Audit du Portail de financement de Patrimoine canadien (Intégration et transition)

Bureau de la dirigeante prinpicale de l’audit
25 avril 2024

Sur cette page

• Liste des figures
• Liste de tableau
• Liste des sigles et abréviations
• Sommaire exécutif
• Opinion et conclusion de l’audit
• Énoncé de conformité
• 1.0 Contexte
• 2.0 À propos de l’audit
  • 2.1 Autorisation du projet
  • 2.2 Objectif et portée
  • 2.3 Approche et méthodologie
• 3.0 Constatations et recommandations
  • 3.1 Gouvernance, imputabilités, rôles et responsabilités
  • 3.2 Exécution des activités
  • 3.3 Gestion du changement
  • 3.4 Environnement de contrôle
  • 3.5 Gestion de l’information
• 4.0 Conclusion
• Glossaire
• Annexe A – Échelle d’évaluation et sommaire des résultats
• Annexe B – Plan d’action de la direction
• Annexe C – Échantillon des 37 contrôles examinés au cours de l’audit

Liste des figures

• Figure 1 : Structures hiérarchiques et modèle de décision pour la gouvernance
• Figure 2 : Structure hiérarchique de la DGEC
• Figure 3 : Processus des demandes de financement en ligne à PCH

Liste de tableaux

• Tableau 1 : Résumé des étapes particulières et des activités au cours du processus d’intégration

Liste des sigles et abréviations

AIPRP

Accès à l’information et protection des renseignements personnels

AP

Agents de programme

AQ

Assurance de la qualité

BDPA

Bureau de la dirigeante principale de l’audit

CCC

Centre canadien pour la cybersécurité

Cd’E

Centre d’Excellence

CMA

Comité ministériel d’audit

COMEX

Comité exécutif

CSP

Comité de surveillance des projets

CT

Conseil du Trésor

DG

Directeur général

DGDPF

Direction générale de la dirigeante principale des finances

DGDPI

Direction générale de la dirigeante principale de l’information

DGEC

Direction générale de l’expérience client

DGR

Direction de la gestion des ressources

DPI

Dirigeante principale de l’information

EAU

Essais d’acceptation par l’utilisateur

EDI

Équité, diversité et inclusion

EFVP

Évaluation des facteurs relatifs à la vie privée

ES

Énoncé de sensibilité

FSI

Fournisseur de services infonuagiques

GC

Gouvernement du Canada

GRC

Gestion de la relation-client

HTML

Langage de balisage hypertexte

HTTPS

Protocole de transfert hypertexte sécurisé

IMSC

Initiative de modernisation des subventions et des contributions

IPA

Innovation des processus d’affaires

LOPR

Langues officielles, patrimoine et régions

LSN

Livraison de solutions numériques

PAJ

Plans d’action et jalons

PAMSC

Plan d’action pour la modernisation des subventions et des contributions

PAAR

Plan d’audit axé sur les risques

PBMM

Protégé B / Intégrité moyenne / Disponibilité moyenne

PCH

Ministère du Patrimoine canadien

PFPC

Portail de financement de Patrimoine canadien

PMSC

Projet de modernisation des subventions et des contributions

PSPAM

Politiques stratégiques, planification et affaires ministérielles

RH

Ressources humaines

SAP

Systèmes, applications et produits

S&C

Subventions et contributions

SGISC

Système de gestion d’information sur les subventions et contributions

SMA

Sous-ministre adjointe

SPC

Services partagés Canada

Format substitut

Rapport final - Audit du Portail de financement de Patrimoine canadien (Intégration et transition) [Version PDF - 1.7 Mo]

Sommaire exécutif

En décembre 2019, Patrimoine canadien (PCH) a lancé le projet Mon PCH en ligne dont la mission consistait à améliorer l’accès des clients à des services numériques; simplifier les processus et les outils pour les employés et les clients; et permettre la collecte de données de qualité pour perfectionner les services, la production de rapports et la prise de décisions. Mon PCH en ligne a mené à la création d’un portail destiné aux clients, soit le Portail de financement de Patrimoine canadien (PFPC). Cette solution est une plateforme numérique qui permet aux Canadiens de soumettre en ligne des demandes de financement pour les programmes de subventions et de contributions de PCH, et suivre le progrès de ces demandes. Le portail a été lancé en mai 2021, et a permis de recevoir les demandes pour 19 sous-volets de programme à fort volume. À ce jour, environ 9 500 demandes ont été soumises par le biais du portail. Dans le fonctionnement et la gestion du PFPC, les principales activités consistent à intégrer des programmes de PCH dans le portail et à les relancer de nouveau. La vision ministérielle à long terme pour le PFPC est de continuer à y intégrer de nouveaux volets de programme tout en veillant au maintien de ceux qui y sont déjà.

Dans le cadre de la création et de la mise en œuvre de Mon PCH en ligne, une équipe de projet a été formée à partir de membres de l’ancienne Direction générale de la modernisation et du groupe d’Innovation des processus d’affaires (IPA), qui ont collaboré avec des ressources du Centre d’Excellence (Cd’E), de la Direction générale de la dirigeante principale des finances (DGDPF) et de la Direction générale de la dirigeante principale de l’information (DGDPI). De plus, le Ministère a conclu un marché avec un fournisseur externe, Eperformance, chargé de développer la solution et de voir à certains aspects techniques du projet. Mon PCH en ligne a pris fin le 31 mars 2023.

En raison de la clôture officielle du projet, toutes les activités liées au PFPC sont passées de l’état de projet à l’état opérationnel, ce qui a engendré de nouveaux rôles, de nouvelles responsabilités, un nouveau budget de fonctionnement et une approche établie pour la gestion du changement. Pendant la transition, un nouveau service appelé Direction générale de l’expérience client (DGEC) a été créé sous la direction de la sous-ministre adjointe (SMA) des Langues officielles, patrimoine et régions (LOPR). Issue de la fusion de l’ancienne Direction générale de la modernisation et du groupe d’IPA, la DGEC a comme objectif de miser sur les résultats de Mon PCH en ligne pour améliorer les services offerts à la clientèle. L’une des grandes priorités de la nouvelle DGEC est de veiller au maintien des programmes de PCH déjà intégrés au PFPC de manière à offrir aux clients une expérience accessible, adaptée et cohérente.

Opinion et conclusion de l’audit

Compte tenu des constatations de l’audit, je suis d’avis que le ministère du Patrimoine canadien a établi et appliqué un processus de transition bien structuré pour faire passer de l’état de projet à l’état opérationnel toutes les activités clés liées à la mise en œuvre du PFPC. Tout au long de cette transition, il y a eu une mobilisation soutenue et une collaboration étroite entre les principaux intervenants qui participent aux opérations du PFPC, et un transfert des connaissances entre les ressources du projet et les nouvelles ressources internes limitées responsables des opérations courantes. Même si les activités nécessaires à la concrétisation du mandat du PFPC (comme la mobilisation des programmes, leur intégration, le relancement, le soutien, etc.) se poursuivent après la transition, la présente réalité opérationnelle n’est pas viable pour réaliser la vision à long terme du Ministère en ce qui concerne le PFPC. Pour faire face aux enjeux soulevés durant cet audit, les opportunités d’améliorations suivantes ont été soumises à l’attention de la direction :

• Réviser la capacité actuelle (ressources humaines et finances) en matière de gestion et d’exécution des opérations du PFPC pour s’assurer que les objectifs et la vision du Ministère concernant le PFPC peuvent être accomplis.
• Évaluer de manière approfondie l’environnement de contrôle établi pour le PFPC en vue de renforcer la protection et la sécurité de ce service infonuagique, et d’obtenir/maintenir une autorisation complète d’opérer le portail.
• Définir clairement les imputabilités, les rôles et les responsabilités liés à la gestion et au fonctionnement du PFPC, notamment ceux qui sont liés à la gestion des données.

Énoncé de conformité

Selon mon jugement professionnel à titre de dirigeante principale de l’audit, le présent audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes de même qu’à la Politique et à la Directive sur l’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés d’audit appliqués et les éléments de preuve recueillis étaient appropriés et suffisants pour appuyer l’exactitude des constatations et la conclusion formulée dans le présent rapport. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visées par l’audit.

Original signé par

Bimal Sandhu
Dirigeante principale de l’audit
Ministère du Patrimoine canadien

Membres de l’équipe d’audit

• Dylan Edgar, Directeur d’audit interne
• Houssein Ndiaye, Chef d’équipe p. i.
• Trisha Laul, Auditrice principale
• Erick Martel, Auditeur

Avec le soutien de ressources externes.

1.0 Contexte

Le ministère du Patrimoine canadien (PCH ou le Ministère) offre un éventail de possibilités de financement sous forme de subventions et de contributions (S&C) à des individus et à des organismes de divers secteurs incluant les arts, le sport, la culture, le patrimoine, les langues officielles, etc. Chaque année, PCH accorde environ 1,2 milliard de dollars en subventions et en contributions à environ 10 000 clients dans l’ensemble du Canada. Pour continuer d’améliorer la prestation de services aux Canadiens, un mouvement de modernisation des subventions et des contributions est en cours au Ministère depuis 2010. Durant cette période de transformation, trois grandes phases se sont déroulées en évolution, débutant avec l’Initiative de modernisation des subventions et des contributions (IMSC), suivi du Plan d’action pour la modernisation des subventions et des contributions (PAMSC), et finalement le Projet de modernisation des subventions et des contributions (PMSC). Depuis le début de ce parcours de modernisation, la vision globale visant à transformer/simplifier les processus, à moderniser les interactions avec la clientèle, et à mettre en œuvre une solution intégrée de bout en bout pour la livraison des subventions et contributions dans l’ensemble du Ministère, est restée la même.

Vers la fin de 2019, le Ministère a réexaminé la portée de la troisième phase, ce qui a donné lieu à une réinitialisation du PMSC et à l’adoption d’une nouvelle image de marque. En décembre 2019, Patrimoine canadien (PCH) a lancé le projet Mon PCH en ligne dont la mission consistait à améliorer l’accès des clients à des services numériques; simplifier les processus et les outils pour les employés et les clients; et permettre la collecte de données de qualité pour perfectionner les services, la production de rapports et la prise de décisions. Mon PCH en ligne a mené à la création d’un portail destiné aux clients, soit le Portail de financement de Patrimoine canadien (PFPC). Cette solution est une plateforme numérique qui permet aux Canadiens de soumettre en ligne des demandes de financement pour les programmes de subventions et de contributions de PCH, et suivre le progrès de ces demandes. Le portail a été lancé en mai 2021, et a permis de recevoir les demandes pour 19 sous-volets de programme à fort volume. À ce jour, environ 9 500 demandes ont été soumises par le biais du portail. Dans le fonctionnement et la gestion du PFPC, les principales activités consistent à intégrer des programmes de PCH dans le portail et à les relancer de nouveau. La vision ministérielle à long terme pour le PFPC est de continuer à y intégrer de nouveaux volets de programme tout en veillant au maintien de ceux qui y sont déjà.

Dans le cadre de la création et de la mise en œuvre de Mon PCH en ligne, une équipe de projet a été formée à partir de membres de l’ancienne Direction générale de la modernisation et du groupe d’Innovation des processus d’affaires (IPA), qui ont collaboré avec des ressources du Centre d’Excellence (Cd’E), de la Direction générale de la dirigeante principale des finances (DGDPF) et de la Direction générale de la dirigeante principale de l’information (DGDPI). De plus, le Ministère a conclu un marché avec un fournisseur externe, Eperformance, chargé de développer la solution et de voir à certains aspects techniques du projet. Mon PCH en ligne a pris fin le 31 mars 2023.

