Rapport final - Audit de la sécurité matérielle à Santé Canada et à l'Agence de la santé publique du Canada - Septembre 2016

Télécharger le format de rechange
(Format PDF, 297 Mo, 36 pages)
Organisation : Santé Canada et Agence de la santé publique du Canada
Date publiée : 2016-12-16
Version traduite. En cas de divergence entre le présent texte et le texte anglais, la version anglaise a préséance.
Table des matières
- Sommaire
- A - Introduction
- B - Constatations, recommandations et réponses de la direction
- C - Conclusion
- Annexe A - Champs d'enquête et critères
- Annexe B - Grille d'évaluation
- Annexe C - Infrastructure de sécurité matérielle
- Annexe D - Liste des sigles
Sommaire
La Politique sur la sécurité du gouvernementdu Conseil du Trésor (CT) s'avère un élément essentiel du cadre de sécurité nationale du Canada. Elle établit les responsabilités des administrateurs généraux visant à garantir que les renseignements, les biens et les services du gouvernement ne sont pas compromis et que les personnes sont protégées contre la violence au travail.
L'audit visait à évaluer l'efficacité du cadre de contrôle de gestion en place pour appuyer la fonction de sécurité matérielle de Santé Canada (SC) et de l'Agence de la santé publique du Canada (ASPC) et sa conformité avec la Politique sur la sécurité du gouvernementdu CT et d'autres politiques, directives et normes pertinentes.
L'audit était axé sur la sécurité matérielle des personnes, des biens et des renseignements dans les régions de la Capitale nationale, de l'Ontario et du Manitoba, ainsi que dans les établissements de soins de santé sous garde et en location par la Direction générale de la santé des Premières Nations et des Inuits (DGSPNI). D'autres aspects relatifs à la sécurité, comme la sécurité de la technologie de l'information (TI), la planification de la continuité des activités, la classification des renseignements, la gestion des urgences et des événements et les atteintes à la vie privée ne sont pas comprises dans la portée du présent audit.
L'audit a été mené selon les Normes relatives à la vérification interne au sein du gouvernement du Canada et les Normes internationales pour la pratique professionnelle de l'audit interne. Les procédures exécutées et les données probantes recueillies ont été suffisantes et appropriées pour assurer l'exactitude de la conclusion de l'audit.
Pourquoi est-ce important?
SC et l'ASPC comptent grandement sur les personnes, les biens et les renseignements pour offrir des services à la population canadienne. Une détérioration de la sécurité matérielle, sous forme d'accès non autorisé à un établissement, un préjudice à une personne ou une perte de renseignements importants, pourrait avoir des conséquences étendues et graves à l'égard de l'exercice des activités et de la prestation de services à la population canadienne.
Au total, SC et l'ASPC disposent d'un effectif d'environ 12 000 personnes qui travaillent dans 188 établissements partout au pays, comme des bureaux, des laboratoires, des centres d'approvisionnement, des entrepôts et des postes de soins infirmiers. Les renseignements de nature délicate et l'infrastructure de services essentiels sont hébergés dans la région de la Capitale nationale, dans les bureaux régionaux et dans les régions éloignées.
Ce qui a été constaté
L'audit a permis de conclure qu'en général, le cadre de contrôle de gestion en place pour appuyer la fonction de sécurité matérielle de SC et de l'ASPC, ainsi que sa conformité avec la Politique sur la sécurité du gouvernementdu CT et d'autres politiques, directives et normes pertinentes, doit être amélioré.
Une structure de gouvernance est en place pour la fonction de sécurité matérielle et les Comités exécutifs de SC et de l'ASPC reçoivent des informations sur des questions précises relatives à la sécurité matérielle. Cependant, des améliorations sont requises pour ce qui est de la surveillance et de la gestion de la fonction de sécurité matérielle. Les rôles et les responsabilités de l'agent ministériel de sécurité (AMS) sont définis et appuyés de pouvoirs clairs, mais l'audit a constaté plusieurs occasions où l'AMS n'a pas assumé ses rôles et responsabilités, conformément aux politiques.
Les contrôles physiques visant à protéger le personnel, les renseignements et les biens dans la région de la Capitale nationale et les régions, lesquels ont fait l'objet d'un examen, sont satisfaisants. Cependant, les mesures de contrôle de la sécurité matérielle au Laboratoire national de microbiologie (LNM) à Winnipeg devraient être revues dans le cadre d'une actualisation de l'évaluation des menaces et des risques pour la sécurité matérielle dans un contexte de menace en évolution. En outre, les contrôles visant à protéger le personnel, les renseignements et les biens dans les postes de soins infirmiers devraient être améliorés. Les vulnérabilités à l'égard de la sécurité matérielle dans les postes de soins infirmiers dans les collectivités éloignées et isolées devraient être abordées afin de réduire le risque de violence pour les employés et de se protéger contre l'accès non autorisé aux renseignements protégés et une divulgation de ceux-ci. Après que le travail d'audit sur le terrain ait été effectué, la haute direction a indiqué qu'une évaluation des menaces et des risques serait effectuée au LNM en 2016.
