Audit de la protection de renseignements de nature délicate

Préparé par :
Direction de la vérification interne
Décembre 2018

Sommaire

Renseignements généraux

Objectif et portée de l’audit

Opinion

Énoncé de conformité

Constatations détaillées et recommandations

Conclusion

Recommandations, réponses et plans d’action de la direction

Annexe A : Critères de l’audit

Annexe B : Acronymes

L’objectif de cet audit était de s’assurer, de manière raisonnable, que les renseignements de nature délicate 1 font l’objet d’une protection adéquate de la part des employés du ministère des Finances Canada (le Ministère). L’objectif principal de cette mission d’assurance était d’évaluer la façon dont le Ministère gère le risque d’une fuite de renseignements de nature délicate et le niveau de préparation du Ministère pour faire face à des fuites soupçonnées ou réel les 2.

Afin d’évaluer à quel point ils sont adéquats, nous avons examiné les processus et les structures de gouvernance en place (les comités, les rôles et les responsabilités définis), les programmes et les activités de formation et de sensibilisations offerts aux employés et le niveau de respect du Code de valeurs et d’éthique du secteur public et du Code de conduite du ministère des Finances par le personnel. Nous avons également examiné la façon dont le Ministère traite les actes répréhensibles dans le cadre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles et son niveau de préparation pour répondre aux fuites de renseignements de nature délicate.

Nous avons inclus dans ce rapport une référence à l’accès des employés aux renseignements classifiés de nature délicate qui résident sur le lecteur du budget fédéral *caviardé* et le lecteur SharePoint du budget, les deux principaux répertoires de documents associés aux renseignements du budget fédéral utilisés par le Ministère. Ce contrôle a été évalué dans le cadre de l’audit de la gestion de l’information du processus budgétaire fédéral, toutefois, puisqu’il s’agit d’un secteur clé qui touche directement la protection des renseignements de nature délicate, nous le mentionnons de nouveau.

Le Ministère est une organisation axée sur l’information qui exige et génère elle-même une grande quantité de renseignements classifiés et de nature délicate. Dans les milieux de travail d’aujourd’hui, les employés ont une plus grande marge de manœuvre pour travailler à l’extérieur des bureaux et ont un accès accru à un large éventail de renseignements et de dossiers ministériels de nature délicate 3. La divulgation non autorisée de tels renseignements (de manière intentionnelle ou accidentelle) peut avoir d’importantes répercussions sur la réputation et l’intégrité du Ministère, et de la fonction publique dans son ensemble. Ces renseignements de nature délicate doivent être gérés et protégés de manière appropriée afin d’atténuer le risque de perte ou de fuite et de maintenir la confiance des Canadiens dans la fonction publique.

Le Ministère a des processus et des structures de gouvernance en place qui permettent de superviser et de protéger ses renseignements de nature délicate. Ils sont appliqués au moyen de trois comités clés de la haute direction, plus particulièrement le Comité exécutif, le Comité consultatif sur la gestion et le Comité ministériel de coordination. Ces trois comités assurent la supervision des programmes et des activités du Ministère. Toutefois, l’audit n’a pas été en mesure d’arriver à une conclusion concernant l’efficacité de ces comités à assurer cette supervision, en raison d’une disponibilité limitée ou d’une absence de comptes rendus des décisions.

Le Ministère a mis sur pied un programme de valeurs et d’éthique, une plateforme qui appuie les employés dans leur intégration des valeurs et de l’éthique dans leurs activités quotidiennes et qui renforce une culture de responsabilisation. Le programme comprend un volet de formation et de sensibilisation qui vise à maintenir une culture éthique robuste dans l’ensemble du Ministère et à accroitre les connaissances et la compréhension des employés de leurs responsabilités en matière de protection des renseignements de nature délicate. Afin d’évaluer le niveau de sensibilisation des employés à ces responsabilités, l’équipe d’audit, en collaboration avec la Division des valeurs et de l’éthique, a mené un sondage sur la protection des renseignements de nature délicate et le climat des valeurs et de l’éthique auprès des employés, lequel a dévoilé des résultats positifs.

L’audit a également constaté que la Division des valeurs et de l’éthique entreprend un certain nombre d’initiatives afin d’aider à cerner, évaluer et communiquer les renseignements concernant les risques dans l’ensemble de l’organisation et à guider l’élaboration des activités de sensibilisation et de formation à l’intérieur de son programme de valeurs et d’éthique. Néanmoins, la présentation aux comités de la haute direction des résultats de ces initiatives et des enjeux en matière de valeurs et d’éthique est ad hoc et à la discrétion du directeur de la Division des valeurs et de l’éthique.

Puisque les employés du Ministère ont accès à des renseignements de nature délicate, le potentiel existe que des renseignements non publics soient utilisés à des fins personnelles. Afin d’atténuer ce risque, la Division des valeurs et de l’éthique a élaboré un processus obligatoire de déclaration annuelle qui requiert que tous les fonctionnaires travaillant au ministère des Finances Canada 4 reconnaissent leurs obligations en vertu du Code de conduite du ministère des Finances et déclarent leurs actifs afin de déterminer s’il y a un conflit d’intérêts potentiel. La Division des valeurs et de l’éthique examine ces déclarations afin de s’assurer qu’il n’existe aucun conflit d’intérêts réel, apparent ou potentiel entre les fonctions officielles des employés et leurs intérêts privés. Ce processus exclut les sous-traitants, les nominations de la gouverneure en conseil et les employés des autres ministères.

L’audit a constaté qu’entre le 1er avril 2017 et le 31 mars 2018, environ 18 % des employés échantillonnés n’avaient pas soumis une déclaration à l’intérieur de la période de déclaration de deux mois requise établie pour chaque direction. Un suivi actif était exigé afin de veiller à ce que tous les employés aient soumis leur déclaration annuelle comme condition d’emploi. Récemment, la Division des valeurs et de l’éthique a entrepris des démarches afin d’améliorer son processus de surveillance annuel et assurer une meilleure couverture des déclarations.

En ce qui a trait à la mise en œuvre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (LPFDAR), le Ministère a un processus de divulgation des actes répréhensibles bien défini qui présente toutes les voies possibles à explorer dans le cadre d’une divulgation d’actes répréhensibles. En raison du fait qu’aucun acte répréhensible n’a été divulgué au cours de la période visée par l’audit, l’audit n’est pas en mesure d’arriver à une quelconque conclusion au sujet de l’efficacité actuelle du processus de divulgation.

L’audit a également constaté que le Ministère n’a aucun protocole consigné qui indique les étapes à suivre dans l’éventualité improbable d’une fuite de renseignements de nature délicate.

L’audit a constaté qu’un processus établi est en place pour demander l’accès au lecteur du budget fédéral *caviardé* et au lecteur SharePoint du budget fédéral, les réseaux clés contenant les renseignements de nature délicate créés pour le budget fédéral. Toutefois, un nombre élevé d’employés de la technologie de l’information (TI) au sein du Ministère et de membres du personnel de Services partagés Canada possèdent des profils de sécurité « privilégiés » qui leur permettent d’avoir accès à des renseignements de nature délicate concernant le budget fédéral dans la zone de « collaboration » sur le lecteur SharePoint du budget fédéral.

Kari Swarbrick
Dirigeante principale de la vérification

  1. La réputation du ministère des Finances Canada (le Ministère) et sa capacité à élaborer et mettre en œuvre des politiques et des programmes robustes, à fournir des conseils, ainsi qu'à exécuter des activités gouvernementales critiques, dépendent de sa préparation à protéger des données classifiées de nature délicate et à intervenir dans l'éventualité qu'une fuite de sécurité se produise. Les fuites potentielles de renseignements et l'état de préparation du Ministère pour faire face à une fuite de sécurité sont d'importants risques pour le Ministère. Un audit de ce secteur a été proposé dans le plan d'audit axé sur les risques de 2017-2020 approuvé par le sous-ministre le 9 juin 2017 et devait se concentrer sur la façon dont le Ministère prévient les fuites de renseignements de nature délicate (excluant la sécurité de la TI).
  2. La Division des valeurs et de l'éthique est composée de trois membres du personnel (un directeur, un cadre supérieur et un coordonnateur administratif). Ils maintiennent des relations régulières avec les neuf directions, particulièrement la Direction des services ministériels, laquelle détient la responsabilité fonctionnelle de nombreux secteurs et activités clés qui appuient l'importance des valeurs et de l'éthique et en font la promotion; par exemple, les ressources humaines, la gestion de l'information, la technologie de l'information (TI) et la gestion des finances. La Division des valeurs et de l'éthique offre également du soutien permanent au Réseau consultatif sur les valeurs et l'éthique (formé de représentants des directions), lequel sert de forum pour mener un dialogue continu portant sur les enjeux, les défis et les besoins de formation relatifs aux valeurs et l'éthique.
  1. L’objectif de cet audit était de s’assurer, de manière raisonnable, que les renseignements de nature délicate font l’objet d’une protection adéquate de la part des employés du ministère des Finances Canada (le Ministère). L’objectif principal de cette mission d’assurance était d’évaluer la façon dont le Ministère gère le risque d’une fuite de renseignements de nature délicate et le niveau de préparation du Ministère pour faire face à des fuites soupçonnées ou réelles.
  2. Plus particulièrement, dans le cadre de l’audit, nous avons évalué les aspects suivants :
    • si le Ministère a un système de gouvernance efficace en place pour superviser et protéger les renseignements de nature délicate;
    • si le Ministère communique de manière adéquate les procédures pertinentes (y compris l’orientation et la formation) au personnel afin d’atténuer le risque de diffusion non autorisée de renseignements de nature délicate;
    • si le Ministère a un processus en place afin de veiller à ce que tous les employés respectent le Code de valeurs et d’éthique du secteur public et du Code de conduite du ministère des Finances (les codes) en ce qui a trait à la protection des renseignements de nature délicate;
    • si l’accès des employés aux systèmes d’information de nature délicate et classifiée et aux renseignements classifiés était assujetti à des mesures de contrôle efficaces;
    • si le Ministère a un processus en place pour aborder les actes répréhensibles en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles;
    • si le Ministère a un processus en place pour intervenir dans le cas de fuites de renseignements soupçonnées ou réelles.
  1. L’audit a couvert la période de janvier 2016 à mars 2018 et visait les secteurs clés suivants de la protection des renseignements de nature délicate :
    • la gouvernance;
    • la formation et la sensibilisation;
    • le respect du Code de valeurs et d’éthique du secteur public et du Code de conduite du ministère des Finances;
    • le traitement des actes répréhensibles en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles.
  2. L’audit n’a pas évalué les secteurs suivants :
    • la sécurité physique : ce secteur a été évalué dans le cadre de l’audit de la gestion de l’information du processus budgétaire fédéral et de l’audit de la sécurité physique menés en 2017;
    • la sécurité de la TI : ce secteur a été évalué dans le cadre de l’audit de l’accès à l’information – systèmes et processus publié en mai 2015;
    • la planification de la continuité des opérations : ce secteur a été évalué dans le cadre de l’audit de sécurité du Programme de planification de la continuité des opérations publié en août 2016;
    • les mesures de sécurité des autres ministères, des organismes et des tiers fournisseurs de service qui ont accès aux renseignements de nature délicate du Ministère.
  1. L’audit a été mené par la Direction de la vérification interne du Ministère.
  2. Au cours du déroulement de cet audit, nous avons mené les tâches suivantes :
    • examiner les documents pertinents, y compris les politiques du Conseil du Trésor;
    • examiner les guides ministériels sur la gestion de l’information et le contrôle de l’accès;
    • examiner les comptes rendus des décisions des réunions de divers comités de la haute direction;
    • rencontrer en entrevue des personnes de la Division des valeurs et de l’éthique, de la Division des ressources humaines et de la Division de la TI afin de mieux comprendre les processus;
    • mener un sondage auprès des employés afin de mesurer le niveau de sensibilisation des employés envers leurs responsabilités associées à la protection des renseignements de nature délicate;
    • évaluer un échantillon des déclarations et des rapports confidentiels des employés et un échantillon des contrats de sous-traitants;
    • mener un examen des contrôles de l’accès aux systèmes des employés.
  3. Le travail mené sur place pour cet audit s’est achevé en grande partie le 21 octobre 2018.
  1. Un nombre suffisant et approprié de procédures ont été menées et de données probantes ont été recueillies afin d’appuyer l’exactitude de la conclusion de l’audit. Les constatations et la conclusion de l’audit étaient fondées sur une comparaison des conditions qui existaient à la date de l’audit par rapport aux critères établis convenus avec la direction.
  2. Les constatations et la conclusion ne s’appliquent qu’à l’entité examinée et pour la portée et la période couvertes par l’audit.
  1. L’audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, comme le démontrent les résultats du Programme d’assurance et d’amélioration de la qualité.
  1. La gouvernance est définie comme une combinaison des processus et des structures mis en œuvre par une organisation afin d’éclairer, orienter, gérer et surveiller les activités de l’organisation vers l’atteinte de ses objectifs. Nous nous attendions à ce que le Ministère ait établi des processus et des structures de gouvernance adéquats et efficaces qui assurent la surveillance et la protection des renseignements de nature délicate. Cela inclurait l’établissement d’un comité et de structures de rapports et la définition de rôles et de responsabilités clairs afin d’assurer une gestion et une surveillance efficaces des contrôles ministériels visant à protéger les renseignements de nature délicate.
  2. La structure de gouvernance qui assure la supervision des activités reliées aux programme de valeurs et d’éthique au sein du Ministère est composée de trois comités de la haute direction : le Comité exécutif (COEX), le Comité consultatif sur la gestion (CCG) et le Comité ministériel de coordination (CMC).
  3. Les responsabilités en matière d’interprétation et d’administration des codes relèvent de la Division des valeurs et de l’éthique, alors que la Direction des services ministériels gère le Service de gestion informelle des conflits (SGIC) et les processus formels de plaintes. Toutefois, il y a une certaine coordination entre la Division des valeurs et de l’éthique et le SGIC, puisque les enjeux touchant les employés sont souvent d’abord portés à l’attention de la Division des valeurs et de l’éthique et peuvent être renvoyés au SGIC, au besoin.
  4. Le directeur des valeurs et de l’éthique (directeur) se rapporte au sous-ministre adjoint de la Direction juridique (SMA-Juridique) au point de vue administratif et au sous-ministre (SM) au point de vue fonctionnel. Le directeur tient des réunions bilatérales mensuelles avec le SMA-Juridique portant sur les enjeux importants qui, selon lui, doivent faire l’objet de discussions. Le directeur rend compte au sous-ministre, au cas par cas, des enjeux qui ne peuvent pas être réglés au niveau inférieur.
  5. Les enjeux liés aux valeurs et à l’éthique et les renseignements des programmes sont portés à l’attention des comités de la haute direction lorsque le directeur détermine qu’il y a un besoin d’informer ces comités d’importants enjeux liés aux programmes ou afin d’obtenir l’approbation de la direction concernant des initiatives clés. Il n’y a aucune présentation périodique uniforme des résultats du programme en général à ce niveau : les séances d’information à l’intention des comités de la haute direction au sujet des enjeux liés aux valeurs et à l’éthique sont en général ad hoc et à l’initiative du directeur. Une mise à jour régulière prévue au sujet des enjeux liés aux valeurs et à l’éthique ne fait pas partie des ordres du jour des prochaines réunions des comités.
  6. Le COEX est le dernier niveau et le plus élevé pour l’approbation des questions liées à la politique de gestion ministérielle, à la gérance et aux recommandations formulées par le CCG et le CMC. Des renseignements stratégiques clés sont également présentés aux membres du COEX, par exemple, des propositions pour la dotation et la classification des postes du groupe Direction et les rapports financiers trimestriels. Le Comité est présidé par le sous-ministre et est composé des associés, des sous-ministres adjoints (SMA) de toutes les directions, du chef de cabinet du SM et du dirigeant principal des finances. Le but principal du CCG est de discuter des objectifs, des priorités et des produits livrables en matière de gestion ministérielle, d’y réfléchir et d’en convenir au niveau stratégique. Il est présidé par un sous-ministre délégué et est composé d’employés de toutes les directions générales, les hauts dirigeants et les champions. Le CMC est un forum de discussion pour les défis liés à la mise en œuvre et les pratiques comparatives au sein du Ministère. Il est présidé par un SMA délégué sélectionné par le COEX et a un représentant des SMA délégués (ou équivalents) de chaque direction, ainsi que le chef de cabinet du SM. Le président du CMC rend compte au COEX selon une fréquence et une manière qui sera déterminée par le COEX.
  7. L’audit a constaté qu’aucun compte rendu des décisions n’est préparé pour les réunions du COEX ou du CMC. Les comptes rendus des décisions sont importants, puisqu’ils définissent officiellement les rôles et les responsabilités et offrent des renseignements de référence pour les discussions subséquentes, les actions et les mesures de suivi.
  8. Nous pouvons conclure que le Ministère a des processus et des structures de gouvernance en place afin d’assurer la surveillance et la protection des renseignements de nature délicate, mais il n’a pas été possible de pleinement évaluer l’efficacité de la surveillance en raison de l’absence de comptes rendus des décisions.

Recommandation no 1

Les présidents du Comité exécutif et du Comité ministériel de coordination devraient consigner les décisions clés prises dans le cadre des réunions.

  1. La formation et la sensibilisation sont des activités et des outils clés permettant de veiller à la compréhension des employés ministériels des façons d’assurer la confidentialité des renseignements. Nous nous attendions à ce que le Ministère ait des activités de formation et de sensibilisation adéquates et efficaces établies pour communiquer les valeurs et l’éthique et les politiques pertinentes au sein de l’organisation.
  2. L’audit a constaté que le Ministère a déployé des efforts constants afin de communiquer les valeurs et l’éthique et accroitre la sensibilisation des employés au moyen de diverses activités et possibilités de formation. Les voici :
    • Affiches télévisées : Des messages sont affichés sur des écrans de télévision dans l’ensemble du Ministère afin d’augmenter la sensibilisation aux valeurs et à l’éthique, y compris l’obligation de loyauté, la sensibilisation aux médias sociaux et les obligations après l’emploi.
    • Communications par l’intranet et par courriel : Des messages et des bulletins sont envoyés par le sous-ministre et le directeur des valeurs et de l’éthique afin de transmettre des renseignements relatifs aux valeurs et à l’éthique à tous les employés. Ces messages sont envoyés par courriel et affichés sur « l’InfoSite » du Ministère. Des messages spéciaux de précaution sont également diffusés au cours de la période des Fêtes et du budget fédéral afin d’augmenter la sensibilisation aux risques liés aux valeurs et à l’éthique lorsque les employés sont plus vulnérables à ces risques.
    • Ressources de l’intranet : Des documents clés, des outils, des guides et de la formation sont affichés sur « l’InfoSite » du Ministère.
    • Déclaration obligatoire annuelle des conflits d’intérêts potentiels : Tous les employés doivent remplir et soumettre à la Division des valeurs et de l’éthique une déclaration ou un rapport confidentiel lorsqu’ils sont embauchés et chaque année par après reconnaissant qu’ils ont lu et compris le Code de conduite du ministère des Finances. Pour les titulaires, les employés sont informés de leurs obligations d’envoyer leur déclaration annuelle par courrier électronique. Des courriels de rappel sont envoyés vers la fin de la période de déclaration et, dans les cas de non-conformité aux échéances, la Division des valeurs et de l’éthique avise le sous-ministre adjoint de l’employé.
    • Lettre d’offre : Toutes les lettres d’offre contiennent des renseignements au sujet des droits et des obligations des employés en ce qui a trait à la participation aux activités politiques et au respect des codes (indiquant le comportement attendu dans toutes les activités associées aux fonctions des employés) comme condition d’emploi.
    • Obligation après mandat : Tous les employés quittant la fonction publique sont avisés de leurs obligations après mandat au moyen de lettres de départ.
    • Cours en ligne : Dans les six mois suivant leur nomination, tous les nouveaux employés de la fonction publique doivent suivre une séance d’orientation en ligne obligatoire présentée par GCcampus qui comporte un segment sur les valeurs et l’éthique. D’autres cours en ligne portant sur la protection des renseignements de nature délicate, lesquels sont fortement recommandés (par exemple, au sujet de la sensibilisation à la sécurité, la gestion des dossiers), sont également disponibles sur GCcampus. Bien que la participation des employés à la formation obligatoire du GC n’est pas systématiquement surveillée, des rapports sur les progrès sont demandés de la Division des ressources humaines au fur et à mesure des besoins (par exemple, afin de rendre compte des résultats en fonction des indicateurs du Cadre de responsabilisation de gestion).
    • Séances de sensibilisation : La Division des valeurs et de l’éthique mène diverses séances de formation et de sensibilisation élaborées à partir des questions, des consultations et des commentaires reçus des employés, ainsi que de demandes particulières de la part des gestionnaires.
    • Messages contextuels sur l’ordinateur : Des messages contextuels périodiques affichés à l’écran d’ordinateur demandent aux employés de confirmer qu’ils ont lu et compris le Code de conduite du ministère des Finances.
  3. Afin de mesurer l’efficacité du programme de sensibilisation, la Division des valeurs et de l’éthique a mené des sondages sur le climat des valeurs et de l’éthique auprès des employés en 2011, 2014 et 2018. Les résultats de ces sondages ont offert des données appuyant l’élaboration du plan d’action et cadre du programme en matière de valeurs et d’éthique (plan d’action en matière de valeurs et d’éthique), ainsi que de messages, de formation, de lignes directrices et de séances de sensibilisation. Les résultats ont également été utilisés afin de cibler des aspects à améliorer et d’accroître le niveau de sensibilisation. De plus, le Division des valeurs et de l’éthique a mené des séances d’information et a utilisé les commentaires des participants afin d’élaborer du matériel de formation pour les séances subséquentes.
  4. De plus, en coordination avec la Division des valeurs et de l’éthique, nous avons mené un sondage auprès des employés portant sur la protection des renseignements de nature délicate et le climat des valeurs et de l’éthique. Les résultats ont démontré que 96,62 % des 148 répondants au sondage étaient conscients de leurs responsabilités en matière de traitement des renseignements de nature délicate. Également, 88,5 % des employés questionnés ont indiqué qu’ils comprenaient bien les exigences du « besoin de savoir » du Ministère. Ces résultats correspondent à ceux obtenus dans le cadre du sondage sur le climat mené auprès des employés en 2014.
  5. Après avoir examiné tous les efforts de communication et de formation déployés par le Ministère et les résultats des sondages, nous avons déterminé que le niveau d’effort est adéquat en ce qui a trait à la communication des valeurs et de l’éthique à l’ensemble du personnel de l’organisation.
  1. Les codes présentent les valeurs et les comportements attendus qui guident les fonctionnaires dans le cadre de toutes les activités associées à leurs fonctions professionnelles. Nous nous attendions à ce que des processus soient en place afin de veiller à ce que tous les employés adhèrent aux codes en ce qui a trait à la protection de renseignements de nature délicate .
  2. L’audit a remarqué que la Division des valeurs et de l’éthique a adopté un certain nombre d’initiatives positives afin d’assurer le respect des codes et d’améliorer la gestion du risque lié au programme de valeurs et d’éthique. Celles-ci comprennent l’élaboration d’un plan d’action en matière de valeurs et d’éthique; la participation à divers réseaux sur les valeurs et l’éthique; la participation au processus de planification intégré du Ministère; et un processus annuel de déclaration obligatoire afin de surveiller le risque lié aux conflits d’intérêts.
  3. Plan d’action en matière de valeurs et d’éthique : Le plan d’action est un plan triennal approuvé par le sous-ministre et mis à jour annuellement qui sert de feuille de route pour les activités liées aux valeurs et à l’éthique au sein du Ministère. Le plus récent plan a été présenté au Comité exécutif en mai 2018. Il est élaboré et continuellement révisé en tenant compte de diverses sources de données, y compris les résultats du sondage auprès des fonctionnaires fédéraux et le sondage sur le climat des valeurs et de l’éthique menée auprès des employés; les demandes d’employés de renseignements et d’orientations concernant des enjeux liés aux valeurs et à l’éthique; et le formulaire de rétroaction rempli lors des séances de formation en matière de valeurs et d’éthique. Ces renseignements sont également utilisés afin d’élaborer et de réviser les messages liés à la sensibilisation, les lignes directrices et le contenu de la formation. L’intention de ce cadre est de cerner, évaluer et communiquer les renseignements relatifs aux risques en temps opportun dans l’ensemble de l’organisation afin de permettre au personnel, à la direction et aux comités de la haute direction de veiller à leurs responsabilités. Toutefois, nous avons remarqué que les résultats généraux du programme des valeurs et de l’éthique, y compris les résultats de l’examen annuel des déclarations et des rapports confidentiels des employés, ainsi que les renseignements relatifs aux risques associés aux activités quotidiennes, ne sont pas régulièrement transmis aux comités de la haute direction.
  4. Participation aux réseaux sur les valeurs et de l’éthique et participation au processus de planification intégrée du Ministère : le directeur des valeurs et de l’éthique et le conseiller de programme participent à des réseaux interministériels, des webinaires et des initiatives externes afin d’apprendre au sujet des pratiques exemplaires, les partager et de s’assurer que le programme des valeurs et de l’éthique du Ministère est harmonisé aux initiatives visant l’ensemble de la fonction publique. De plus, le Division de valeurs et de l’éthique participe à l’élaboration et à la mise à jour annuelles d’importants documents ministériels, comme le plan ministériel, le plan d’activités intégré, le profil de risque organisationnel et le plan en matière de ressources humaines, afin de cerner les risques liés aux valeurs et à l’éthique et de souligner le besoin d’une culture robuste de valeurs et d’éthique.
  5. Processus annuel de déclaration obligatoire afin de surveiller le risque de conflits d’intérêts : La Division des valeurs et de l’éthique a élaboré un processus qui exige que tous les employés déclarent leurs actifs afin de déterminer s’il existe un conflit d’intérêts potentiel (par exemple, survenant de placements financiers et du transfert de bénéfices économiques ou de messages et renseignements transmis par Internet et d’autres médias). Vu l’accès des employés ministériels à des renseignements de nature délicate, l’utilisation potentielle de renseignements non publics à des fins personnelles pourrait entrainer une situation de conflit d’intérêts. Afin d’atténuer ce risque, la Division des valeurs et de l’éthique exige que tous les nouveaux employés du ministère produisent annuellement une déclaration ou un rapport confidentiel obligatoires dans les 60 jours suivant la date d’entrée en vigueur de leur nomination. Ce rapport comprend toutes les valeurs publiquement échangées, les activités externes et les emplois. Par après, les employés doivent remplir et soumettre ce formulaire annuellement ou à chaque changement de situation (par exemple, changement dans les fonctions, les actifs). Une fois remplis, les rapports sont examinés par le directeur des valeurs et de l’éthique afin de déterminer l’absence ou la présence d’un conflit d’intérêts potentiel selon un ensemble de lignes directrices établies. Lorsqu’un conflit d’intérêts potentiel est détecté, des discussions ont lieu avec l’employé en question et peuvent aboutir à l’une de trois options : 1) le dessaisissement par la vente; 2) la conversion dans une fiducie sans droit de regard; ou 3) le gel des actifs. La décision est prise en collaboration avec l’employé touché et, en grande partie, les employés conviennent de se dessaisir. Si un employé donné refuse de se dessaisir et considère qu’il n’y a aucun conflit d’intérêts, le directeur des valeurs et de l’éthique envoie un mémorandum au sous-ministre aux fins de décision.
  6. L’audit a sélectionné un échantillon de 132 employés ayant un statut « actif » dans la base de données PeopleSoft entre le 1er avril 2017 et le 31 mars 2018 afin d’évaluer la conformité à leur devoir de reconnaître leurs obligations en vertu des codes et de déclarer tout conflit d’intérêts potentiel dans un délai acceptable. Les évaluations de l’audit ont dévoilé qu’approximativement 70 % (92) de ces employés ont soumis une déclaration ou un rapport confidentiel, conformément aux exigences. Cet écart s’explique comme suit :
    • Aucune déclaration ou aucun rapport confidentiel à examiner : Pour environ 18 % des employés restants, nous n’avons pas été en mesure de trouver des indications que des rapports avaient été soumis à la Division des valeurs et de l’éthique. Dans plus de la moitié de ces cas, la raison était que le Division des valeurs et de l’éthique dépendait exclusivement des dossiers des employés dans PeopleSoft à l’époque pour déterminer les employés qui devaient remplir et soumettre leur formulaire de déclaration; cette base de données n’était pas mise à jour à une fréquence suffisante pour permettre d’identifier rapidement les nouveaux employés embauchés, les détachements, les employés occasionnels ou les étudiants, donc certains d’entre eux n’ont pas reçu de rappel concernant leur obligation annuelle de déclaration.
    • Départs : Pour 12 cas (environ 9 % des employés de l’échantillon), nous n’avons pas été en mesure d’évaluer la conformité aux exigences de déclaration concernant les conflits d’intérêts, car les employés avaient quitté le Ministère avant la fin de la période de déclaration concernant les conflits d’intérêts.
    • Différents processus de divulgation : Quatre (4) employés dans l’échantillon (3 %) ont suivi un processus de déclaration différent : un (1) membre du personnel ministériel (nomination par la gouverneure en conseil) a soumis une déclaration au commissaire aux conflits d’intérêts à l’éthique plutôt qu’au ministère des Finances Canada et trois consultants contractuels devaient reconnaître leurs obligations envers la protection des renseignements de nature délicate au moyen de leur entente contractuelle. Nous avons examiné un échantillon aléatoire de dix (10) contrats de services professionnels au cours de la période d’audit et avons constaté que tous les contrats sauf un comprenaient des causes précises ou des modalités distinctes couvrant les exigences en matière de confidentialité et de conflits d’intérêts dans le cadre du Code de valeurs et d’éthique du secteur public.
  7. Depuis le 1er décembre 2017, le processus annuel de déclaration obligatoire visant à surveiller le risque lié aux conflits d’intérêts a été amélioré afin de s’assurer que la base de données des valeurs et de l’éthique est régulièrement mise à jour, englobant tous les employés actifs, y compris les étudiants, les nouveaux membres du personnel et les employés occasionnels. La Division des valeurs et de l’éthique reçoit maintenant des formulaires d’arrivée et de départ des Services de TI quotidiennement. Cela lui permet de comparer la base de données des valeurs et de l’éthique à la base de données PeopleSoft et d’assurer une meilleure couverture pour surveiller la conformité aux exigences en matière de déclaration de conflits d’intérêts.
  8. En général, le Ministère a un bon processus en place afin d’atténuer le risque de violation des codes. Malgré tout, les résultats globaux du programme des valeurs et de l’éthique dans son ensemble, y compris les résultats de l’examen annuel des déclarations et des rapports confidentiels des employés et les efforts de suivi, les résultats des activités de formation et de sensibilisation et les renseignements concernant les activités quotidiennes, ne sont pas transmis de manière uniforme aux comités de la haute direction. Comme il a été mentionné ci-haut, la Division des valeurs et de l’éthique a entrepris des démarches afin d’améliorer la surveillance annuelle des déclarations de conflits d’intérêts. Toutefois, nous nous attendons à ce que les résultats de ce processus, ainsi que les renseignements concernant le rendement global du programme, la suffisance des ressources et peut-être la planification de la relève, soient régulièrement communiqués au Comité exécutif.

Recommandation no 2

Le directeur des valeurs et de l’éthique devrait périodiquement examiner la pertinence et la suffisance des renseignements sur le rendement recueillis et surveillés et rendre compte annuellement au Comité exécutif des renseignements suivants :

  • les résultats généraux du programme des valeurs et de l’éthique;
  • les résultats de l’examen annuel des déclarations et des rapports confidentiels des employés;
  • les risques opérationnels (par exemple, la suffisance des ressources, la planification de la relève);
  • d’autres renseignements concernant le rendement du programme, au besoin.
  1. La responsabilité essentielle du Ministère est d’élaborer le budget fédéral et l’énoncé économique de l’automne, ainsi que de fournir des analyses et des conseils au gouvernement du Canada au sujet des politiques économiques, fiscales et sociales, des relations fédérales-provinciales, y compris les paiements de transfert et l’imposition, du secteur financier, des politiques de l’impôt, ainsi que des finances et du commerce international. Ainsi, les employés du Ministère ont accès à une abondance de renseignements de nature délicate et le risque d’actes répréhensibles au sein de l’organisation est très élevé.
  2. Conformément à la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (LPFDAR), la définition d’un acte répréhensible est la suivante :
    • la contravention d’une loi fédérale ou provinciale ou d’un règlement pris sous leur régime, à l’exception de la contravention de l’article 19 de la présente loi;
    • l’usage abusif des fonds ou des biens publics;
    • les cas graves de mauvaise gestion dans le secteur public;
    • le fait de causer – par action ou omission – un risque grave et précis pour la vie, la santé ou la sécurité humaines ou pour l’environnement, à l’exception du risque inhérent à l’exercice des attributions d’un fonctionnaire;
    • la contravention grave d’un code de conduite établi en vertu des articles 5 ou 6;
    • le fait de sciemment ordonner ou conseiller à une personne de commettre l’un des actes répréhensibles énumérés ci-dessus.
  3. Nous nous attendions à ce que le Ministère ait établi et défini un processus de divulgation des actes répréhensibles afin d’aborder les actes répréhensibles en vertu de la LPFDAR.
  4. Nous avons remarqué au cours de l’audit que le Ministère a un processus de divulgation des actes répréhensibles établi et défini, lequel présente toutes les voies possibles à suivre lors de la divulgation d’actes répréhensibles. Lorsqu’un employé veut divulguer un acte répréhensible potentiel, l’employé rencontre un agent de protection des divulgateurs (le directeur des valeurs et de l’éthique) afin de discuter de la nature de l’acte répréhensible potentiel. Une conversation informelle a lieu, en toute confidentialité, afin de déterminer si l’acte répréhensible perçu correspond actuellement à la définition d’acte répréhensible. L’équipe d’audit a été informée au cours de la période d’audit que seulement trois (3) cas ont été signalés et qu’aucun ne correspondait à la définition d’acte répréhensible; par conséquent, ils ont été référés à d’autres processus, comme le Service de gestion informelle des conflits (SGIC). Le processus de divulgation est disponible à tous les employés sur l’InfoSite du Ministère.
  5. En raison du fait qu’aucun acte répréhensible valide n’a été signalé au cours de la période d’audit, l’audit n’a pas été en mesure de mener d’autres évaluations afin d’arriver à une conclusion concernant l’efficacité du processus de divulgation des actes répréhensibles.
  1. L’audit a constaté que bien qu’il y ait des mesures en place pour prévenir la fuite de renseignements, le Ministère n’a aucune procédure écrite pour officiellement indiquer les responsabilités des intervenants et les mesures à prendre subséquemment à une fuite soupçonnée ou réelle de renseignements à des sources externes (excluant les infractions à la sécurité des systèmes de TI). Les représentants ministériels ont indiqué que, dans de telles situations, un processus informel est en place au moyen duquel des divisions et des directions clés dans le Ministère (Sécurité de la TI, Relations de travail, Direction juridique) et possiblement d’autres organisations fédérales (par exemple, la Gendarmerie royale du Canada, le Bureau du Conseil privé) pourraient participer et une enquête pourrait être lancée, au besoin. Toutefois, un protocole officiel n’a pas été consigné.
  2. En conclusion, le Ministère a un processus de divulgation des actes répréhensibles établi en place afin d’aborder les comportements inappropriés des employés et traiter les actes répréhensibles. Toutefois, l’organisation bénéficierait de la mise en place de procédures écrites officielles afin de déterminer les mesures à prendre dans l’éventualité de fuites soupçonnées ou réelles de renseignements de nature délicate.

Recommandation no 3

L’agent de sécurité du Ministère devrait consigner et diffuser le processus de traitement des fuites réelles ou soupçonnées de renseignements de nature délicate afin d’assurer une détection rapide et la participation de joueurs clés dans l’enquête et d’indiquer les étapes à suivre et les mesures à prendre.

  1. Au cours de l’audit de la gestion de l’information du processus budgétaire fédéral, nous avons remarqué qu’un nombre élevé d’employés de la TI au sein du Ministère et du personnel de Services partagés Canada (SPC) avaient des profils de sécurité « privilégiés », ce qui leur permettait d’avoir accès à des renseignements budgétaires de nature délicate. Puisqu’il s’agit d’un autre secteur clé qui touche directement la protection des renseignements de nature délicate, nous avons décidé de le mentionner de nouveau dans ce rapport.
  2. Aux fins de cet audit, les renseignements de nature délicate sur lesquels porte cette section comprennent seulement les renseignements résidant sur le lecteur du budget fédéral *caviardé* et le lecteur SharePoint du budget fédéral (classifié), les deux répertoires principaux de documents et de renseignements budgétaires utilisés par le Ministère. L’accès aux renseignements classifiés sur tous les autres lecteurs partagés protégés ou classifiés ne fait pas partie de la portée de cet audit.
  3. L’audit a remarqué qu’il existe un processus établi pour obtenir l’accès à ces deux réseaux. L’accès doit être approuvé par les coordonnateurs du budget de la direction et vérifié de nouveau par le centre de service de la TI avant qu’un demandeur reçoive l’accès. Toutefois, l’audit a constaté qu’un nombre élevé d’employés de la TI, soit trente (30) du Ministère et vingt-quatre (24) membres du personnel de SPC, avait des profils de sécurité « privilégiés », leur accordant l’accès à la « zone de collaboration », un espace ouvert sur le réseau SharePoint du budget fédéral qui contient des renseignements budgétaires de nature délicate au cours de la période de production du budget fédéral .
  4. Plus grand est le nombre de personnes qui ont accès aux renseignements de nature délicate, plus nombreuses sont les possibilités de fuites de renseignements. Il est important que le Ministère mène des examens réguliers du nombre de membres du personnel de la TI ayant des profils de sécurité privilégiés et collabore avec SPC afin de trouver des façons de limiter les couches du contrôle de l’accès pour ces employés.
  5. L’accès des employés au réseau est enregistré, toutefois mettre en rapport les accès aux lecteurs réseau est ni facile ni rapide. Au sein du Ministère, mettre en rapport les accès sur SharePoint est beaucoup plus facile que sur le lecteur du budget fédéral *caviardé*, puisque SharePoint a une piste d’audit détaillée qui est facile à consulter. Pour le lecteur du budget fédéral *caviardé*, l’interprétation de la piste d’audit est plus compliquée : des journaux d’accès sont conservés, mais les consulter est un exercice laborieux et peut être difficile à déchiffrer. Alors que le Ministère effectue progressivement la migration vers SharePoint, des outils de piste d’audit de sécurité plus efficients pourraient être nécessaires afin d’améliorer l’interprétation des accès aux réseaux. Cela rendrait le Ministère plus efficient dans son intervention face aux fuites de renseignements, dans l’éventualité qu’elles se produisent.

Recommandation no 4

Le dirigeant principal de l’information devrait mener des examens périodiques du nombre de membres du personnel de la TI qui ont des profils de sécurité privilégiés et réduire ce nombre, le cas échéant.

  1. En général, le Ministère a des processus et des structures de gouvernance, des stratégies de formation et de sensibilisation et des processus de contrôle de l’accès efficaces en place afin d’appuyer la protection de renseignements de nature délicate assurée par ses employés. Le Ministère a mis sur pied un programme des valeurs et de l’éthique qui appuie et guide les employés avec le respect d’une éthique la plus stricte et des meilleures normes de conduite dans leurs activités quotidiennes. De plus, le Ministère a des processus en place afin d’aborder les actes répréhensibles en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles. Les enjeux soulevés dans ce rapport d’audit visent à éclairer la direction quant à ce qui peut être amélioré dans ces secteurs dans le cadre d’un exercice d’amélioration continu.
  2. L’engagement organisationnel aux valeurs et à l’éthique et aux principes d’intendance responsable joue un rôle clé dans la protection des renseignements de nature délicate. Bien qu’il y ait un certain nombre de contrôles internes en place afin d’appuyer la protection des renseignements de nature délicate assurée par les employés ministériels, certains éléments du cadre de contrôle pourraient être améliorés. Les voici :
    • une meilleure consignation des décisions prises par les comités de la haute direction concernant les enjeux liés aux valeurs et à l’éthique;
    • un rapport annuel à l’intention du Comité exécutif sur les résultats généraux du programme des valeurs et de l’éthique;
    • la consignation du processus à suivre dans les cas de fuites réelles ou soupçonnées de renseignements de nature délicate;
    • trouver le juste équilibre entre les exigences en matière de sécurité et le niveau d’accès accordé aux employés de la TI.

La direction est d'accord avec les constatations et les recommandations.

Recommandations, réponses et plans d'action de la direction
Recommandations Réponses et plans d’action de la direction

Recommandations 1

Les présidents du Comité exécutif et du Comité ministériel de coordination devraient consigner les décisions clés prises dans le cadre de leurs réunions.

Réponse de la direction :

Les présidents du Comité exécutif (COEX) et du Comité ministériel de coordination (CMC) sont d’accord avec la recommandation.

Plan d’action :

Une approche commune et uniforme sera élaborée pour consigner les décisions concernant les mesures de suivi (c’est-à-dire les mesures présentées aux comités aux fins d’approbation). Des comptes rendus des décisions seront maintenus par le chef de Cabinet du sous-ministre pour le COEX et par le secrétaire du comité pour le CMC et seront distribués aux membres des comités.

Responsable

Présidents du COEX et du CMC

Date cible :

Décembre 2018

Recommandations 2

Le directeur des valeurs et de l’éthique devrait périodiquement examiner la pertinence et la suffisance des renseignements sur le rendement recueillis et surveillés et rendre compte annuellement au Comité exécutif des renseignements suivants :

  • les résultats généraux du programme des valeurs et de l’éthique;
  • les résultats de l’examen annuel des déclarations et des rapports confidentiels des employés;
  • les risques opérationnels (par exemple, la suffisance des ressources, la planification de la relève);
  • d’autres renseignements concernant le rendement du programme, au besoin.

Réponse de la direction :

Le directeur des valeurs et de l’éthique est d’accord avec la recommandation.

Plan d’action :

Des rapports sur les résultats globaux du programme de valeurs et d’éthique, y compris les enjeux liés aux valeurs et l’éthique comme le nombre de conflits d’intérêts et de contestations, seront présentés au Comité exécutif annuellement.

Le plus récent plan d’action en matière des valeurs et de l’éthique approuvé sera mis à jour afin de tenir compte du besoin d’un rapport annuel à l’intention du Comité exécutif.

Responsable

Directeur des valeurs et de l’éthique

Date cible :

Un rapport est en cours d’élaboration afin d’être présenté au Comité exécutif avant la fin de 2018. Des rapports annuels seront présentés aux mois de mai ou juin de chaque exercice subséquemment.

Le plan d’action en matière des valeurs et de l’éthique est présentement mis à jour.

Recommandations 3

L’agent de sécurité du Ministère devrait consigner et diffuser le processus de traitement des fuites réelles ou soupçonnées de renseignements de nature délicate afin d’assurer une détection rapide et la participation de joueurs clés dans l’enquête et d’indiquer les étapes à suivre et les mesures à prendre.

Réponse de la direction :

L’agent de sécurité du Ministère est d’accord avec la recommandation et élaborera un protocole écrit pour traiter les fuites réelles ou soupçonnées de renseignements de nature délicate que les Services de sécurité pourront consulter.

Plan d’action :

Un protocole écrit sera élaboré.

Responsable

Agent ministériel de la sécurité

Date cible :

Décembre 2018

Recommandations 4

Le dirigeant principal de l’information devrait mener des examens périodiques du nombre de membres du personnel de la TI qui ont des profils de sécurité privilégiés et réduire ce nombre, le cas échéant.

Réponse de la direction :

Le dirigeant principal de l’information est d’accord avec la recommandation, puisqu’il s’agit d’une pratique exemplaire que d’examiner périodiquement le nombre de comptes privilégiés accordés au personnel de la TI. Toutefois, il est important de souligner que le ministère des Finances Canada (Ministère) est une petite organisation avec un nombre restreint de spécialistes de la TI et la séparation traditionnelle des tâches pour les systèmes de gestion de l’information pourrait mettre en péril les activités de la TI et du Ministère. De plus, la structure organisationnelle de Services partagés Canada (SPC), avec plusieurs secteurs de service (par exemple, les activités liées au stockage, la sécurité des réseaux, les activités liées aux systèmes d’exploitation), contribue au nombre des comptes privilégiés.

Plan d’action :

  • Chaque mois, le Bureau de service à la clientèle de la gestion de l’information et de la technologie de l’information (GI-TI) produira un rapport indiquant la liste des comptes privilégiés accordés aux employés de SPC, y compris le nom de l’employé, le nom du gestionnaire de l’employé, le secteur de service pris en charge et les biens de TI du Ministère fournis à l’employé afin de faire le travail.
  • Chaque trimestre, le Bureau de service à la clientèle de la GI-TI demandera aux gestionnaires de la TI du Ministère et au gestionnaire de prestation des services de SPC de confirmer les besoins opérationnels pour les comptes privilégiés et de mettre à jour les renseignements, au besoin. Ces renseignements seront communiqués au coordonnateur de la sécurité de la TI du Ministère.

Responsable

Dirigeant principal de l’information

Date cible :

31 mars 2019

Les critères d’audit suivants ont été utilisés dans l’exécution de cet audit :

SigleNom complet

CCG

Comité consultatif sur la gestion

CMC

Comité ministériel de coordination

COEX

Comité exécutif

GI

Gestion de l’information

LPFDAR

Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles

SGIC

Service de gestion informelle des conflits

SM

Sous-ministre

SMA

Sous-ministre adjoint

SPC

Services partagés Canada

TI

Technologie de l’information


1 Les renseignements de nature délicate sont considérés comme des renseignements classifiés.

2 L'objectif général englobe les fuites intentionnelles et accidentelles et exclut les infractions externes à la sécurité de la TI.

3 Par exemple : économique, fiscal, propriétaire, commercial, protégé par des ententes de confidentialité, juridique, personnel.

4 Le code de conduite de ministère des Finances vise tous les fonctionnaires travaillant au ministère des Finances Canada, y compris les employés pour une période indéterminée et déterminée (à temps plein ou à temps partiel), les personnes détachées au Ministère, les employés occasionnels, les étudiants et les membres du personnel en congé payé ou non payé.

Détails de la page

Date de modification :