Plusieurs mois avant la clôture officielle de Mon PCH en ligne, les équipes de gestion du projet responsables de la mise en œuvre du PFPC ont défini et exécuté un plan de transition pour passer de l’état de projet à l’état opérationnel. Toutes les activités liées au PFPC sont passées de l’état de projet à l’état opérationnel, ce qui a entraîné l’établissement de nouveaux rôles, de nouvelles responsabilités, d’un nouveau budget de fonctionnement et d’une approche définie de gestion du changement. Durant la transition, le Ministère a adopté un modèle de prestation de services axé sur la clientèle dans le but de créer une expérience client durable et améliorée, et de mieux s’aligner avec la Politique sur les services et le numérique, la Politique sur les paiements de transfert et la Politique sur les résultats. Un nouveau service appelé la Direction générale de l’expérience client (DGEC) a été créé sous la direction de la sous-ministre adjointe (SMA) des Langues officielles, patrimoine et régions (LOPR). La DGEC est issue de la fusion de l’ancienne Direction générale de la modernisation et du groupe d’IPA. Elle a comme objectif de miser sur les résultats de Mon PCH en ligne pour améliorer les services offerts à la clientèle. L’une des grandes priorités de la nouvelle DGEC est de veiller au maintien des programmes de PCH qui sont déjà intégrés au PFPC de manière à offrir aux clients une expérience accessible, adaptée et cohérente.

2.0 À propos de l’audit

2.1 Autorisation du projet

L’autorisation de mener ce projet d’audit découle du Plan d’audit axé sur les risques (PAAR) de 2022-2024, qui a été recommandé par le Comité ministériel d’audit et approuvé par la sous-ministre.

2.2 Objectif et portée

L’objectif de l’audit était de fournir une assurance quant à l’efficacité et la durabilité du nouveau Portail de financement de Patrimoine canadien utilisé comme moyen de prestation de services; et d’évaluer l’efficacité de sa transition vers les opérations, y compris la gouvernance, la planification, l’environnement de contrôle et la gestion des opérations.

La portée de l’audit visait les opérations du PFPC et les activités prévues pour la prestation de services continuellement améliorés et axés sur la clientèle; ainsi que les structures organisationnelles, les processus, et les contrôles établis pour la mise en œuvre et gestion du PFPC.

2.3 Approche et méthodologie

Le présent audit a été réalisé conformément à la Politique sur l’audit interne du Conseil du Trésor, à la Directive sur l’audit interne et aux Normes internationales pour la pratique professionnelle de l’audit interne [document PDF] de l’Institut des auditeurs internes.

La méthodologie d’audit comprenait les principales activités ci-dessous :

• examen de la documentation pertinente liée aux opérations du PFPC;
• examen de la documentation pertinente liée au projet précédent, Mon PCH en ligne;
• collecte d’information effectuée au moyen d’entrevues et de questionnaires;
• démonstration des principaux processus du PFPC et des systèmes connexes;
• examen et sessions d’essai des principaux contrôles liés au PFPC (sécurité, accès, etc.);
• analyse de données sur les finances, les ressources humaines et les opérations;
• examen des lois, règlements, politiques, procédures et directives pertinentes;
• travaux des anciens projets du BDPA comme la Revue des contrôles de Mon PCH en ligne.

3.0 Constatations et recommandations

Les constatations sont fondées sur les éléments de preuve recueillis au moyen des méthodes d’audit appliquées pour chacun des critères de l’audit. L’annexe A, Échelle d’évaluation et sommaire des résultats, présente un résumé des conclusions pour chacun des critères évalués durant le présent audit. Les constatations dont l’importance, le risque ou l’impact sont moindres ont été communiquées aux entités ayant fait l’objet de l’audit, soit de vive voix ou par lettres envoyées à la direction.

3.1 Gouvernance, imputabilités, rôles et responsabilités

Gouvernance

Un modèle de décision en matière de gouvernance a été mis en place durant le projet Mon PCH en ligne. Ce modèle continue d’être utilisé pour les opérations courantes du PFPC. Les fonctions de surveillance sont exécutées lors de rencontres périodiques à différents niveaux de la direction. Pour les demandes de modification ou de décision, le processus en place est concentré sur un chemin critique unique qui implique la structure de reddition de comptes allant de la DGEC au SMA de LOPR.

Une bonne gouvernance des activités ministérielles contribue à promouvoir la transparence, la reddition de comptes, l’efficacité, la gestion des risques, la mobilisation des intervenants, la conformité et la durabilité à long terme. La Politique sur les services et le numérique du Conseil du Trésor confie aux administrateurs généraux la responsabilité d’établir une gouvernance pour assurer la gestion intégrée des services, de l’information, des données, des technologies de l’information et de la cybersécurité au sein de leur ministère. À PCH, il est essentiel de se doter d’un cadre de gouvernance solide pour le portail de financement afin de garantir la mise en place de fonctions de surveillance adéquates permettant l’examen ainsi que le suivi des opérations quotidiennes et de l’ensemble de la prestation des services. L’équipe d’audit s’attendait à ce que des organismes de gouvernance aient été désignés pour assurer la gestion intégrée des opérations ou des activités liées au PFPC, conformément à la Politique sur les services et le numérique.

Dans le cadre du projet Mon PCH en ligne, un modèle de décision en matière de gouvernance a été établi en identifiant le Comité de surveillance des projets (CSP) à titre de comité ministériel (niveau 2) chargé de superviser la réalisation complète et la gestion efficace du projet. Suite à la transition de Mon PCH en ligne vers les opérations courantes du PFPC, ce modèle de décision a continué, mais avec une légère modification des fonctions de surveillance. L’équipe d’audit a constaté que le CSP n’était plus le mécanisme de surveillance des opérations, et que les fonctions de surveillance étaient plutôt exécutées lors de rencontres périodiques à l’échelon de la direction (directeurs, DG ou SMA). En effet, une équipe de cadres a été mise sur pied pour le portail, et les membres de ce groupe se rencontrent aux trois semaines. L’équipe est composée de représentants de la DGEC, de la DGDPI, et du Cd’E. Bien qu’il n’y ait aucun organisme de surveillance désigné, les actions/mesures concernant les opérations ou la prestation des services qui devraient être abordées par les responsables de la gouvernance, sont présentées au niveau approprié selon les structures hiérarchiques illustrées ci-dessous :

Figure 1 : Structures hiérarchiques et modèle de décision pour la gouvernance - version textuelle

Structure 1 :

La direction générale de l’expérience client (DGEC) se rapporte directement à la SMA des LOPR qui a le titre de Sponsor des activités.

Structure 2 :

La dirigeante principale de l’information (DPI) et la Dirigeante principale des finances (DPF) relèvent directement du SMA des Politiques stratégiques, planification et affaires ministérielles (PSPAM). Le Centre d’Excellence (Cd’E) se rapporte à la DPF et l’équipe technique du Portail de financement de Patrimoine canadien (PFPC) se rapprte à la DPI.

Même s’il y a deux structures hiérarchiques pour les fonctions de gestion et de supervision des opérations du PFPC, l’équipe d’audit a noté que le processus décisionnel utilisé pour les demandes de changements ou de décisions fait appel à un chemin critique unique qui commence à la DGEC et va jusqu’à la SMA des LOPR, ou rarement jusqu’à la sous-ministre. De plus, l’organigramme officiel approuvé par la SMA le 10 mai 2023 comporte deux structures hiérarchiques distinctes au sein de la DGEC. En effet, l’équipe de gestion comprend un directeur général (DG) et une directrice principale, tous les deux se rapportant directement et distinctement à la SMA comme illustré ci-dessous :

Figure 2 : Structure hiérarchique de la DGEC – version textuelle

L’équipe de gestion comprend dans la section Direction générale de l’expérience client (DGEC) un directeur général (DG) et une directrice principale, tous les deux se rapportant directement et distinctement à la SMA des LOPR.

Les constatations sur le manque de clarté par rapport aux rôles et responsabilités sont présentées dans la prochaine section. Les principaux intervenants à consulter pendant le processus de changement sont indiqués à la section 3.3 du présent rapport (Gestion du changement).

Imputabilités, rôles et responsabilités

Les rôles et responsabilités liés aux opérations du PFPC n’ont pas été officiellement définis, consignés, ni communiqués. Pour l’instant, des rôles et responsabilités ponctuels sont compris par la plupart des intervenants qui sont impliqués dans le fonctionnement et la gestion du PFPC. Il n’y a présentement aucune imputabilité pour l’information/les données contenues dans le portail.

L’établissement de rôles et de responsabilités bien définis aide les organismes à améliorer leur efficacité de fonctionnement de plusieurs façons. Cela permet aux ressources organisationnelles de connaître les attentes et d’accomplir leurs tâches tout en évitant la confusion ou les lacunes dans le travail. Cela peut aussi améliorer la collaboration, la communication et la coordination entre les membres de l’équipe, tout en favorisant une culture de confiance, de responsabilisation et de rétroaction. Des rôles et des responsabilités bien précis permettent aux équipes et aux groupes qui prennent part à la gestion et à l’exécution des opérations du PFPC de se concentrer sur leurs tâches et de travailler ensemble à l’atteinte d’objectifs définis. Ainsi, la motivation, la mobilisation et le niveau de satisfaction seront meilleurs au sein des équipes, car chaque personne aura le sentiment d’être utile et éprouvera un certain sentiment d’appartenance et de reconnaissance par rapport au travail. L’équipe d’audit s’attendait à ce que les rôles, les responsabilités et les imputabilités en matière de gestion et d’exécution des opérations du PFPC soient bien définis, consignés, communiqués et compris.

Au cours de la planification de cette mission et du travail sur le terrain, l’équipe d’audit a cherché à en savoir plus sur les rôles et les responsabilités officiels en place suite à la transition de Mon PCH en ligne vers les opérations courantes du PFPC. Les entretiens avec la direction et le personnel de la DGEC, de la DGDPI et du Cd’E ont permis de voir que les rôles et les responsabilités sont généralement compris par la plupart des intervenants qui sont impliqués dans le fonctionnement et la gestion du PFPC. La DGEC est reconnue comme propriétaire du portail et gère l’exécution des activités. Une nouvelle équipe de la DGDPI s’occupe de toutes les fonctions techniques liées au développement, à l’octroi de licences, à l’entretien et à la sécurité du PFPC. Le Centre d’Excellence (qui est responsable d’assurer une gestion transparente et responsable des subventions et contributions à l’avantage des bénéficiaires ainsi que du gouvernement du Canada) joue un rôle de soutien et de formation pour le PFPC. Tous ces rôles et responsabilités ponctuels ont été expliqués de vive voix à l’équipe d’audit. Celle-ci a constaté qu’ils n’ont toutefois pas été définis ni communiqués officiellement, ce qui entraîne un manque de clarté, de la confusion et de l’ambiguïté concernant les responsables de certaines tâches. Par exemple, l’équipe a noté de la confusion chez le personnel des programmes relativement aux rôles et aux responsabilités de la DGEC par rapport à ceux du Cd’E, de même qu’un chevauchement des fonctions ayant mené à des pertes d’efficacités et à la duplication des efforts liés à la création de groupes de travail et de forums. Des incohérences dans les activités de synchronisation ont aussi été observées quand certaines tâches récurrentes étaient entreprises par le personnel des programmes et parfois le Cd’E également (voir la section 3.5 pour plus de détails concernant la tâche de synchronisation des clients). En outre, la désignation du responsable des processus organisationnels en matière de subventions et de contributions pour le fonctionnement du PFPC n’est pas claire. Bien que ce rôle soit attribué au Cd’E pour la gestion globale des subventions et contributions dans l’ensemble du Ministère, il existe une certaine ambiguïté et de la confusion par rapport à la responsabilité fonctionnelle, car c’est la DGEC qui est propriétaire du portail et dirige ses opérations. De plus, la directrice principale de la DGEC, qui a des responsabilités différentes du directeur général, a été désignée comme responsable de la mobilisation des programmes et représentante des besoins opérationnels des programmes en ce qui a trait à la gouvernance et à la surveillance. Par conséquent, il y a chevauchement des responsabilités concernant l’exécution des processus organisationnels et des activités du PFPC. Il est donc nécessaire de clairement identifier les responsabilités qui relèvent du directeur général de la DGEC, celles de la directrice principale de la DGEC, ainsi que celles qui ont été attribuées au Cd’E.

Tout au long de cet audit, il a été difficile de déterminer les rôles, responsabilités et imputabilités rattachés à la gestion de l’information contenue dans le PFPC. Tous les intervenants concernés ont été consultés et malgré cela, il a été impossible de confirmer qui à PCH est responsable des données du portail. En examinant la documentation pertinente, l’équipe d’audit n’a pas trouvé de responsabilités attribuées pour la gestion des données du portail. Dans le cadre d’entrevues, les 16 premiers volets de programme qui ont été intégrés au PFPC ont indiqué qu’ils n’étaient pas responsables des données qui demeurent dans le portail après leur transfert dans les systèmes internes de PCH. L’équipe d’audit a reçu des réponses contradictoires aux questions sur les rôles et les responsabilités du responsable des données [gestionnaire de l’information]. Les programmes estiment que les équipes du PFPC et de la DGDPI s’occupent de la conservation et de l’élimination des données dans le portail, alors que la DGEC et la DGDPI placent cette responsabilité au niveau des programmes. À l’heure actuelle, il n’y a pas de responsable désigné pour l’information/les données qui se trouvent dans le PFPC.

Recommandation

1. Le directeur général de la Direction générale de l’expérience client devrait, en collaboration avec les dirigeantes principales de l’information et des finances, s’assurer que les rôles, les responsabilités et les imputabilités liés à la gestion et l’exécution des opérations du Portail de financement de Patrimoine canadien sont clairement et officiellement définis, consignés et communiqués.

3.2 Exécution des activités

Transition vers les opérations

Le projet ministériel Mon PCH en ligne a mené à la création du PFPC, et a été clôturé en mars 2023. Pour passer de l’état de projet à l’état opérationnel, un plan de transition bien structuré et bien documenté, a été établi et exécuté par les équipes de gestion de projet responsables de la mise en œuvre du PFPC. La phase de transition a inclus une restructuration d’organisations ministérielles, une réaffectation de fonds et de ressources, ainsi qu’un transfert de rôles fonctionnels.

Les projets organisationnels sont axés sur un objectif temporel et orienté vers les résultats. Lorsqu’un projet atteint cet objectif et qu’il est achevé, il est transféré aux opérations. Il importe que les promoteurs du projet se concentrent sur cette phase de transition pendant la conception et la mise en œuvre du projet, et qu’ils intègrent les étapes transitoires et la documentation nécessaires pour garantir une harmonisation efficace avec les processus opérationnels existants et un transfert adéquat des connaissances, des compétences et de l’expertise aux nouvelles équipes chargées des opérations. Une fois le projet Mon PCH en ligne achevé et officiellement clôturé, l’équipe d’audit s’attendait à observer une transition efficace entre la phase de mise en œuvre et le stade opérationnel du PFPC en tant que solution durable qui appuie les activités de livraison des programmes.

Le projet Mon PCH en ligne a été lancé en décembre 2019 et a mené à la création d’un portail à l’usage des clients, appelé Portail de financement de Patrimoine canadien. Ce canal en ligne a été créé dans le but d’offrir une meilleure expérience numérique aux Canadiens. Le portail de demande permet aux clients de PCH de créer un profil d’utilisateur, de demander du financement et de suivre l’évolution de leur demande, comme l’illustre la figure suivante :

Figure 3 : Processus de demandes de financement en ligne à PCH – version textuelle.

Les processus opérationnels des S et C sont divisés en « front-office » (fonction du système et capacités orientées client), « middle-office » (fonction de traitement des S&C) et back-office (fonction de soutien administratif et de systèmes d’information). Le « front-office » comprend les activités suivantes :

1. Les demandeurs de subventions et de contributions peuvent choisir de soumettre leur demande via le portail en ligne, par la poste, par courriel, par télécopieur ou en personne.
2. S'il choisit le portail en ligne, le candidat s'identifie et se connecte, crée un profil et postule en en se servant du portail, par la suite, les informations de la candidature sont transférées au Middle-office.
3. Le « front-office » permet également la possibilité par le postulant d'examiner le statut de la demande, de soumettre des rapports et de recevoir un paiement.
4. Si la demande de subvention est soumise par courrier, e-mail, fax ou en personne, les informations de candidature sont transférées manuellement au Middle-office par un agent.

Les activités Middle-office et Back-office comprennent les suivantes :

1. L'évaluation de la demande avec la possibilité d'un engagement de fonds dans le « back-office ».
2. Une décision concernant la candidature avec la possibilité de rédiger un accord de contribution et de faire de la surveillance de cet accord.
3. Les données enregistrées par les activités reliées Middle-office sont analysées puis les paiements sont traités dans le Back-office.
4. La dernière activité du Middle-office est de procéder à la clôture du dossier.

Pour accéder au Portail de financement de Patrimoine canadien pour la première fois, tout nouvel utilisateur doit suivre le processus d’enregistrement initial en s’inscrivant soit avec une cléGC (voir la définition dans le glossaire), soit avec un partenaire de connexion tel qu’une institution bancaire. Une fois que les termes et conditions générales de la cléGC sont acceptés et qu’un profil est créé avec nom d’utilisateur et mot de passe uniques, l’utilisateur peut ouvrir une session dans le PFPC. Avant de soumettre une demande de financement, les demandeurs doivent créer un profil organisationnel indiquant le nom, l’adresse, le numéro de téléphone, l’adresse courriel, le statut juridique et les représentants autorisés de leur organisation. Après la création de l’organisation, les demandeurs peuvent soumettre leurs demandes de financement, qui sont automatiquement reçues dans une plateforme de gestion de la relation-client (GRC) [voir la définition dans le glossaire]. Les employés de PCH utilisent l’outil GRC pour consulter tous les renseignements relatifs à la demande et à l’organisation, fournis par le demandeur par l’intermédiaire du portail. Les agents de programme (AP) ne travaillent pas directement dans le PFPC; les renseignements sont plutôt transférés de la GRC au Système de gestion d’information sur les subventions et contributions (SGISC). Le SGISC est le référentiel de données officiel du Ministère et contient tous les renseignements relatifs aux clients et aux projets, y compris les décisions de financement. Le SGISC est également supporté par une technologie intégrée (.net) appelée Liens SC, qui est utilisée pour compiler les détails de l’évaluation de la demande et du suivi postérieur à l’octroi du financement. Ce processus de transfert de données et de documents de la GRC vers le SGISC est expliqué dans la dernière section du présent rapport (3.5 Gestion de l’information).

Avant le déploiement initial en ligne du Portail de financement de Patrimoine canadien, une évaluation de l’accessibilité a été réalisée par le Ministère afin d’assurer que les services offerts par l’intermédiaire du portail soient accessibles à tous. Cette évaluation a donné lieu à un rapport final indiquant que la page Web du portail est conforme aux exigences en matière d’accessibilité. Les demandes sont principalement présentées sous forme de formulaires HTML qui sont accessibles, y compris aux personnes utilisant des technologies d’assistance. Bien que le portail offre une méthode numérique pour présenter une demande, le public dispose toujours de méthodes non numériques pour présenter une demande de subvention ou de contribution (par exemple, format papier, aide offerte par téléphone, visites en personne dans les bureaux de PCH, etc.). Sur la page d’accueil du portail, un message fournit des renseignements aux utilisateurs qui ont besoin d’aide pour utiliser le portail, et indique comment demander de l’aide pour présenter une demande hors ligne. En ce qui concerne l’équité, la diversité et l’inclusion (EDI), il a été observé que les demandeurs qui utilisent le portail sont tenus d’indiquer l’activité principale, le public, le groupe de clients ou les bénéficiaires de leur organisation (c’est-à-dire le grand public, les hommes, les femmes, les personnes handicapées, les Autochtones, les membres de communautés ethnoculturelles, etc.). Bien que PCH recueille ces données auprès des demandeurs, il existe actuellement une lacune et un manque de cohérence dans la manière dont les renseignements sur l’EDI sont recueillis par les programmes. La DGEC et le Cd’E ont indiqué lors des entrevues que le portail n’en était qu’à ses débuts en ce qui concerne la collecte des données sur l’EDI, mais un groupe de travail a été créé et des consultations sont en cours avec les programmes afin de fournir davantage d’orientations, de conseils et de cohérence relativement à la collecte de données sur l’EDI.

Le PFPC est également conçu pour permettre la soumission de documents de suivi par les demandeurs afin de rendre compte de l’utilisation des fonds fournis par PCH, de communiquer les résultats atteints et de démontrer le respect des modalités de l’accord de financement. Cette fonctionnalité de compte rendu n’a pas été entièrement mise en œuvre pour tous les volets des programmes intégrés au portail en ce moment, mais il est possible de l’ajouter si les responsables des volets des programmes en font la demande.

Pendant plusieurs mois avant la clôture officielle du projet Mon PCH en ligne le 31 mars 2023, un plan de transition entre l’état de projet et l’état opérationnel a été établi et exécuté par les équipes de gestion de projet chargées de la mise en œuvre du PFPC. En examinant la documentation pertinente, l’équipe d’audit a constaté que ce plan était bien documenté et qu’il prévoyait une approche par étapes pour transférer toutes les activités clés du projet aux opérations internes courantes, en particulier les activités liées à l’intégration et au relancement des programmes (expliquées dans la section « Intégration et relancement » ci-dessous), ainsi que toutes les fonctions techniques qui étaient auparavant assurées par le fournisseur externe Eperformance. Tout au long de cette phase de transition, le Ministère a adopté un modèle de prestation de services axé sur la clientèle afin de créer une expérience client viable et améliorée en se concentrant sur trois grandes priorités :

• Améliorer les modes de prestation de services en renforçant les capacités de première ligne du portail, en intégrant de nouveaux programmes et en fournissant de meilleurs outils pour les demandes de renseignements des clients et le soutien du public.
• Améliorer les niveaux de service et l’expérience de la clientèle et du personnel en travaillant sur l’interaction entre le portail et les systèmes internes, en améliorant les processus opérationnels existants et en soutenant les agents de programme par des conseils et des formations supplémentaires.
• Créer un programme de service à la clientèle axé sur une collaboration étroite avec les principaux intervenants, et définir des méthodes de collecte de données et de rétroaction pour soutenir la prise de décisions, la mesure des résultats et la production de rapports.

En mettant l’accent sur le client, le Ministère vise une meilleure harmonisation avec la Politique sur les services et le numérique, la Politique sur les paiements de transfert et la Politique sur les résultats du Conseil du Trésor (CT).

La transition du PFPC de l’état de projet à l’état opérationnel a nécessité une restructuration des organisations ministérielles, une réaffectation des fonds et des ressources ainsi qu’un transfert de certains rôles et de certaines responsabilités. Conformément à la vision axée sur le client expliquée ci-dessus, la nouvelle Direction générale de l’expérience client a été créée à partir d’une fusion entre l’ancienne Direction générale de la modernisation et le groupe IPA, dans le but de mettre à profit les résultats de Mon PCH en ligne et d’approfondir l’aspect du service à la clientèle. La DGEC a été chargée de capturer et documenter les exigences des nouveaux programmes qui sont en cours d’intégration, et aussi d’assurer le maintien et le relancement des programmes déjà intégrés au PFPC. En ce qui concerne les services techniques et les aspects technologiques du portail, toutes les fonctions ont été transférées à la nouvelle équipe de développement créée au sein de la DGDPI en suivant une stratégie de transition définie en trois phases. Il a été constaté que cette approche progressive a permis le transfert des connaissances entre le développeur externe de la solution, Eperformance, et l’équipe interne de la DGDPI, ainsi qu’un apprentissage continu. Durant les sessions de démonstration d’audit axées sur les étapes de développement technique et de maintenance du PFPC, l’équipe de la DGDPI a démontré qu’elle connaissait les exigences techniques opérationnelles liées à l’intégration, au relancement et à la correction des bogues. Les rôles et les responsabilités ponctuels attribués à la DGEC et à l’équipe de développement de la DGDPI sont expliqués dans la section précédente de ce rapport (3.1 Rôles et responsabilités).

Intégration et relancement

La vision à long terme du Ministère pour le PFPC est de continuer à intégrer de nouveaux volets de programme tout en maintenant les volets existants. Le niveau d’effort et de complexité pour le relancement était semblable à celui d’une première intégration en raison des changements majeurs requis et du manque de normalisation des données. Dans la situation actuelle (c’est-à-dire la conception du PFPC, les exigences opérationnelles des programmes, la capacité actuelle, etc.), la vision consistant à intégrer de nouveaux programmes tout en maintenant les programmes existants, risque de ne pas être viable.

Comme indiqué ci-dessus, la transition de Mon PCH en ligne a nécessité le passage à l’état opérationnel de toutes les activités du projet qui sont requises pour garantir l’atteinte continue des résultats souhaités du projet. Dans la mesure où le PFPC continue de fonctionner, l’équipe d’audit s’attendait à constater que les activités clés étaient maintenues au-delà de la durée de vie du projet, et qu’elles continuaient d’être menées de manière viable. L’équipe s’attendait également à ce que les capacités nécessaires pour soutenir le fonctionnement du PFPC soient évaluées, développées et maintenues, et que les besoins en financement soient comblés.

Les principales activités d’exécution et de gestion des opérations du PFPC consistent à intégrer et à relancer les programmes de PCH dans le portail. Le processus d’intégration comprend toutes les activités qui conduisent à la mise en œuvre initiale et à l’ajout d’un nouveau programme ou d’un nouveau volet de programme dans le portail, tandis que le relancement est le processus de réintroduction d’un volet de programme qui avait déjà été intégré. Ces deux activités essentielles sont considérées comme de fortes priorités pour la DGEC et la DGDPI, qui sont toutes deux responsables de leur réalisation. La DGEC gère la planification et la mobilisation de tous les intervenants touchés par le processus d’intégration et de relancement, ainsi que le calendrier, la stratégie de communication, les consultations nécessaires, les mises à l’essai et les approbations. La DGDPI s’occupe du développement technique du formulaire de demande qui sera téléchargé sur le portail, ainsi que de la correction des bogues. Au cours de la mission sur le terrain, des ressources clés de la DGEC et de la DGDPI ont fourni des explications détaillées sur le processus d’intégration. Le tableau ci-dessous présente un résumé des étapes particulières du processus et des activités gérées par chaque direction générale :

Lorsque les programmes de PCH sont intégrés au PFPC, le formulaire de demande reste en ligne pendant leur période annuelle de réception des demandes (voir la définition dans le glossaire). Une fois cette période clôturée, le formulaire n’est plus accessible au public jusqu’à la prochaine période de réception des demandes pour l’année suivante. Par conséquent, le programme doit être réintroduit dans le portail sur une base annuelle. L’intégration d’un nouveau programme dans le portail implique un certain niveau de complexité et une charge de travail importante. En revanche, le niveau d’effort pour le relancement peut être moindre en fonction des changements requis par le programme. En effet, le relancement d’un volet de programme peut simplement consister à télécharger à nouveau le formulaire de demande de l’année précédente sans aucun changement. Toutefois, pour la plupart des volets de programme relancés dans le PFPC au cours de l’exercice 2023-2024, il a été observé que le niveau de complexité et d’effort était semblable à celui d’une intégration initiale. Un total de douze volets de programme étaient prévus et priorisés pour être relancés au cours de cette année. Bien que ce calendrier soit en voie d’être respecté, des difficultés importantes ont eu lieu en raison des changements majeurs (exigences opérationnelles des programmes et amélioration du portail), de la complexité de l’intégration de ces changements et d’un manque de normalisation des données. Depuis la conception et mise en œuvre initiales du PFPC, l’approche a consisté à intégrer les volets de programme individuellement, de bout en bout. Par conséquent, l’exercice d’intégration est adapté à chacun des programmes et à leurs exigences opérationnelles respectives. Il a été observé que cette approche personnalisée a rendu l’exercice annuel de relancement plus complexe que prévu. De plus, les modifications apportées au formulaire de demande sont codées en dur directement dans le système. Par conséquent, la DGEC et la DGDPI ont dû déployer des efforts substantiels pour effectuer ces travaux prioritaires et veiller à ce que tous les volets soient relancés sur le portail pour leur période respective de réception des demandes. Lors des entrevues, les membres des programmes qui ont été relancés ont indiqué que leur formulaire de demande avait été remis en ligne à temps pour la période de réception des demandes. Toutefois, la plupart d’entre eux ont indiqué que le calendrier de relancement était serré, et qu’un certain nombre de modifications nécessaires n’ont pas pu être apportées. Les membres du personnel des programmes ont affirmé d’avoir besoin d’un délai supplémentaire pour identifier tous les changements requis dans le formulaire de demande avant son relancement. Le fait que le PFPC en soit encore à ses premiers stades d’évolution explique pourquoi des changements majeurs sont encore demandés par des programmes qui ont déjà été intégrés, ce qui entraîne un exercice de relancement aussi exigeant que l’intégration initiale. À mesure que le PFPC gagne en maturité, l’exercice annuel de relancement des programmes devrait être moins exigeant et prendre moins de temps. En outre, l’équipe du PFPC a indiqué son intention de modifier la stratégie actuelle d’intégration. Au lieu d’intégrer les programmes individuellement de bout en bout, la DGEC travaille en collaboration avec la DGDPI et le Cd’E pour créer des modules d’intégration qui permettront de normaliser les données et de faciliter les exercices d’intégration et de relancement à l’avenir. Cette approche devrait également permettre d’accroître les efficiences en capacité et de créer une meilleure normalisation entre les programmes.

La vision à long terme du Ministère pour le PFPC est de continuer à intégrer de nouveaux volets de programme tout en maintenant les volets existants. Durant la transition de Mon PCH en ligne vers les opérations courantes, chacune des directions générales clés (DGEC, DGDPI et Cd’E) qui étaient impliquées dans l’exécution des activités, a procédé à un exercice d’évaluation des capacités afin de déterminer les ressources (humaines et financières) requises pour les opérations régulières. Trois options de continuité des activités furent présentées à la gouvernance de PCH, y compris les besoins en financement et les estimations de capacité. Un financement annuel de 2,8 millions de dollars a été obtenu et est réparti entre la DGEC (environ 1,2 million de dollars), la DGDPI (environ 1 million de dollars) et le Cd’E (environ 600 000 $). Des réaffectations internes ont eu lieu dans chaque direction générale, et toutes les nouvelles fonctions liées au portail ont été confiées à des ressources existantes. L’équipe d’audit a constaté que la capacité actuelle (autant ressources humaines que financières) risque d’être insuffisante si elle doit maintenir le travail considérable résultant du relancement annuel des volets de programme tout en introduisant de nouveaux programmes dans le portail (intégration). Tout au long de la mission, il a été observé que les activités planifiées pour le PFPC sont menées par un petit nombre de personnes, et que le personnel opérationnel fonctionne actuellement en pleine capacité dans chacune des directions générales. L’incidence de cette lourde charge de travail a été continuellement signalée à l’équipe d’audit et pèse sur ces ressources limitées qui ont fourni, et continuent de fournir des efforts considérables pour remplir le mandat du PFPC. Compte tenu de la situation actuelle (conception du PFPC, stratégie d’intégration, relancement annuel, exigences opérationnelles des programmes, manque de normalisation des données, capacité actuelle, etc.), la vision consistant à intégrer de nouveaux programmes dans le PFPC tout en maintenant les programmes existants devrait être révisée, car elle risque de ne pas être viable.

Recommandation :

2. La sous-ministre adjointe, Langues officielles, patrimoine et régions, en collaboration avec le sous-ministre adjoint, Politiques stratégiques, planification et affaires ministérielles, devrait :
   1. revisiter la vision à long terme du Ministère afin de confirmer ou de réviser les attentes à l’égard du PFPC, en fonction des ressources disponibles;
   2. obtenir les ressources (Ressources humaines (RH) et financières) nécessaires à l’exécution du mandat défini pour le PFPC.

Soutien et maintenance

Un modèle de soutien bien structuré à quatre niveaux est en place pour recevoir et traiter les incidents soulevés par les utilisateurs externes. Les utilisateurs internes de PCH se tournent vers plusieurs autres moyens pour obtenir de l’aide. Bien que ces méthodes soient efficaces pour signaler les problèmes, les instructions et conseils pour les régler ne sont pas centralisés. Des activités de maintenance continue ont lieu pour garder le portail à jour et à la disposition des utilisateurs.

Les services de soutien et les activités de maintenance sont essentiels pour toute technologie introduite auprès des utilisateurs d’une organisation ou mise à la disposition de clients externes. Le soutien consiste à prendre des mesures au nom des utilisateurs pour qu’ils demeurent fonctionnels ou pour faciliter l’utilisation du système, tandis que la maintenance consiste à prendre des mesures pour améliorer ou mettre à niveau le système lui-même. À la suite de la mise en œuvre du PFPC, l’équipe d’audit s’attendait à constater qu’un modèle de soutien efficace avait été établi pour les utilisateurs externes et internes, et que les activités de maintenance étaient effectuées en temps opportun pour que le portail demeure opérationnel et à jour.

Comme indiqué précédemment dans ce rapport, tous les services techniques liés au PFPC ont été transférés à la DGDPI. Même si les services de conception et de développement de la solution offerts par le fournisseur externe ont pris fin avec le projet Mon PCH en ligne, la DGDPI a contracté des services de soutien continu auprès d’Eperformance dans le cadre du modèle de soutien opérationnel défini pour le PFPC au cours de la phase de transition. Ce modèle comprend quatre niveaux de soutien distincts, expliqués ci-dessous, selon le type et la complexité des problèmes ou des demandes d’aide :

• Au niveau 1, les clients externes (demandeurs) qui rencontrent des problèmes avec le portail peuvent demander de l’aide initiale à partir du Centre de service à la clientèle et de soutien au public situé à Winnipeg (1-866-Line). Ce centre vise à répondre aux demandes externes de renseignements ou de l’aide venant du public et concernant le Ministère, y compris les utilisateurs externes du PFPC. Dans ces cas, un agent de la ligne téléphonique crée/enregistre le problème dans un outil de suivi et utilise la Zone Numérique de la DGDPI pour transmettre le problème ou la demande d’aide aux personnes appropriées afin qu’il soit résolu aux niveaux suivants.
• Au niveau 2, les agents de programme (AP) et la DGDPI fournissent le soutien nécessaire en fonction de la demande. Si le problème est lié au programme (dossier de demande), les AP tenteront de le résoudre. Si la demande est de nature technique, elle est assignée au sein de la DGDPI pour être résolue par le groupe de soutien aux applications utilisées dans la prestation de services numériques.
• Au niveau 3, les problèmes liés aux programmes qui n’ont pas pu être résolus au niveau 2 sont transmis au Centre d’Excellence ou au Bureau d’aide des systèmes de S&C. De même, les problèmes techniques qui n’ont pas pu être réglés par le groupe de soutien aux applications de la DGDPI sont transmis au groupe des opérations infonuagiques de la DGDPI.
• Au niveau 4, les problèmes qui n’ont pas pu être résolus à l’interne par le Cd’E ou la DGDPI sont transmis à des fournisseurs externes (Eperformance et Microsoft) ou à des partenaires de PCH (Système, Applications et produits (SAP) et Services partagés Canada (SPC)) aux fins de soutien et de résolution. Toutes les demandes de soutien adressées à des fournisseurs externes sont coordonnées par la DGDPI, qui détient et gère leurs contrats de service.

Le modèle de soutien défini pour les opérations du PFPC est bien structuré pour traiter et régler les incidents ou les questions soulevés par les utilisateurs externes du portail. Bien que ce modèle à quatre niveaux fonctionne comme prévu, il a été conçu en mettant l’accent sur les utilisateurs externes. Les utilisateurs internes de PCH (par exemple, le personnel des programmes) qui rencontrent des problèmes avec le portail recourent à plusieurs autres moyens pour obtenir de l’aide en cas de besoin. En effet, un certain nombre de mécanismes (forums, canaux, sondages, etc.) ont été créés par la DGEC pour permettre aux utilisateurs internes de signaler les éventuels problèmes, bogues ou erreurs rencontrés. De plus, la Zone Numérique de la DGDPI reste à la disposition des membres du personnel de PCH qui rencontrent des problèmes techniques avec le PFPC. Dans un sondage mené par l’équipe d’audit, 19 parmi 27 agents de programme (70 %) ont indiqué qu’ils ouvraient un billet dans l’espace de travail numérique lorsqu’ils avaient besoin d’aide avec le PFPC, et 6 sur 27 ont indiqué qu’ils communiquaient directement avec le Cd’E. Il a été constaté que lorsqu’il s’agit de signaler des problèmes à la DGEC, à la DGDPI ou au Cd’E, ces méthodes actuelles de soutien interne sont efficaces et peuvent conduire à une résolution ultérieure au cas par cas. Cependant, les instructions, les conseils ou les solutions sont souvent dispersés dans ces différents modes de soutien, ce qui peut créer une certaine confusion ou des difficultés lorsque les utilisateurs cherchent des réponses ou tentent de s’aider eux-mêmes. L’équipe d’audit n’a pas trouvé de procédures opérationnelles normalisées détaillant la manière de traiter les incidents/scénarios ou un répertoire centralisé d’instructions/de conseils auquel les utilisateurs internes peuvent se référer pour obtenir des réponses. Dans la section 3.3 du présent rapport (Gestion du changement), de plus amples renseignements sont fournis au sujet des mécanismes mis en œuvre par la DGEC pour la collecte de rétroaction, et au sujet du sondage interne mené par l’équipe d’audit au cours de la mission.