Quoique la DGSPNI ait effectué des autoévaluations pour repérer les établissements ayant les risques les plus élevés en matière de sécurité matérielle, les risques relatifs à celle-ci doivent être mieux gérés dans l'ensemble du Ministère. Les plans de sécurité ministérielle (PSM), les principaux documents décrivant le programme de sécurité pour SC et l'ASPC, élaborés en 2012, ont été actualisés après que le travail d'audit sur le terrain ait été effectué. Le PSM intégré 2016-2019 a été approuvé en février 2016 par les deux administrateurs généraux. Des politiques de sécurité sont en place et celles-ci sont actualisées afin de cadrer avec la Politique sur la sécurité du gouvernementdu CT et le PSM intégré. Cependant, les autres politiques de sécurité élaborées par la DGSPNI devraient cadrer avec les politiques ministérielles de sécurité.
Des mesures ont été prises pour favoriser la formation et la sensibilisation en matière de sécurité. Des améliorations additionnelles sont nécessaires pour garantir que les employés, les praticiens de la sécurité et le personnel œuvrant dans des milieux uniques comme les laboratoires et les centres de santé communautaires reçoivent la formation, les outils, les ressources et les renseignements appropriés.
Des systèmes sont en place à SC et l'ASPC afin de surveiller les activités et les incidents de sécurité matérielle. Toutefois, l'efficacité de ces systèmes de surveillance est limitée en raison de la façon dont ils sont utilisés au bureau central et dans les régions, ainsi que la difficulté d'effectuer des analyses afin d'examiner les anomalies, déterminer les tendances et prendre des mesures d'atténuation pour réduire les occurrences futures.
La direction est en accord avec les six recommandations présentées dans le rapport et a fourni un plan d'action qui renforcera le cadre de contrôle de gestion appuyant la fonction de sécurité matérielle.
A - Introduction
1. Contexte
En juillet 2009, le Conseil du Trésor du Canada (CT) a publié la Politique sur la sécurité du gouvernement (PSG). Dans la PSG, la sécurité du gouvernement est définie comme étant l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail. La meilleure façon de garantir la sécurité est qu'elle soit appuyée par la haute direction et intégrée à la planification opérationnelle et stratégique, aux cadres ministériels, à la culture, aux activités quotidiennes et aux comportements des employés. La sécurité matérielle est une composante de l'approche intégrée à l'égard de la sécurité; s'y ajoutent d'autres fonctions, notamment l'accès à l'information, la protection des renseignements personnels, la gestion du risque, la gestion des urgences et de la continuité des activités, les ressources humaines, la santé et la sécurité au travail, les biens immobiliers, la gestion du matériel, la gestion de l'information, la technologie de l'information et les finances.
La PSG de 2009 a fait l'objet d'un examen quinquennal obligatoire. La PSG modifiée, qui devrait entrer en vigueur en 2016, accroît la visibilité de la sécurité du gouvernement à l'échelle du Ministère et du gouvernement en favorisant une approche proactive à l'égard de la sécurité. En écho à la PSG actuelle, l'ensemble de politiques modifiées réitère qu'une sécurité efficace est essentielle pour garantir une prestation de services qui contribuent à la santé, à la sécurité, au bien-être économique et à la protection de la population canadienne.
Les administrateurs généraux sont responsables d'établir un programme de sécurité qui comprend la fonction de sécurité matérielle et qui permet de coordonner et de gérer les activités liées à la sécurité, appuyées par une structure de gouvernance établissant clairement les responsabilités. Le programme de sécurité doit comprendre des objectifs définis clairement, cadrant avec les politiques, les priorités et les plans ministériels et gouvernementaux, et faire l'objet d'une surveillance continue.
L'approche du gouvernement à l'égard de la sécurité matérielle est que l'environnement interne et externe des installations peut être conçu et géré de manière à créer des conditions qui, conjuguées à des mesures particulières de protection de la sécurité matérielle, réduiront les risques de violence à l'égard des employés et protégeront les renseignements, les biens et les installations contre l'accès, la divulgation, la modification ou la destruction non autorisés. Les stratégies adoptées par les ministères en matière de sécurité matérielle doivent être fondées sur (1) le concept de la protection, de la détection, de l'intervention et du rétablissement (2) la conception d'une série de zones nettement mises en évidence (3) la notion de contrôle de l'accès aux zones d'accès restreint et (4) la capacité d'accroître la sécurité dans les cas d'urgence et de menace accrue.
La PSG reconnaît que la responsabilité de l'administrateur général à l'égard de la sécurité se fait le plus efficacement avec la participation et la collaboration de l'agent ministériel de sécurité (AMS), qui, en association avec les praticiens de la sécurité, possèdent les connaissances nécessaires pour comprendre les priorités du ministère, l'importance de l'information, des biens, des services et des ressources humaines du ministère, ainsi que le niveau de mesures de sécurité qui doit être assuré pour les protéger.
En juin 2012, Santé Canada (SC) et l'Agence de la santé publique du Canada (ASPC) ont conclu une entente-cadre de Partenariat de services partagés pour la prestation de services internes, y compris le programme de sécurité. La Division de la gestion de la sécurité de la Direction des biens immobiliers et de la sécurité (DBIS), qui relève du sous-ministre adjoint, Direction générale des services de gestion (DGSG), est responsable de l'administration, de la gestion et de la surveillance du programme de sécurité, y compris la fonction de sécurité matérielle. Le directeur exécutif de la Division de la gestion de la sécurité, DGSG, agit à titre d'AMS. L'AMS représente l'agent de sécurité le plus élevé en grade à SC et à l'ASPC. Il assume une responsabilité fonctionnelle à l'égard du sous-ministre de Santé Canada et de la présidente de l'Agence de la santé publique du Canada pour l'administration et la gestion de la sécurité de chaque organisation.
Au Laboratoire national de microbiologie (LNM), à Winnipeg, la sécurité est supervisée par un directeur des Opérations régionales de sécurité. En outre, cinq gestionnaires régionaux de la sécurité (GRS) relèvent de l'AMS par l'intermédiaire du directeur exécutif de la Division des biens immobiliers au sein des régions. Les GRS sont responsables de mettre en œuvre dans leur région les normes de sécurité matérielle définies dans la PSG (c.-à-d. les régions de l'Atlantique, du Québec, de l'Ontario/Nord, du Manitoba/Saskatchewan et de l'Alberta/Colombie-Britannique).
La Direction générale de la santé des Premières Nations et des Inuits (DGSPNI) dispose d'une politique de sécurité pour la direction générale (Politique sur la sûreté et la sécurité des établissements de santé) pour gérer la sécurité matérielle à la Division de la capacité, de l'infrastructure et de l'imputabilité (DCII), qui relève du sous-ministre adjoint, Opérations régionales, DGSPNI. La division surveille le Programme des établissements de santé de la DGSPNI, un programme de subventions et de contribution, qui sert à fournir des fonds pour les dépenses de capital aux collectivités admissibles des Premières Nations afin de construire et de maintenir une infrastructure d'établissements de soins de santé. La directrice exécutive de la DCII est responsable d'assurer la liaison avec la Division de la gestion de la sécurité, DGSG, afin de soulever les questions et d'explorer des solutions sur les questions touchant la sécurité et la sûreté des postes de soins infirmiers de la DGSPNI et d'autres membres du personnel des soins de santé dans les établissements de santé financés par la DGSPNI. Il faut noter, cependant, que les lois existantes relatives à la propriété des établissements de soins de santé des Premières Nations situés sur les terres de réserve empêchent Santé Canada d'apporter de manière unilatérale des modifications à la sécurité matérielle de ces bâtiments.
Les besoins en matière de sécurité matérielle pour les établissements de santé financés par la DGSPNI nécessitent une coordination efficace des parties prenantes afin de garantir que la politique, les normes et les processus sont pertinents et appliqués de manière stratégique et uniforme à la direction générale. Par conséquent, la DGSPNI a établi le Comité de planification de l'immobilisation et des rapports afin de superviser cette fonction. Ce comité, présidé par la directrice exécutive de la DCII, fournit un forum de coordination et de consultation pour l'élaboration de politiques, de procédures, de normes et de conseils à l'intention de la haute direction sur les questions et les priorités en matière de sécurité et de sûreté qui touchent les employés et les entrepreneurs de la DGSPNI oeuvrant dans des établissements de santé sous garde et en location par la DGSPNI.
Les mesures de sécurité matérielle visent à protéger les documents classifiés et protégés, notamment des documents confidentiels du Cabinet, des renseignements personnels, l'information commerciale ou des entreprises privées et les conseils liés au processus décisionnel interne, qui pourraient interférer avec les opérations. L'AMS et la Division de la gestion de la sécurité sont responsables de prodiguer des conseils à la Division de la gestion de l'information et du savoir (DGIS) de la Direction des services de gestion de l'information, DGSG, sur les mesures pour établir et gérer la protection des renseignements contre les actes non autorisés d'accès, d'utilisation, de divulgation, de modification, de déclassement, de transmission ou de destruction. Les mesures en place devraient permettre de garantir que l'accès aux renseignements classifiés et protégés est limité aux personnes autorisées ayant fait l'objet d'une enquête de sécurité au niveau approprié et qui ont besoin d'y avoir accès. La perte ou la compromission de renseignements classifiés pourrait entraîner des atteintes à la vie privée, un passif ou une perte financière, et pourrait réduire l'efficacité des opérations à SC et à l'ASPC.
Les biens peuvent être tangibles ou intangibles et peuvent englober des renseignements de toutes les formes et sous tous les supports, comme des réseaux, des systèmes, des documents, des biens immobiliers, des ressources financières, une fiducie d'employés, la confiance du public et la réputation internationale. Les mesures de contrôle de la sécurité matérielle en place devraient être intégrées aux activités quotidiennes pour atténuer les coûts de remplacement et la perte de biens tangibles uniques de grande valeur et protéger ces biens de manière à ce que les activités et les services essentiels se poursuivent sans interruption.
2. Objectif de l'audit
L'audit visait à évaluer l'efficacité du cadre de contrôle de gestion en place pour appuyer la fonction de sécurité matérielle de SC et de l'ASPC, et sa conformité avec les politiques, les directives et les normes pertinentes du CT.
3. Portée de l'audit
Dans le cadre de l'audit, on a examiné la gouvernance, la gestion du risque et les contrôles afin de garantir que les renseignements et les biens sont protégés contre la compromission et que les personnes sont protégées contre la violence au travail. L'audit, qui couvrait la période du 1er avril 2013 à mai 2015, portait sur la fonction de sécurité matérielle et ses stratégies pour atténuer les menaces à l'égard des personnes, des biens et des renseignements. Par la suite, le rapport a été modifié afin de tenir compte des activités qui ont eu lieu entre juin 2015 et février 2016.
L'audit comprenait un test par échantillonnage des établissements administratifs et des laboratoires dans la région de la Capitale nationale, ainsi que dans les régions de l'Ontario et du Manitoba, de même que dans les établissements de soins de santé sous garde et en location par la Direction générale de la santé des Premières Nations et des Inuits, où travaillent des membres du personnel infirmier et d'autres membres du personnel de soins de santé et des conseillers de SC.
D'autres aspects de la sécurité, comme la sécurité de la TI, la planification de la continuité des activités, la classification des renseignements, les fonds de renseignements électroniques, la gestion des urgences et des événements ainsi que les atteintes à la vie privée, n'étaient pas compris dans la portée, puisqu'ils ont fait l'objet d'audits récents ou en feront l'objet.
4. Approche d'audit
La méthode d'audit englobait, mais non exclusivement, un examen de la gouvernance et des cadres pertinents, des documents portant sur la sécurité matérielle, des processus opérationnels et des politiques, directives, normes et lignes directrices ministérielles et des organismes centraux; des entrevues et des observations, des enquêtes, des mises à l'essai et des analyses et un examen des preuves appuyant la gouvernance, la gestion des risques et les processus de contrôle interne. Les entrevues ont été effectuées auprès d'employés importants de SC et de l'ASPC oeuvrant dans la région de la Capitale régionale et dans les régions.
Les critères d'audit, décrits à l'annexe A ont été élaborés à partir du document du Secteur de la vérification interne du Bureau du contrôleur général intitulé Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes, de la Politique sur la sécurité du gouvernement de CT ainsi que de la Directive sur la gestion de la sécurité ministérielle et de la Norme opérationnelle sur la sécurité matérielle du Secrétariat du Conseil du Trésor (SCT).
5. Énoncé de conformité
Selon le jugement professionnel de la dirigeante principale de la vérification, des procédures suffisantes et appropriées ont été suivies et des preuves ont été recueillies pour attester de l'exactitude de la conclusion de l'audit. Les constatations et la conclusion de l'audit sont fondées sur une comparaison des conditions qui existaient au moment de l'audit au regard des critères d'audit convenus avec la direction. Par ailleurs, les renseignements probants ont été réunis conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l'audit interne. L'audit respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, tel qu'appuyé par les résultats du programme d'assurance et d'amélioration de la qualité.
B - Constatations, recommandations et réponses de la direction
1. Gouvernance
1.1 Structure de gouvernance
Critère d'audit : Une structure de gouvernance efficace est en place pour surveiller et gérer la fonction de sécurité matérielle.
La Politique sur la sécurité du gouvernementdu Conseil du Trésor du Canada (CT) précise que les administrateurs généraux sont responsables d'établir un programme de sécurité pour la coordination et la gestion des activités de sécurité ministérielles. La politique précise également que les ministères et organismes sont responsables de garantir qu'ils disposent d'une structure de gouvernance avec des responsabilités claires afin d'intégrer et de mettre en œuvre la gestion de la sécurité (y compris la sécurité matérielle) dans les plans, les programmes, les activités et les services ministériels.
La Division de la gestion de la sécurité de la Direction des biens immobiliers et de la sécurité, qui relève de la sous-ministre adjointe, Direction générale des services de gestion (SMA, DGSG), est responsable de l'administration, de la gestion et de la surveillance du programme de sécurité, y compris la fonction de sécurité matérielle. Le directeur exécutif de la Division de la gestion de la sécurité, DGSG, agit à titre d'agent ministériel de la sécurité (AMS). Il est appuyé par un effectif de 49 employés qui offrent des services de sécurité.
L'AMS représente l'agent de sécurité le plus élevé en grade à Santé Canada (SC) et à l'Agence de la santé publique du Canada (ASPC). Il assume une responsabilité fonctionnelle à l'égard du sous-ministre de SC et de la présidente de l'ASPC pour l'administration et la gestion de la sécurité de chaque organisation. L'AMS est responsable de garantir que les responsabilités, les délégations, les liens hiérarchiques et les rôles et les responsabilités des employés assumant des responsabilités liées à la sécurité sont définis, documentés et communiqués aux personnes appropriées. Il est également responsable d'établir des mécanismes de gouvernance de la sécurité (p. ex., comités, groupes de travail) afin de garantir la coordination et l'intégration des activités de sécurité dans les opérations, les plans, les priorités et les secteurs de programme de SC et de l'ASPC.
L'AMS relève du sous-ministre et de la présidente par l'intermédiaire du directeur général de la Direction des biens immobiliers et de la sécurité et, par la suite, de la SMA, DGSG. Toutefois, si une infraction ou un incident important lié à la sécurité survient, l'AMS peut en rendre compte directement au sous-ministre et à la présidente. Un aperçu de l'infrastructure de la sécurité matérielle à SC et à l'ASPC, en date de décembre 2014, est présenté à l'annexe C.
La Direction générale de la santé des Premières Nations et des Inuits (DGSPNI) dispose d'une structure de gouvernance distincte afin d'encadrer le programme de sécurité, notamment la fonction de sécurité matérielle. À la DGSPNI, la directrice exécutive de la Division de la capacité, de l'infrastructure et de l'imputabilité (DCII) est responsable d'assurer la liaison avec la Division de la gestion de la sécurité, DGSG, afin de soulever les questions et d'explorer des solutions sur les questions touchant la sécurité et la sûreté des postes de soins infirmiers de la DGSPNI et d'autres membres du personnel des soins de santé dans les établissements de santé financés par la DGSPNI.
Le plan de sécurité du Ministère (PSM) est le document principal décrivant le programme de sécurité pour les ministères. SC et l'ASPC disposent chacun d'un PSM. La Directive sur la gestion de la sécurité ministérielle du SCT précise que l'AMS devrait élaborer, mettre en œuvre, surveiller et actualiser un PSM. En outre, le PSM de SC précise qu'il devrait être revu et actualisé chaque année ou lorsque les circonstances changent de façon significative. Les PSM, élaborés en 2012, ont été actualisés après la réalisation de l'audit sur le terrain. Le PSM intégré 2016-2019 a été approuvé en février 2016 par les deux administrateurs généraux.
Le Cadre de responsabilisation de gestion (CRG) pour 2014-2015 exige que l'on produise des rapports réguliers à l'intention des administrateurs généraux sur la situation de toutes les activités de sécurité. Dans le cadre de l'audit, on a constaté que l'AMS, par l'intermédiaire de la SMA, DGSG, rend compte régulièrement aux Comités exécutifs de SC et de l'ASPC des ratissages de sécurité et des infractions. Même si le PSM de 2012 de l'ASPC précisait que l'AMS doit rendre compte à son Comité exécutif au moins une fois par année des résultats du programme de sécurité, y compris la fonction de sécurité matérielle, les tendances, les risques et les questions, l'audit n'a trouvé aucune preuve de tels rapports annuels à l'ASPC et à SC. Le PSM intégré 2016-2019 exige un compte rendu annuel sur la situation actuelle de la sécurité dans les deux organisations. La SMA, DGSG a informé l'équipe d'audit que les administrateurs généraux sont informés directement sur les questions précises de sécurité. Elle a aussi indiqué que les administrateurs généraux reçoivent des renseignements par le biais de comptes rendus des comités de gouvernance de SC et de l'ASPC, ainsi que de séances d'information sur le CRG, de discussions sur les investissements requis pour combler des lacunes dans les établissements et de rapports sur les activités en matière de sécurité.
Il est entendu que le Sous-comité sur la sécurité du Comité de planification et de l'examen de l'immobilisation (CPEI) de la DGSPNI, qui relève de la directrice exécutive de la DCII, discutera et examinera les questions liées à la sécurité matérielle et aux installations de soins infirmiers, et formulera des recommandations d'améliorations. Le mandat du sous-comité sur la sécurité du CPIR a été examiné, y compris la mission, les membres et la fréquence des rencontres. L'audit a constaté que les membres du sous-comité ne se sont pas rencontrés au cours de la période visée. En outre, l'audit n'a trouvé aucune preuve de discussions entre la directrice exécutive du DCII et l'AMS au cours des deux dernières années sur des questions touchant la sécurité et la sûreté des postes de soins infirmiers de la DGSPNI et d'autres membres du personnel de soins de santé dans les établissements de santé financés par la DGSPNI.
En conclusion, une structure de gouvernance est en place et les Comités exécutifs de SC et de l'ASPC reçoivent des informations sur des questions précises relatives à la sécurité matérielle. Toutefois, la surveillance et la gestion ministérielle de la fonction de sécurité matérielle doivent être améliorées.
Recommandation 1
Il est recommandé que la sous-ministre adjointe de la Direction générale des services de gestion assure qu'il existe une surveillance de la gestion ministérielle de la fonction de sécurité matérielle, qui comprend, à tout le moins :
- un suivi sur la mise en œuvre du plan d'action détaillé dans le Plan intégré de sécurité du Ministère;
- des séances d'information annuelles sur la situation de la sécurité matérielle à l'intention des administrateurs généraux de Santé Canada et de l'Agence de la santé publique du Canada, en la présence de la haute direction;
- des communications systématiques et opportunes des gestionnaires régionaux de la sécurité à l'agent ministériel de sécurité sur les risques et vulnérabilités importants liés à la sécurité matérielle.
Réponse de la direction
La direction souscrit à cette recommandation.
La DGSG renforcera la gouvernance afin d'assurer que l'agent ministériel de sécurité (AMS) assure une surveillance et une gestion efficaces et complètes relativement à la fonction de la sécurité matérielle.
1.2 Pouvoir, rôles et responsabilités
Critère d'audit : Le pouvoir, les rôles et les responsabilités pour la fonction de sécurité matérielle sont définis, documentés et communiqués.
Conformément à la Directive sur la gestion de la sécurité ministérielle (2009) du SCT, l'agent ministériel de sécurité (AMS) est responsable de garantir que les responsabilités, les délégations, les liens hiérarchiques et les rôles et les responsabilités des employés assumant des responsabilités liées à la sécurité sont définis, documentés et communiqués. Ces employés, que l'on appelle des praticiens de la sécurité, sont responsables de coordonner et de gérer les activités qui font partie d'un programme coordonné de sécurité du Ministère, ce qui comprend la sécurité matérielle, ainsi que de prodiguer des conseils et d'offrir des services liés à ces activités.
La Division de la gestion de la sécurité (DGS) a élaboré un ensemble intégré provisoire de politiques sur la sécurité matérielle afin d'appuyer le programme intégré de sécurité à SC et à l'ASPC et de renforcer la gouvernance au moyen de la documentation des rôles, des responsabilités et des pouvoirs de l'AMS et de tous les praticiens de la sécurité. Dans le cadre de l'audit, on a constaté que l'ensemble de politiques a été élaboré avec une faible consultation ou collaboration des gestionnaires régionaux de la sécurité (GRS) et de la DGSPNI.
Les rôles et responsabilités de l'AMS sont établis et appuyés par des pouvoirs clairs; cependant, dans le cadre de l'audit, on a noté plusieurs instances où l'AMS n'a pas assumé ses rôles et responsabilités conformément aux politiques, en particulier dans les régions. La responsabilité de la mise en œuvre régionale de la fonction de sécurité matérielle est conférée aux GRS qui relèvent de leur directeur général qui, lui, se rapporte au directeur exécutif de la Division des biens immobiliers au sein des régions (DBIR). Les échanges d'information entre le directeur exécutif de la DBIR et l'AMS sur les questions de sécurité matérielle dans les régions se font, en moyenne, une fois par mois. Même si les GRS assument une responsabilité fonctionnelle à l'égard de l'AMS, les entrevues avec l'AMS et le directeur exécutif de la DGIR ont permis de constater que l'AMS ne reçoit pas suffisamment d'information en temps opportun des régions.
Même si l'AMS est responsable de surveiller le programme de sécurité, y compris la fonction de sécurité matérielle, l'échange d'information sur les questions de sécurité matérielle entre la DGSPNI et l'AMS se fait uniquement de façon ponctuelle. La responsabilité des mesures de contrôle de la sécurité matérielle dans les établissements sous garde et en location par la DGSPNI est actuellement divisée entre l'AMS et son personnel, les GRS et les employés de la DGSPNI. En raison de ces responsabilités partagées, il est difficile pour l'AMS de bien comprendre l'efficacité des mesures de contrôle de la sécurité matérielle, d'aborder les préoccupations et les vulnérabilités liées à la sécurité matérielle et de rendre compte au sous-ministre et au Comité exécutif de SC en temps opportun.
En conclusion, les rôles et les responsabilités de l'AMS sont appuyés par des pouvoirs clairs; toutefois, l'audit a noté plusieurs instances où l'AMS n'a pas assumé ses rôles et responsabilités conformément aux politiques, en particulier dans les régions (voir la recommandation 1).
2. Gestion du risque
2.1 Gestion des risques pour la sécurité matérielle
Critère d'audit : Les risques pour la sécurité matérielle sont cernés, documentés, évalués et atténués de manière systématique.
Dans un contexte d'un secteur public dynamique et complexe, la gestion du risque joue un rôle important pour renforcer la capacité du gouvernement de réagir activement au changement et à l'incertitude en utilisant l'information fondée sur le risque pour faciliter la prise de décisions plus efficaces. La capacité démontrée de cerner, d'évaluer, de communiquer et de gérer les risques pour la sécurité matérielle instaure la confiance, tant au gouvernement qu'avec le public.
La Politique sur la sécurité du gouvernementdu CT établit la gestion des risques pour la sécurité comme étant l'un de ses messages fondamentaux et précise que la gestion de la sécurité exige une évaluation continue des risques ainsi que la mise en place, la surveillance et le maintien de mécanismes appropriés de contrôle de gestion interne en matière de prévention, de détection, d'intervention ou de rétablissement. La Directive sur la gestion de la sécurité ministérielledu SCT précise que les AMS doivent gérer le programme de sécurité ministérielle. La directive précise également que l'AMS est également responsable d'élaborer, de documenter, de mettre en œuvre et d'actualiser les processus de gestion systématique des risques pour la sécurité afin d'assurer une adaptation continue aux besoins changeants de SC et de l'ASPC et au contexte changeant des menaces.
Les plans de sécurité ministérielle (PSM) de 2012 décrivent les risques pour la sécurité qui présentent le plus grand potentiel d'avoir une incidence négative sur la capacité de SC et de l'ASPC de remplir leur mandat. Par exemple, l'absence d'éléments de gestion des risques pour la sécurité dans le processus de planification stratégique et opérationnelle de SC, des instruments de politique de sécurité matérielle internes dépassés et un programme de formation et de sensibilisation sur la sécurité inadéquat sont quelques-uns des risques définis dans le PSM, accompagnés de mesures d'atténuation et d'indicateurs de rendement correspondants pour contrer ces risques. De même, le PSM de l'ASPC décrit plusieurs risques liés à la fonction de sécurité matérielle, notamment la perte de biens du Système de la réserve nationale d'urgence ou le vol de pathogènes dans un laboratoire de niveau 4. Certains des risques pour la sécurité matérielle décrits dans les PSM sont atténués.
L'audit a révélé que la Division de la gestion de la sécurité (DGS) disposait d'une liste d'établissements sous garde et en location, à l'exclusion des établissements de santé de la DGSPNI, qui indique à quel moment la dernière évaluation de la menace et des risques (EMR) a été effectuée. L'audit a révélé que des EMR n'ont pas été effectuées pour plusieurs établissements. En octobre 2015, la DGSPNI a demandé de recevoir une attestation/autoévaluation des processus en place pour effectuer le suivi des conditions et de la sûreté et sécurité des établissements de santé des Premières Nations. La haute direction de la direction générale a examiné les résultats de cette autoévaluation, dont le résultat a été une révision de la Politique sur la sûreté et la sécurité des établissements de santé de la DGSPNI, ainsi que du Cadre de planification et de gestion des ententes de dépenses en capital. L'exercice d'autoévaluation a aussi souligné le fait que des EMR n'avaient pas été effectuées, selon l'horaire prévu dans certaines régions et que des améliorations étaient requises aux plans d'action exigeant un examen et la gestion de la mise en œuvre de mesures correctives.
