent des données dans le Système mondial de gestion des cas. Par conséquent, plusieurs entités peuvent avoir besoin d’utiliser les mêmes données ou y porter un intérêt, et donc, peuvent être concernées par les décisions de conservation et de disposition connexes, même s’il est possible qu’il n’existe qu’un seul bureau de première responsabilité. Malgré ces aspects complexes, aucune ligne directrice sur le processus décisionnel concernant la disposition n’était consignée, et aucune surveillance n’a été réalisée pour veiller à ce que ces décisions sur la conservation et la disposition soient réalisées de façon uniforme et conforme aux règlements.
  9. Recommandation 2. La SMA, Transformation et solutions numériques et le SMA, Politiques stratégiques et de programmes doivent préciser les rôles et les responsabilités pour la gestion des données à travers les responsables fonctionnels de l’information, créer une approche de gestion des projets et des initiatives relatifs aux données et définir les obligations de rendre des comptes pour la surveillance de la conformité du Ministère aux lois, aux politiques et aux normes qui régissent le cycle de vie des données.

    Réponse de la direction. La SMA, Transformation et solutions numériques et le SMA, Politiques stratégiques et des programmes sont d’accord avec le rapport d’audit et acceptent la recommandation. Les mesures détaillées dans la réponse de la direction visent à traiter les possibilités, les problèmes et les risques identifiés dans l’audit.

IV. Conclusion

  1. Dans l’ensemble, l’audit a permis de conclure qu’IRCC dispose d’une structure de gouvernance et de certains processus horizontaux en place pour appuyer la gestion des données ministérielles. Toutefois, des améliorations sont requises pour créer une structure de gouvernance dotée du niveau de pouvoir approprié pour prendre des décisions à propos de la création et de la mise en œuvre de processus qui appuient la gestion des données dans l’ensemble du Ministère. La clarification des rôles et des responsabilités pour les responsables fonctionnels de l’information et la définition des obligations de rendre des comptes pour la surveillance des activités de gestion des données et pour la conformité du Ministère aux exigences législatives et réglementaires appuieront aussi la gouvernance des données.

    La direction a accepté les conclusions de l’audit et a conçu un plan d’action qui donne suite aux recommandations.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :