Audit horizontal de la gestion de l'information à Santé Canada et à l'Agence de santé publique du Canada
Rapport final : Résumé et Réponse et plan d'action de la direction
Avril 2025
Préparé par le Bureau de l'audit et de l'évaluation
Santé Canada
À noter : Le rapport d'évaluation complet peut être fourni sur demande. Merci d'envoyer un courriel à oae-bae@phac-aspc.gc.ca.
Sur cette page
Résumé
Objectif de la mission
L'objectif de cet audit était de déterminer si Santé Canada (SC ou le Ministère) et l'Agence de santé publique du Canada (l'ASPC ou l'Agence) ont mis en œuvre un cadre de contrôle de la gestion de l'information efficace qui comprend, sans s'y limiter, la responsabilisation, les rôles, les responsabilités, le cadre stratégique, la surveillance et la production de rapports afin d'atténuer les risques liés à la gestion de l'information (GI).
Portée de la mission
Cet audit comprenait des évaluations des cadres de GI, y compris ses structures de gouvernance, de ses contrôles et de ses outils, ainsi que des ressources de GI au sein de SC et de l'ASPC. L'audit a porté sur les exercices financiers de 2022-2023 et 2023-2024.
La portée n'a pas compris les éléments suivants :
- L'évaluation des demandes d'AIPRP et la préparation aux litiges, étant donné que ces processus sont de nature complexe et seront possiblement inclus dans le Plan d'audit axé sur les risques.
- L'évaluation des technologies permettant de stocker et de protéger les informations de manière efficiente et efficace, car cet aspect présente un risque moindre et sera possiblement l'objet d'un audit potentiel dans le cadre du Plan d'audit axé sur les risques.
Ce que nous avons constaté
L'audit a permis de constater que Santé Canada et l'Agence de la santé publique du Canada respectent généralement les exigences et les politiques du SCT en matière de gestion de l'information. Les rôles et les responsabilités des employés sont clairement définis, et la Direction générale de la transformation numérique (DGTN) s'efforce à améliorer son architecture d'information. Toutefois, l'audit a souligné que les domaines suivants pourraient être améliorés :
- À l'exception des indicateurs du rendement sur la mise en œuvre de SharePoint comme dépôt ministériel (SPDM), il n'y a pas eu de surveillance ou de rapports formels produits sur la conformité aux politiques en matière de GI dans l'ensemble du Ministère et de l'Agence.
- Le plan sur la GI de 2023 à 2025 est encore en format provisoire, et la DGTN doit le mettre à jour ou doit trouver un autre moyen de prendre en compte les plans et activités de GI actuels du Ministère et de l'Agence. La DGTN devrait également ajouter des mécanismes spécifiques pour mesurer le progrès des produits livrables.
- Il existe actuellement deux cours de formation obligatoires en matière de gestion de l'information : Principes fondamentaux de la gestion de l'information et Introduction à SPDM. Le cours Principes fondamentaux de la gestion de l'information n'est suivi qu'au moment de l'embauche au sein du Ministère ou de l'Agence. Bien qu'il existe d'autres formations en matière de GI, elles ne sont que recommandées et aucune d'entre elles n'est obligatoire pour les conseillers ou les employés en GI.
Réponse et plan d'action de la direction (RPAD)
Recommandation 1
Le SMA de la Direction générale de la transformation numérique devrait veiller à ce qu'un plan ou stratégie de gestion de l'information soit formalisé, mis à jour et publié afin que les informations ayant une valeur opérationnelle soient correctement conservées et accessibles pour respecter les exigences du SCT.
Réponse de la direction et mesures de gestion prévues
La direction approuve cette recommandation.
Mesure : Publier la Stratégie en GI de 2025 à 2030
Produit livrable : Stratégie en GI publié sur maSource.
Date d'achèvement prévue : T1 de 2025-2026
Responsabilité : Direction générale de la transformation numérique (DGTN)
Recommandation 2
Le SMA de la Direction générale de la transformation numérique (DGTN) devrait veiller à ce qu'un plan et une stratégie de GI comprennent des mécanismes permettant de mesurer les produits livrables en GI. De plus, un processus de surveillance formel devrait être mis en œuvre pour assurer que la classification, la catégorisation, le stockage et l'élimination des IVO sont effectués de manière efficace et correcte.
Réponse de la direction et mesures de gestion prévues
La direction approuve cette recommandation.
Mesures :
- Créer une « carte de priorisation de la GI » comme mécanisme de mesure et d'alignement des composantes et des résultats du programme de GI par rapport au calendrier quinquennal de la stratégie de la GI.
Produit livrable : Annexer à la Stratégie en GI publiée la carte de priorisation de la GI, qui servira de mécanisme de suivi des priorités et des produits livrables du programme de GI.
Date d'achèvement prévu : T1 (2025-2026)
Responsabilité : DGTN - Élaborer une procédure d'exploitation normalisée pour la surveillance des principales exigences en GI, conformément aux normes, politiques et comportements en matière de gestion responsable des IVO au sein de SC et de l'ASPC.
Produit livrable : Les exigences en matière de rapports permettent d'établir des IRC en GI qui s'alignent sur les règles de normalisation de l'entreprise et démontrent une gestion efficace des IVO au sein de SC et de l'ASPC.
Dates d'achèvement prévues : T2 (2025-2026) pour définir les exigences en matière de rapports et T4 (2025-2026) pour opérationnaliser les exigences en matière de rapports.
Responsabilité : DGTN
Recommandation 3
Le SMA de la Direction générale de la transformation numérique (DGTN) devrait assurer que les cours de formation en GI sont obligatoires pour tous les employés exerçant un rôle de conseiller en GI et sont suivis pour tous les autres employés du Ministère et de l'Agence.
Réponse de la direction et mesures de gestion prévues
La direction approuve cette recommandation.
Mesure : Ajouter le cours de spécialiste en GI à la liste des formations obligatoires pour le programme de GI au sein de SC et de l'ASPC.
Produit livrable : Les statistiques sont suivies et utilisées pour rendre compte de l'état d'avancement des exigences de formation obligatoire en matière de GI au sein de SC et de l'ASPC.
Date d'achèvement prévue : T3 (2025-2026)
Responsabilité : DGTN