En ce qui concerne la maintenance du système, l’équipe a recueilli des éléments probants concernant des activités de maintenance continue qui permettent d’améliorer les services du PFPC et de les maintenir à la disposition des utilisateurs internes et externes. En plus du processus de relancement, les programmes disposent de plusieurs mécanismes (expliqués ci-dessous à la section 3.3) pour signaler les bogues du portail à la DGEC ou soulever des erreurs du système qui devraient être résolues par la maintenance. Chaque période de maintenance est suivie du déploiement d’une nouvelle version du système incluant des notes qui consignent tous les changements (réparations, mises à jour, mises à niveau, ajouts, etc.) apportés au système pendant la phase de maintenance. Pendant les périodes de maintenance, un message standard est communiqué à tous les utilisateurs du PFPC pour les informer que le portail est temporairement non disponible.

Recommandation :

3. Le directeur général de la Direction générale de l’expérience client, en collaboration avec la directrice du Centre d’Excellence, devrait s’assurer qu’un répertoire unique et facilement accessible soit créé pour les utilisateurs internes du PFPC/de la GRC afin de fournir des orientations et des instructions normalisées qui facilitent l’utilisation du portail.

3.3 Gestion du changement

Service axé sur le client et amélioration continue

Le PFPC a été conçu, et continue d’évoluer, en fonction du point de vue des clients ou des utilisateurs. Les changements et améliorations qui sont apportées au portail et à la GRC découlent de l’identification des exigences opérationnelles, de la mise en œuvre des récits d’utilisateur, et les actions prises pour répondre aux bogues et commentaires mentionnés par les utilisateurs internes. L’une des priorités de la DGEC est de faciliter et d’améliorer l’expérience des utilisateurs internes.

Le modèle de prestation de services axé sur le client est une stratégie organisationnelle qui vise à offrir la meilleure expérience possible au client et, par la même occasion, accroître la satisfaction de l’utilisateur. Le service axé sur le client est conçu de façon à améliorer la prestation dudit service en plaçant le client au centre des décisions et des activités de l’organisation afin de répondre à ses besoins et lui offrir une expérience positive tout au long du processus. Dans le cas d’un nouveau système en ligne comme le PFPC, l’approche axée sur le client permet au Ministère d’offrir une expérience numérique aux organisations externes tout en veillant à améliorer la prestation des programmes en fonction du point de vue des utilisateurs internes. L’équipe d’audit s’attendait à constater que les attentes, les besoins et les expériences des utilisateurs sont collectés et pris en compte pour l’amélioration continue des services offerts dans le cadre des opérations du PFPC.

L’un des principaux objectifs du nouveau Portail de financement de Patrimoine canadien est d’offrir une expérience accessible, adaptée et uniforme aux clients (c’est-à-dire les Canadiens, les organisations externes et autres). Pour atteindre cet objectif, l’équipe chargée du portail continue de prioriser le relancement annuel des volets de programmes déjà intégrés dans le PFPC, et de promouvoir l’intégration de nouveaux programmes. Comme expliqué dans le tableau 1 ci-dessus, le processus d’intégration et de relancement s’appuie sur l’identification des exigences opérationnelles au niveau des programmes et la mise en œuvre des récits d’utilisateur durant les périodes de sprint. L’équipe d’audit a constaté que la plupart des changements et améliorations qui sont apportés au portail découlent des exigences, attentes et besoins des programmes ainsi que de la rétroaction recueillie par la DGEC. Lorsque ces exigences sont mises en œuvre dans le portail au moyen des récits d’utilisateurs, les employés de programmes sont chargés de vérifier si ses exigences opérationnelles ont été remplies durant la phase d’essai d’acceptation par l’utilisateur (EAU). Ensuite, les programmes confirment l’atteinte des exigences ou soulèvent les enjeux possibles sous forme de bogues qui doivent être corrigés par l’équipe du portail avant la mise en ligne du formulaire de demande. Une fois que les bogues prioritaires sont corrigés, une dernière présentation est offerte au personnel de programmes, incluant une démonstration du formulaire de demande ainsi que des détails sur les items en suspens qui n’ont pas pu être mis en œuvre. Des éléments probants recueillis durant l’audit ont confirmé que tous les changements et améliorations apportés au formulaire de demande sont approuvés, suivis et signés par le directeur de programme et la directrice principale de la DGEC. De plus, la DGEC a mis en place un processus de changement afin d’assurer que tout changement apporté pour ou par le PFPC est accepté par les parties prenantes qui pourraient être touchées par le changement. Au cours de ce processus, les principaux intervenants touchés sont invités à examiner l’incidence du changement à venir sur leurs activités. Ce processus est en place depuis la mise en œuvre de Mon PCH en ligne. Malgré cela, une lacune a été constaté au cours des récents processus de changement car l’acceptation du Centre d’Excellence n’a pas été obtenu. Comme mentionné à l’étape 2 du tableau 1, le groupe Services-conseils et politique du Centre d’Excellence est consulté lors de l’élaboration du formulaire de demande. Cependant, depuis la transition vers les opérations courantes, les derniers tours d’approbation n’incluaient pas l’acceptation du Centre d’Excellence. Cette lacune a été identifiée par la DGEC et sera corrigée dans les futurs processus de changement.

Même si l’engagement et la consultation avec les programmes est constant durant le processus d’intégration et de relancement, le portail a été élaboré en mettant l’emphase sur le service offert au client à l’externe. Par conséquent, la mise en œuvre du portail était principalement axée sur l’amélioration de l’expérience des clients externes. Depuis la mise en service initiale du portail en 2021, une question sur le niveau de satisfaction à l’égard de l’expérience du portail est posée à la fin de chaque demande soumise pour obtenir la rétroaction des utilisateurs externes. Selon le rapport de clôture du projet Mon PCH en ligne, plus de 82 % des demandeurs ont déclaré être satisfaits ou très satisfaits de leur expérience d’utilisation du portail. Afin d’obtenir le point de vue des utilisateurs internes, l’équipe d’audit a réalisé un sondage à l’interne qui ciblait les utilisateurs du PFPC au niveau des programmes. Le sondage a été distribué au personnel des 16 volets de programmes qui étaient déjà intégrés au portail en juin 2023. Sur un total de 132 agents de programme, 48 ont répondu au sondage, ce qui représente un taux de participation de 37 % (il convient de noter que certains répondants n’ont pas répondu à toutes les questions). Lorsqu’on a demandé aux répondants d’évaluer leur niveau global de satisfaction à l’égard du PFPC, 39 % (18 sur 46) ont indiqué qu’ils étaient très satisfaits ou assez satisfaits, alors que 45 % (21 sur 46) ont indiqué qu’ils étaient assez insatisfaits ou très insatisfaits. En outre, on a demandé aux répondants d’évaluer leur nouvelle méthode de travail à l’aide du PFPC, comparé à l’ancienne façon de travailler avant la mise en service du portail. À cette question, 20 % des répondants (10 sur 48) ont indiqué que le PFPC avait eu une incidence très positive ou assez positive sur leur travail, alors que 50 % (24 sur 48) ont indiqué que le PFPC avait eu une incidence assez négative ou très négative sur leur travail. Plusieurs commentaires ont été recueillis dans le cadre du sondage et, dans la plupart d’entre eux, les agents de programme ont indiqué que leur insatisfaction était liée à la tâche de synchronisation des clients (voir la section 3.5 pour plus de détails).

Il convient de souligner que cet audit a débuté dans la même période que la nouvelle Direction générale de l’expérience client a été créée. À partir des premières discussions, la DGEC avait déjà reconnu la nécessité de mettre l’accent sur l’amélioration de l’expérience des utilisateurs internes, et ce point a été désigné comme prioritaire dans le rapport de clôture de Mon PCH en ligne. Tout au long de l’audit, on a constaté que plusieurs des difficultés soulevées par le personnel des programmes étaient déjà abordées par la DGEC, en collaboration avec la DGDPI et le Centre d’Excellence. En effet, dans le but d’identifier et de régler ces problèmes ou tout autre préoccupation possible, la DGEC a mis en place un certain nombre de mécanismes permettant aux utilisateurs de PCH de faire part de leur expérience et de leurs commentaires. L’équipe d’audit a constaté la mise en place d’un Forum de soutien où les programmes sont invités et encouragés à faire part de leur expérience et discuter des enjeux rencontrés dans l’utilisation du portail et de la plateforme de GRC. Les réunions du Forum incluent la DGDPI et le Centre d’Excellence, et se tiennent chaque semaine ou plus souvent au besoin. Par ailleurs, la DGEC réalise un sondage semestriel auprès des utilisateurs internes du PFPC dans le but de recueillir et d’analyser les commentaires de divers utilisateurs internes (c.-à-d. les agents de programmes, la DGDPI, la DGDPF, le Centre de renseignements aux clients et les DGR). Ce sondage a été lancé pour la première fois le 20 mars 2023, et la deuxième édition a été distribuée le 13 décembre 2023. L’équipe d’audit a constaté que la rétroaction des utilisateurs internes, collectée au moyen de tous ces mécanismes, est enregistrée dans l’arriéré du portail et abordée en fonction d’un ordre de priorité à trois niveaux. Dans le sondage mené dans le cadre de l’audit, 62 % des répondants ont indiqué que, lorsqu’ils soulèvent des problèmes ou fournissent des commentaires, les équipes responsables de la gestion du PFPC répondent entièrement ou partiellement à ces enjeux.

Dans l’ensemble, on a constaté que la Direction générale de l’expérience client a adopté un modèle de prestation de services axé sur le client, qui met l’accent sur l’écoute attentive des utilisateurs du portail/de la GRC, et qui se concentre sur l’expérience des utilisateurs et leurs commentaires pour apporter des améliorations continues. Pendant que la DGEC déploie des efforts pour améliorer la satisfaction des utilisateurs internes, le personnel des programmes continue d’apprendre à se familiariser et à s’adapter à l’utilisation de ce nouvel outil d’interface client.

Recommandation :

4. Le directeur général de la Direction générale de l’expérience client devrait veiller à ce que les changements liés aux processus opérationnels qui sont apportés au PFPC soient acceptés par le Centre d’Excellence afin d’assurer le respect intégral de la Politique sur les paiements de transfert.

Communication et mobilisation des intervenants

Par l’entremise de divers canaux, réseaux et comités, la DGEC informe, consulte et/ou mobilise les intervenants clés (DGDPI, Cd’E, programmes). D’autres intervenants qui sont impliqués dans les opérations du PFPC sont également consultés de façon continue. Même si plusieurs groupes et forums sont tenus informés, la communication des activités en cours, des changements importants et des mises à jour n’était pas faite à l’échelle du Ministère.

La communication et la sensibilisation sont des éléments essentiels qui permettent d’atteindre les cibles souhaitées et d’obtenir de meilleurs résultats dans tout projet, activité ou opération d’une organisation. Il est important d’établir une communication collaborative et efficace, car celle-ci contribue à améliorer le moral, la motivation, la productivité et la satisfaction des employés. Grâce aux communications internes et externes, les renseignements pertinents sont transmis aux bonnes personnes et chaque individu comprend mieux son rôle. Avec l’introduction du nouveau canal en ligne du PFPC et la transition récente de l’état de projet vers les opérations courantes, l’équipe d’audit s’attendait à constater que des plans de communication étaient bien définis et continuent d’être appliqués afin de garantir que les intervenants concernés soient mobilisés, et que tous les membres du personnel de PCH, y compris les utilisateurs internes et externes du portail, soient tenus informés des changements importants, des mises à jour, des décisions et activités se rapportant au PFPC.

À partir du développement du PFPC jusqu’au stade présent des opérations courantes, les équipes responsables de la gestion du portail ont adopté une approche agile pour la gestion et l’exécution des opérations. Dans le cadre de cet environnement agile, des stratégies de communication et de mobilisation ont été mises en œuvre par la DGEC dans le but de consulter et d’informer de façon continue les divers groupes, équipes de gestion et forums ministériels sur les activités du PFPC, la résolution des problèmes et l’état d’avancement des améliorations et changements mis en place. Une liste des intervenants a été clairement établie par la DGEC, incluant les demandeurs de S&C (utilisateurs externes), les programmes de PCH (utilisateurs internes), le Centre d’Excellence, la DGDPI, la DGDPF, des forums ministériels (directeurs généraux, directeurs et gestionnaires de programme), des comités ministériels (CSP, CCC, COMEX, CMA), le réseau des ambassadeurs du changement, le Bureau de l’accessibilité, etc. La plupart des intervenants et des utilisateurs internes du portail/de la GRC qui ont été rencontrés au cours des entretiens d’audit ont indiqué qu’ils étaient consultés ou informés régulièrement sur les activités du portail susceptibles d’avoir une incidence sur leur travail. En effet, l’équipe d’audit a retrouvé plusieurs canaux et forums utilisés pour transmettre de l’information pertinente aux utilisateurs internes et recueillir leurs commentaires. Comme on l’a mentionné dans la section précédente, le Forum de soutien est une plateforme qui permet à la DGEC, à la DGDPI, au Centre d’Excellence et aux programmes de communiquer entre eux de façon régulière et coopérative. Plusieurs canaux MS Teams comme le canal d’Annonces, le canal d’Alertes, le canal d’Aide et le canal sur la Synchronisation des clients (qui sert à soutenir le personnel des programmes sur les problèmes de synchronisation en particulier) ont été créés dans le but d’assurer une communication étroite entre les intervenants, de recueillir les commentaires des utilisateurs et d’améliorer l’expérience des utilisateurs internes. De plus, chaque fois qu’un nouveau volet de programme est intégré au portail, la DGEC organise une séance officielle de rétrospection au cours de laquelle le nouveau programme et tous les autres programmes intégrés auparavant, sont invités. Lors de ces séances de rétrospection, les programmes et d’autres intervenants (comme la DGDPI, le Cd’E, les Communications et autres) sont encouragés à partager leur rétroaction concernant l’ensemble du processus d’intégration ainsi que les leçons apprises (réussites et échecs). Les commentaires et les enjeux soulevés pendant les séances sont pris en compte dans les futurs travaux d’amélioration du portail. Une fois que le formulaire de demande est mis en ligne, il faut attendre le prochain relancement annuel du programme pour apporter les changements proposés par les intervenants.

Même si la plupart des intervenants sont mobilisés de façon continue, on a constaté que le groupe consultatif sur la gestion de l’information de PCH (qui fait partie de la DGDPI) a juste été consulté pendant la phase de développement du PFPC, et n’a pas été consulté depuis la transition vers les opérations courantes.

Bien que plusieurs mécanismes soient en place pour consulter et mobiliser les principaux intervenants, les groupes et forums de gestion, l’équipe d’audit a constaté que la communication des activités en cours, des changements importants et des mises à jour n’était pas faite à l’échelle du Ministère. Par exemple, jusqu’à la fin des travaux d’audit, la création de la Direction générale de l’expérience client ainsi que ses objectifs, sa vision et ses responsabilités n’ont pas été communiqués officiellement à l’ensemble du Ministère. Les personnes qui sont touchées directement par la mise en place du portail reçoivent de l’information à cet égard grâce au contact direct avec les équipes responsables du PFPC ou grâce à leur participation à des réseaux et à des comités connexes. Des présentations sont offertes aux comités ministériels afin d’informer la haute direction de PCH de la vision et des activités de la DGEC, ce qui comprend les activités liées au PFPC. Mais aucune communication ou mise à jour régulière n’a pu être retrouvée dans l’intranet ou Nouvelles@PCH. L’absence de communications diffusées plus largement, à l’échelle du Ministère, sur cette phase du parcours de modernisation pourrait limiter la compréhension et le soutien pouvant appuyer la valeur et les besoins de cette initiative à l’échelle du Ministère. Au cours de l’étape de production du rapport de la mission d’audit, l’équipe a été informée qu’une page sur la DGEC venait d’être publiée sur l’intranet et qu’un site SharePoint est en voie d’être accessible à l’ensemble du Ministère. Ces pages Web internes serviront à communiquer les objectifs et les activités de la direction générale, y compris ceux liés au PFPC.

Recommandation :

5. Le directeur général de la Direction générale de l’expérience client devrait s’assurer que les changements organisationnels, les mises à jour et les activités se rapportant au PFPC soient communiqués officiellement à l’ensemble du Ministère (p. ex. au moyen d’une page intranet, Nouvelles@PCH, site SharePoint, etc.).

Formation

La formation est disponible et continue d’être offerte à l’ensemble des utilisateurs du PFPC.

La formation est un autre élément essentiel qui permet d’améliorer l’expérience des utilisateurs de tout nouveau système. En offrant la formation nécessaire sur le PFPC, le Ministère permet à son personnel qui utilise le portail pour le traitement des subventions et des contributions ou au personnel responsable de l’élaboration, de la maintenance et du soutien du PFPC, d’acquérir les connaissances et les compétences nécessaires pour accomplir leur travail. L’équipe d’audit s’attendait à constater que des activités de formation pertinentes et appropriées étaient accessibles et offertes en temps opportun aux différents groupes d’utilisateurs du PFPC.

Le PFPC est utilisé par différents groupes d’utilisateurs, et l’utilisation qu’ils en font dépend de leur rôle ou de leur fonction au sein du Ministère. L’examen des documents fournis par la DGEC a permis à l’équipe d’audit de déterminer deux types d’utilisateurs internes pour qui la formation était la plus nécessaire. L’un de ces types d’utilisateurs, qui est le principal utilisateur interne du PFPC, est le personnel de programmes et l’autre type d’utilisateur inclut le personnel du Ministère responsable d’offrir du soutien relativement au portail et de l’améliorer (par exemple le personnel de soutien de la DGDPI ou du Centre d’Excellence). L’équipe d’audit a constaté que des activités de formation pertinentes et appropriées étaient accessibles et qu’elles étaient offertes aux différents groupes d’utilisateurs du PFPC. La formation pour le personnel de programmes est offerte par le Centre d’Excellence; la formation pour l’équipe responsable du développement technique (de la DGDPI) est offerte par le fournisseur externe Eperformance; et des instructions sont fournies au personnel du Centre d’appel par la DGEC. Depuis la mise en service du PFPC, le matériel de formation et les directives sur comment utiliser le portail ou la plateforme de GRC ont été mis à la disposition du personnel des programmes. Avant que de nouveaux accès au portail soient accordés, des séances de formation obligatoires sont fournies aux agents de programmes au cours de la période d’intégration, et des séances de mise à niveau sont offertes, au besoin, après l’intégration ou au cours de la période de relancement. Dans le sondage mené dans le cadre de l’audit, on a demandé aux agents de programme s’ils avaient reçu une formation officielle sur la façon d’utiliser le PFPC, et 82 % des répondants (41 sur 50) ont répondu ‘Oui’. De plus, 82 % des répondants ont indiqué que la formation reçue était modérément ou très utile, 70 % ont indiqué que la formation a été offerte à une période qui était modérément ou très opportune, et 67 % des répondants ont indiqué que, dans l’ensemble, ils étaient très ou assez satisfaits de la formation reçue.

En ce qui concerne le personnel du Ministère responsable d’offrir du soutien relativement au portail et de l’améliorer, l’équipe d’audit a recueilli des éléments probants qui confirment que des activités de formation continue sont fournies à ces ressources pour leur permettre d’acquérir les connaissances et les compétences nécessaires à l’exercice de leurs fonctions respectives. Comme expliqué dans la section 3.2 du présent rapport, la nouvelle équipe de développement de la DGDPI poursuit son apprentissage auprès du fournisseur externe Eperformance. Les séances d’apprentissage offertes par le fournisseur sont enregistrées et demeurent accessibles pour utilisation ultérieure. Le Centre de service à la clientèle et de soutien au public, qui est situé à Winnipeg, a reçu des directives sur la façon de créer ou de fermer un billet pour les demandes de clients externes. Des instructions ont aussi été fournies aux clients externes (c’est-à-dire les demandeurs) pour savoir comment créer un compte ou se connecter au portail, comment récupérer un compte au besoin, ou comment faire pour demander de l’aide au besoin.

3.4 Environnement de contrôle

Mise en œuvre, évaluation et surveillance des contrôles

Un ensemble de contrôles de sécurité de base a été sélectionné pour être mis en œuvre dans le cadre des opérations du PFPC. Une évaluation de la sécurité a été réalisée en 2021 par l’équipe de sécurité des TI de PCH afin de vérifier la mise en œuvre de ces contrôles. Les éléments probants à l’appui de la mise en œuvre et de l’évaluation des contrôles de sécurité n’étaient pas consignés systématiquement, et l’efficacité opérationnelle des contrôles n’a pas été vérifiée.

En ayant recours à des services TI fondés sur l’infonuagique, le gouvernement du Canada renonce au contrôle direct sur plusieurs aspects de la sécurité et de la vie privée et, ce faisant, confère un niveau de confiance envers le fournisseur de services infonuagiques (FSI). Cependant, les ministères et les organismes du gouvernement du Canada qui utilisent les services infonuagiques demeurent responsables des renseignements hébergés par le FSI, et doivent gérer les risques liés à la sécurité des TI en sélectionnant les contrôles de sécurité appropriés qui doivent être mis en œuvre, évalués et surveillés de manière continue. Cette procédure de sécurité vise à assurer la protection du service infonuagique du gouvernement du Canada, et à obtenir/maintenir l’autorisation d’opérer. En ce qui concerne la mise en œuvre du service infonuagique du PFPC, PCH est responsable de veiller à ce que ces exigences de sécurité soient rempliées. L’équipe d’audit s’attendait à constater que les contrôles de sécurité et de protection de la vie privée pour les opérations du PFPC étaient mis en œuvre, évalués (y compris des tests), consignés et surveillés.

Le Portail de financement de Patrimoine canadien est un service infonuagique hébergé par le FSI Microsoft. Le contrat de service entre PCH et Microsoft a été établi conformément aux accords-cadres infonuagiques du gouvernement du Canada négociés par Services partagés Canada (SPC). En raison de la nature partagée de l’information en nuage, chaque partie (PCH et Microsoft) est responsable de la mise en œuvre et du maintien de contrôles de sécurité qui garantissent un environnement infonuagique sécuritaire et adapté pour les opérations et les activités du PFPC. Dans le cadre de cet audit, l’ensemble de l’environnement de contrôle établi et géré par PCH a été examiné. Il convient de souligner que les contrôles de sécurité gérés par Microsoft n’ont pas été pris en compte dans cet examen.

Un ensemble de contrôles de sécurité de base a été sélectionnés à partir du Profil des contrôles de sécurité PBMM de l’infonuagique du GC recommandés par le Centre canadien pour la cybersécurité (CCC), et un sous-ensemble de contrôles a été sélectionné à partir des Mesures de protection du nuage du gouvernement du Canada. La mise en œuvre de ces contrôles a été confiée à l’équipe responsable de l’élaboration du portail durant le projet Mon PCH en ligne. Afin d’évaluer la mise en œuvre de ces contrôles, l’équipe de sécurité des TI de PCH a effectué un exercice d’évaluation de la sécurité en 2021, aboutissant à une recommandation d’opérer le portail avec une autorisation provisoire. La plateforme Azure DevOps de Microsoft a été utilisée par l’équipe du PFPC afin de consigner les contrôles de sécurité applicables au portail et à la plateforme de GRC, et de sauvegarder les éléments probants pouvant démontrer l’évaluation de chaque contrôle pour s’assurer qu’ils ont été mis en œuvre de manière efficace. L’équipe d’audit a examiné l’exercice d’évaluation de la sécurité et a constaté que les preuves à l’appui de la mise en œuvre et de la vérification des contrôles n’avaient pas été consignées systématiquement. Ainsi, l’équipe a demandé à la DGDPI de tenir des séances en direct afin d’obtenir une démonstration de la mise en œuvre des contrôles. À partir d’une population de 180 contrôles, une méthode d’échantillonnage discrétionnaire a été utilisée pour sélectionner 37 contrôles (soit 20 %) en lien avec l’identification et l’authentification, les restrictions d’accès, la sauvegarde et les pistes de vérification, la cybersécurité, la maintenance et la gestion de l’information. Au cours des séances en direct, les réglages et les paramètres de configuration de 29 contrôles (79 % de l’échantillon) ont été démontrés avec preuves à l’appui et leur mise en place a été confirmée. Six contrôles (16 % de l’échantillon), tous liés à la surveillance de la sécurité, n’avaient pas été mis en œuvre. Les deux contrôles restants (5 % de l’échantillon) n’ont pas pu être vérifiés parce qu’ils sont gérés conformément à l’accord établi entre Microsoft et SPC. Des procédures d’audit n’ont pas été réalisées sur les contrôles gérés par les parties externes (ceux-ci sont considérés hors de la portée de l’audit). Le tableau figurant à l’annexe C, à la fin du présent rapport, présente la liste complète des 37 contrôles qui faisaient partie de l’échantillon ainsi que des détails supplémentaires sur l’examen effectué dans le cadre de l’audit.

L’évaluation de la sécurité effectuée par l’équipe de sécurité des TI de PCH visait uniquement à vérifier la présence de contrôles et ne prévoyait pas la mise à l’essai des contrôles. Par conséquent, l’efficacité opérationnelle des contrôles n’a pas été vérifiée. Il convient de souligner que l’évaluation de la sécurité a été complétée avec la production d’un ‘Plan d’action et des jalons’, qui incluait une recommandation de procéder à des tests de sécurité avec une date cible initiale d’avril 2022. Il y’avait également la recommandation de continuer à opérer le portail avec une autorisation provisoire jusqu’à ce que tous les items du ‘Plan d’action et des jalons’ soient complétés. À ce jour, le portail fonctionne encore avec une autorisation provisoire d’opérer puisque les tests de sécurité n’ont pas encore été réalisés en totalité. La mise à l’essai des contrôles de sécurité et de protection de la vie privée permettrait d’accroître la certitude qu’ils ont été mis en œuvre de manière efficace pour assurer la protection des opérations du PFPC. De plus, la mise à l’essai des contrôles devrait être consignée de façon claire car cela pourrait servir à prouver que les contrôles fonctionnent comme prévu, et faciliter la surveillance continue des contrôles pour les améliorer au besoin.

En adoptant une approche agile, l’équipe d’audit a consulté l’équipe de sécurité des TI tout au long de la mission et a soulevé les lacunes liées aux essais et à la consignation des contrôles. À la suite de ces discussions, on a constaté que des actions étaient en cours pour effectuer des tests de sécurité en totalité, et améliorer l’évaluation et la consignation des contrôles mis en œuvre. En effet, le personnel de la DGDPI travaille actuellement à entrer dans DevOps des renseignements supplémentaires concernant les contrôles mis en œuvre, et un consultant en sécurité a été engagé récemment pour effectuer des tests d’intrusion sur les contrôles de sécurité.

L’équipe d’audit a noté que la surveillance de la sécurité par PCH n’inclut pas des mesures permettant de détecter automatiquement les possibles attaques ou l’utilisation non autorisée des composantes infonuagiques du PFPC (le portail et la plateforme GRC). Cependant, des journaux de vérification sont capturés automatiquement pour permettre de surveiller les activités des utilisateurs et sauvegarder les événements relatifs à la sécurité. Même si ces journaux sont conservés pendant une période de 90 jours, la DGDPI a informé l’équipe d’audit que ceux-ci sont examinés seulement lorsque des incidents sont signalés à l’interne. Cette méthode d’examen déclenché par un incident peut entraîner un retard dans la détection de possibles actes malveillants ou de l’utilisation non autorisée du portail. Un examen régulier et planifié des journaux de vérification permettrait d’améliorer la surveillance de la sécurité et d’accroître la conformité à la réglementation.

Recommandation :

6. La dirigeante principale de l’information devrait s’assurer que les tests de sécurité requis soient réalisés en totalité afin de vérifier l’efficacité opérationnelle des contrôles mis en place pour protéger le PFPC.
7. La dirigeante principale de l’information devrait s’assurer que l’évaluation des contrôles de sécurité (y compris tout exercice de tests) soit consignée systématiquement, et à ce que les journaux de vérification soient examinés régulièrement.

3.5 Gestion de l’information

Sécurité et confidentialité des renseignements

Le niveau de classification des informations téléversées dans le portail a été défini jusqu’au niveau Protégé B. Des évaluations de la protection de la vie privée ont été effectuées en consultation avec la Direction générale de l’AIPRP afin de garantir la bonne utilisation des informations personnelles recueillies. Un avis de confidentialité informe les demandeurs que leurs renseignements seront conservés pendant une période de six ans, mais les procédures de conservation et d’élimination ne sont pas encore établies ni documentées.

Les ministères fédéraux sont tenus d’attribuer une catégorie de sécurité et de déterminer la criticité et la nature délicate de tous les renseignements reçus de citoyens ou d’organisations du Canada (y compris les documents éphémères) et utilisés pour soutenir les programmes, les services et les activités du gouvernement. En outre, les renseignements personnels placés sous le contrôle des institutions gouvernementales doivent être gérés et protégés efficacement par l’identification, l’évaluation, la surveillance et l’atténuation des risques en matière de protection de la vie privée. À ce titre, la collecte, l’utilisation, la divulgation, la conservation et l’élimination des renseignements personnels dans le PFPC doivent se faire conformément à la Loi sur la protection des renseignements personnels, à la Politique sur la protection de la vie privée, et à la Politique sur la sécurité du gouvernement. L’équipe d’audit s’attendait à constater que les exigences en matière de sécurité et de respect de la vie privée pour les renseignements se trouvant dans le portail sont établies et respectées.

Le PFPC a été conçu comme un outil transitoire permettant aux organisations externes de soumettre leurs demandes de S&C au Ministère. Lorsque les demandes sont soumises au moyen du portail, les informations sont d’abord stockées dans la plateforme de gestion de la relation-client (GRC), puis transférées dans le SGISC, qui est le référentiel officiel en matière des dossiers de S&C à PCH. Durant le développement du portail, un examen a été effectué pour établir l’Énoncé de sensibilité (ES) du portail, et le niveau de classification des renseignements a été défini au niveau Protégé B compte tenu des types d’informations qui se retrouvent dans certaines demandes (p. ex. données financières, documents légaux, dossiers médicaux, caractéristiques personnelles, etc.). En parallèle, une Évaluation des facteurs relatifs à la vie privée (EFVP) a été menée en cours de développement, ce qui a donné lieu à l’élaboration d’un plan d’action sur l’EFVP et à des réponses de la part de la direction pour traiter quelques risques liés à la protection de la vie privée concernant les avis de confidentialité, les mesures de protection, l’utilisation et la divulgation des renseignements personnels, etc. L’équipe d’audit a constaté les consultations et la participation constantes de la Direction générale de l’AIPRP, qui est le représentant ministériel a qui les responsabilités en matière d’EFVP ont été déléguées, comme l’exige la Directive sur l’évaluation des facteurs relatifs à la vie privée (points 6.2 et 6.3). Pour chaque programme intégré dans le PFPC, il y a des séries de consultations entre l’équipe de l’AIPRP et le programme pour définir les types de renseignements qui seront recueillis au moyen du portail, examiner les conditions d’utilisation ou de divulgation des renseignements personnels, et remplir une liste de vérification des risques liés à la vie privée. L’EFVP qui a été réalisée pour le PFPC comprenait l’établissement d’un avis de confidentialité officiel indiquant que la collecte et l’utilisation de renseignements personnels sont autorisées par la Loi sur le ministère du Patrimoine canadien et sont effectuées conformément à la Loi sur la protection des renseignements personnels. Cet avis de confidentialité est affiché sur la page Web du portail accessible aux clients, et informe les demandeurs que leurs renseignements seront communiqués à la direction responsable du programme pour lequel ils ont présenté une demande, et que ces données seront conservées pendant une période de six ans suivant leur dernière utilisation. Malgré ce délai de conservation communiqué aux demandeurs, aucune preuve de l’existence de procédures documentées en matière de conservation et d’élimination n’a pu être trouvée.

Lors des examens de la documentation pertinente relative à l’EFVP et à l’ES, on a constaté que les deux exercices ont été approuvés par les principaux intervenants responsables de la gestion du portail. Même si les informations recueillies par le biais du portail (c’est-à-dire les demandes de financement et les documents à l’appui) sont utilisées par les programmes, les responsables de programmes rencontrés au cours de l’audit ont indiqué qu’ils se fient principalement à l’équipe du portail pour la mise en place des contrôles requis en matière de protection de la vie privée et de sécurité des renseignements (comme expliqué à la section 3.1). L’examen d’audit de l’échantillon de 37 contrôles comprenait des contrôles de protection des renseignements personnels et de sécurité qui ont été démontrés dans deux catégories de contrôle (cybersécurité et gestion de l’information - voir l’annexe C pour plus de détails).

Gestion des données

Il y’a un manque d’intégration automatique des données entre la plateforme GRC et le SGISC. La plupart des transferts d’information sur les clients/les demandes sont effectués manuellement, ce qui crée des problèmes importants. Le modèle de responsabilité établi pour le PFPC permet d’avoir plusieurs duplicatas dans le système, ce qui augmente la charge de travail relative à l’assurance qualité pendant la tâche de synchronisation des clients.

L’interopérabilité désigne la mesure dans laquelle les logiciels, les appareils, les applications ou d’autres systèmes organisationnels peuvent être interconnectés et échanger des informations en temps réel, de manière coordonnée et intégrée, avec un minimum d’intervention humaine. Du point de vue de la gestion des données, l’interopérabilité des données permet aux organisations de recueillir des informations avec précision et d’assurer leur flux efficace sans redondance. À PCH, le traitement d’une demande de subvention ou de contribution fait intervenir divers systèmes qui doivent communiquer entre eux, incluant le PFPC et la plateforme de GRC. L’équipe d’audit s’attendait à ce que les données du PFPC soient gérées de manière à permettre l’interopérabilité, à diminuer les redondances et éviter la duplication.

Présentement, le Ministère retient plusieurs dossiers de S&C pour un même client dans différents systèmes, ce qui rend difficile la consolidation et la compréhension de l’historique complet de financement du client et à l’établissement de rapports connexes. Le PFPC, qui est l’un de ces systèmes, a été mis en œuvre en suivant un modèle de responsabilité qui requiert que la vérification et l’assurance qualité des données soient effectuées par le personnel des programmes à partir du référentiel faisant autorité, soit le SGISC. Au cours du projet Mon PCH en ligne, le Ministère avait décidé qu’il n’y aurait pas de validation des renseignements sur les clients et les demandes à partir du portail. L’exactitude et la validité des renseignements fournis par les demandeurs sont plutôt vérifiées pendant et après le processus de transfert des données de la plateforme de GRC vers le SGISC. Ce processus fait appel à un exercice appelé « tâche de synchronisation des clients » durant lequel tous les renseignements relatifs à la demande et au client externe sont transférés de la GRC au SGISC par le personnel des programmes avec l’appui du Cd’E. Initialement, la responsabilité d’effectuer la tâche de synchronisation avait été confiée au Cd’E, puis elle a été déléguée aux programmes. Tout au long de l’audit, on a constaté que cette tâche constituait l’un des principaux défis du PFPC en raison de sa complexité, du manque d’intégration automatique des données, et de la charge de travail considérable qu’elle implique. Les employés de 16 sous-volets de programmes ont indiqué qu’ils continuaient à éprouver des difficultés avec cet exercice de synchronisation. À ce jour, cela reste un défi continu d’un point de vue technique et en raison du nombre limité de ressources ayant suffisamment de capacités pour gérer la synchronisation – en particulier dans les bureaux régionaux. L’équipe d’audit a obtenu une démonstration détaillée du processus de synchronisation des clients et a constaté que l’interopérabilité des données entre la GRC et le SGISC était limitée. En fait, la plupart des transferts d’information sur les clients/les demandes nécessitent une procédure manuelle durant laquelle le personnel de programmes doit télécharger tous les documents joints à la demande, puis les téléverser dans le SGISC ou procéder à la saisie manuelle des données dans le SGISC. De plus, le personnel des programmes doit effectuer une analyse comparative entre les renseignements du portail et la base de données du SGISC avant tout transfert afin de vérifier si le demandeur est déjà un client de PCH recevant des S&C. Dans les cas où le demandeur est nouveau à PCH (aucune similarité existante dans la base de données du SGISC), le Cd’E doit créer un nouveau profil de client dans le SGISC avant le transfert de la demande. Si le demandeur est un client récurrent de PCH (correspondance exacte ou similaire trouvée dans la base de données du SGISC et du PFPC), la demande est alors automatiquement transférée au SGISC. Toutefois, dans ce dernier cas, le personnel de programmes doit encore télécharger tous les documents PDF ou tout autre pièce jointe et les téléverser manuellement dans le SGISC.

D’autres enjeux ont été constatés en raison de l’absence de vérification et de validation des renseignements à partir du portail. Par exemple, la duplication des comptes par les demandeurs (qui oublient leur mot de passe ou qui ne sont pas en mesure de retrouver leur ancien compte) a été signalée comme un problème persistant. Avec le modèle de responsabilité défini, les utilisateurs peuvent créer plusieurs comptes pour toute organisation donnée et aucun processus n’est en place pour gérer les comptes dupliqués dans le portail. Une organisation peut avoir plusieurs personnes-ressources principales et représentants autorisés agissant pour le compte de l’organisation. En outre, le portail est utilisé pour produire des rapports sur les données des clients ou le nombre de demandes reçues. Le fait qu’aucune vérification ne soit effectuée au sein du portail entraîne une incertitude quant à la fiabilité, à l’intégrité et à l’exactitude des données qui s’y trouvent. Les défis liés aux données se trouvant dans le portail (synchronisation, duplicatas, rapprochements manuels, etc.) ont un effet domino sur la capacité interne, le soutien aux clients externes, la validité des rapports sur les demandes soumises dans le portail, et la satisfaction des utilisateurs externes et internes. Cette situation est aggravée par le manque de normalisation des données entre les programmes comme expliqué à la section 3.2 ci-dessus (intégration/relancement).

Il est important de reconnaître que le PFPC a été initialement conçu et mis en œuvre comme un système transitoire principalement destiné à faire cheminer de l’information. Par conséquent, il n’a jamais été question de gérer les renseignements soumis dans le portail dans le but d’éviter la duplication d’information, ni de vérifier l’authenticité des demandeurs dans le portail. L’équipe d’audit a constaté que la Direction générale de l’expérience client est au courant des problèmes liés à l’information contenue dans le portail, et continue de fournir un soutien et des directives aux utilisateurs afin d’atténuer les enjeux en cours. Par exemple, l’équipe du portail continue d’encourager les demandeurs à créer un seul compte et à récupérer leur compte si nécessaire, plutôt que d’en créer plusieurs. Des directives ont été fournies aux demandeurs récurrents pour savoir comment récupérer leur CléGC ou leur compte sur le PFPC. Avec l’aide du Cd’E, des processus clairs ont été élaborés pour illustrer les différents scénarios et toutes les étapes nécessaires au transfert des données à partir de la GRC vers le SGISC. La formation, les directives et le soutien continuent d’être fournis au personnel de programmes afin de faciliter la « tâche de synchronisation des clients ». Récemment, la Direction générale de l’expérience client a commencé à travailler avec les programmes et en est aux premières étapes de l’élaboration d’un modèle de données qui devrait permettre une approche cohérente de la collecte de données dans l’ensemble des programmes. L’intention derrière cette démarche est de simplifier le processus d’intégration et de relancement, d’améliorer la qualité des données relatives au profil des clients, et de réduire le nombre de rapprochements manuels nécessaires entre la plateforme de GRC et le SGISC.

Recommandation :

8. La sous-ministre adjointe des Langues officielles, patrimoine et régions, en consultation avec le dirigeant principal des données, devrait officiellement confier le rôle de gérance des données à l’entité appropriée qui serait responsable de la gestion de l’information se trouvant dans le PFPC/la GRC.
   1. Ce rôle devrait inclure la responsabilité d’établir et de mettre en œuvre des procédures de conservation et d’élimination.
   2. Ce rôle devrait inclure la pleine responsabilité du transfert des données à partir de la plateforme GRC vers le SGISC (tâche de synchronisation des clients).
   3. Ce rôle devrait inclure la responsabilité de définir et de mettre en œuvre un processus clair pour soutenir la gestion des duplicatas de données.

4.0 Conclusion

D’après les constatations de l’audit, je suis d’avis que le ministère du Patrimoine canadien (PCH) a établi et appliqué un processus de transition bien structuré pour faire passer de l’état de projet à l’état opérationnel toutes les activités clés liées à la mise en œuvre du PFPC. Tout au long de cette transition, il y a eu une mobilisation soutenue et une collaboration étroite entre les principaux intervenants qui participent aux opérations du PFPC, et un transfert des connaissances entre les ressources du projet et les nouvelles ressources internes limitées responsables des opérations courantes. Même si les activités nécessaires à la concrétisation du mandat du PFPC (comme la mobilisation des programmes, leur intégration, le relancement, le soutien, etc.) se poursuivent après la transition, la présente réalité opérationnelle n’est pas viable pour réaliser la vision à long terme du Ministère en ce qui concerne le PFPC.

Les défis actuels liés à la gestion et à l’exécution du PFPC ont été signalés aux directions générales concernées du Ministère, qui ont pris certaines mesures pour relever ces défis. Des réunions de la direction ont lieu pour aborder les enjeux de capacité limitée; les contrôles de sécurité sont en cours d’être documentés et testés afin de renforcer l’assurance de la sécurité du service infonuagique; les rôles et les responsabilités sont en train d’être consignés de façon officielle.

Glossaire

Arriéré

L’arriéré sert à gérer les priorités de haut niveau du projet et permet un suivi de l’état d’avancement. Il s’agit d’une méthode permettant de gérer non seulement les priorités, mais aussi la traçabilité des exigences et l’achèvement des travaux. L’arriéré comprend des récits d’utilisateurs et des bogues, et les éléments sont séquencés tous les vendredis avec Innovation des processus d’affaires en fonction des priorités. (Backlog)

Azure DevOps

Plateforme de logiciel à la demande (SaaS) de Microsoft conçue pour fournir un ensemble complet d’outils de programmation servant à réaliser des tâches complexes de développement logiciel ou à créer un produit logiciel. (Azure DevOps)

Bogues

Dans le développement de logiciels selon la méthode Agile, un bogue est un comportement inattendu relevé après qu’un récit d’utilisateur ait été terminé et accepté par le responsable du produit. Il est dû à une erreur de codage. Un bogue est une anomalie de fonctionnement précise dans une application, une manière particulière dont une fonction donnée s’exécute incorrectement compte tenu de conditions préalables. Les bogues sont généralement détectés par les utilisateurs ou au moyen d’un test de régression automatisé. (Bugs)

CléGC

Service d’authentification fondé sur des normes fourni par le gouvernement du Canada. Il garantit aux Canadiens un accès sécuritaire à l’information et aux services en ligne du gouvernement et aide les ministères fédéraux à gérer et à contrôler l’accès à leurs programmes en ligne grâce à des processus normalisés d’inscription et d’authentification. (GCKey)

GRC

La Gestion de la relation-client (GRC) est une technologie qui permet aux organisations de gérer les relations et les échanges avec leurs clients et d’éventuels clients. À PCH, le service de GRC est également utilisé pour décrire la base de données et l’interface de la base de données qui stocke les informations concernant les demandes de S et C des clients. (CRM)

HTTPS

Le protocole de transfert hypertexte sécurisé (HTTPS) est une version sécurisée du protocole HTTP, qui est le principal protocole utilisé pour envoyer des données entre un navigateur Web et un site Web. (HTTPS)

Intendance des données

L’intendance des données est une approche de la gestion des données, notamment des données permettant d’identifier des personnes. Il s’agit de l’obligation de rendre compte et de la responsabilité des données et des processus qui assurent une gestion et une utilisation efficaces des données. L’intendance des données consiste à gérer et à surveiller tous les aspects du cycle de vie des données, depuis leur création, leur collecte, leur préparation et leur utilisation jusqu’à leur stockage et à leur suppression. Il s’agit d’un ensemble de pratiques qui garantissent que les données d’une organisation sont accessibles, utilisables, sûres et fiables. (Data Stewardship)

Mesures de protection du nuage du GC

Ensemble préliminaire de contrôles de cybersécurité de base visant à garantir que l’environnement des services infonuagiques dispose d’un ensemble minimal de configurations. Les ministères doivent mettre en œuvre et valider les mesures de protection du nuage ainsi que rendre compte de leur conformité à ces mesures dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage. (GC Cloud Guardrails)

Méthode agile

La méthode agile adopte une approche itérative et axée sur le client en matière de développement logiciel. Son objectif est de fournir des unités de code fonctionnelles complètes aussi souvent que possible. (Agile approach)

Modèle de responsabilité

Ce modèle renvoie aux décisions organisationnelles en matière d’attribution de responsabilités définies et précises à différentes personnes ou à différents groupes au sein de l’organisation; et à la création d’une approche par étape sur la façon dont les activités doivent être menées. Le modèle pour le PFPC précise à quelle étape les renseignements sur le client et la demande doivent être évalués. (Accountability model)

Périodes de réception des demandes

Une période de réception des demandes est un délai prédéfini pendant lequel les organisations ou les candidats peuvent présenter des propositions ou des demandes pour un programme de S et C précis. (Intake period)

Profil des contrôles de sécurité PBMM de l’infonuagique du GC

Ce document définit les contrôles de sécurité de base qui doivent être mis en place par les FSI et les ministères et organismes du GC afin de protéger adéquatement les services du GC fondés sur l’infonuagique et les renseignements connexes avec une catégorie de sécurité Protégé B, intégrité moyenne et disponibilité moyenne. Il présente également le contexte dans lequel ces contrôles de sécurité devraient être mises en place. (GC Cloud PBMM Security Control Profile)

Récits d’utilisateur

Le récit d’utilisateur est la plus petite unité de travail dans un cadre souple. Il s’agit d’un objectif ultime, et non d’une fonctionnalité, présenté du point de vue de l’utilisateur du logiciel. Un récit d’utilisateur est une explication informelle et générale d’une fonctionnalité logicielle rédigée du point de vue de l’utilisateur final ou du client. (User stories)

Scrum

La méthode Scrum est un cadre souple qui aide les équipes à structurer leur travail en cycles de développement courts appelés « sprints ». (Scrum)

Sprint

Un sprint est une courte période pendant laquelle une équipe Scrum travaille à la réalisation d’une quantité de travail déterminée. (Sprint)

Synchronisation des clients

La synchronisation des clients est le processus continu de synchronisation des données organisationnelles des clients entre deux ou plusieurs systèmes (GRC du PFPC et SGISC) et de mise à jour des changements entre les systèmes afin de maintenir la cohérence au sein de ceux-ci. (Client synchronization)

TDE

Le chiffrement transparent de données (TDE) est une technologie employée par Microsoft, IBM et Oracle pour chiffrer les fichiers de base de données. Le TDE offre un chiffrement au niveau du fichier. Ce processus résout le problème de la protection des données inactives en chiffrant les bases de données sur le disque dur et, conséquemment, sur les supports de sauvegarde. Il ne protège pas les données en mouvement ni les données en cours d’utilisation. (TDE)

TLS

Le protocole de sécurité de la couche transport (TLS) est un protocole de sécurité largement adopté, conçu pour favoriser la protection de la vie privée et la sécurité des données pour les communications sur Internet. (TLS)

Annexe A – Échelle d’évaluation et sommaire des résultats

Annexe B – Plan d’action de la direction

Annexe C – Échantillon des 37 contrôles examinés au cours de l’audit

© Sa Majesté le Roi du chef du Canada, représenté par le ministre du ministère du Patrimoine canadien, 2024
No. de catalogue : CH6-67/2024F-PDF
ISBN : 978-0-660-71775-3