En outre, la DGS ne dispose pas d'un registre central complet des EMR portant sur tous les établissements. De plus, aucun registre central des résultats des recommandations découlant de toutes les EMR n'est actualisé. Sans ces données, il est difficile pour l'ASM de déterminer si la liste des risques pour la sécurité matérielle définis dans les EMR est complète et si les risques ont été atténués de manière appropriée.
Le personnel de gestion a pris des mesures pour renforcer la gestion des risques pour la sécurité matérielle en élaborant un cadre du Programme de l'évaluation de la menace et des risques nationaux (PEMRN). Lorsqu'il sera mis en œuvre, le cadre sera une caractéristique centrale du programme de sécurité matérielle, permettant de garantir que les EMR pour tous les locaux occupés sous garde et en location sont effectuées tous les cinq ans ou lorsque les circonstances changent de manière importante. En janvier 2016, comme élément de la méthodologie du SCT relative à l'établissement du Cadre de responsabilisation de la gestion, la Direction des biens immobiliers et de la sécurité a indiqué que 29 pour cent des établissements de SC et 44 pour cent des établissements de l'ASPC avaient complété une EMR au cours de cinq dernières années.
En conclusion, quoique la DGSPNI ait récemment effectué des autoévaluations afin de repérer les établissements posant les risques les plus importants en matière de sécurité matérielle, la gestion des risques en matière de sécurité matérielle à l'échelle du Ministère doit néanmoins être améliorée.
Recommandation 2
Il est recommandé que la sous-ministre adjointe de la Direction générale des services de gestion, en collaboration avec les responsables des directions générales, garantisse :
- qu'un registre central complet soit tenu pour les évaluations de la menace et des risques portant sur tous les établissements, lequel comprend les résultats des recommandations découlant de toutes les évaluations des menaces et des risques;
- que les évaluations des menaces et des risques soient actualisées pour les établissements lorsqu'il y a eu des changements importants au contexte de menace et lorsque des changements apportés aux lois actuelles ou nouvelles (p. ex., la Loi sur les agents pathogènes humains et les toxines) ont une incidence sur la sécurité.
Réponse de la direction
La direction souscrit à cette recommandation.
La DGSG assurera qu'un registre ou dépôt central est mis en place pour faire le suivi sur les évaluations des menaces et des risques (EMR) et des résultats de celles-ci.
La DGSG assurera également qu'au cours de la première année d'opération du registre centre, les EMR ont été mises à jour à la suite de changements importants au contexte de menace.
3. Contrôles internes
3.1 Politiques et procédures
Critère d'audit : Des politiques et des plans relatifs à la sécurité sont élaborés et mis en œuvre pour appuyer la sécurité matérielle pour les personnes, les biens et l'information.
Les politiques et les plans relatifs à la sécurité servent à garantir que SC et l'ASPC peuvent offrir des services qui contribuent à la santé, à la sécurité, au bien-être économique et à la sûreté de la population canadienne. Des politiques efficaces en matière de sécurité, ce qui comprend la sécurité matérielle, protègent l'information, les biens et les services contre la compromission et fournissent l'assurance que les personnes sont protégées contre la violence au travail.
La DGS a travaillé à l'élaboration de politiques et de plans intégrés pour protéger les personnes, les biens et l'information à SC et à l'ASPC. Des politiques et des cadres ont été élaborés pour s'aligner sur la nouvelle Politique sur la sécurité du gouvernement du CT, qui doit entrer en vigueur en 2016. Ces initiatives comprennent l'élaboration d'une politique en matière de sécurité de SC et de l'ASPC, du Cadre intégré de sécurité, du document intitulé Rôles et responsabilités relatifs à la gestion intégrée de la sécurité et le Cadre du Programme des évaluations des menaces et des risques nationaux. Toutefois, au moment de la rédaction du présent rapport, tous ces documents sont à l'état d'ébauche et n'ont été approuvés que par la haute direction.
Un examen des politiques et des cadres provisoires et des entrevues avec les GRS ont révélé l'absence de directives précises sur les questions liées à la sécurité auxquelles font face les praticiens de la sécurité dans les régions.
La DGSPNI dispose de sa propre Politique sur la sécurité et la sûreté des établissements de santé (SSES), qui complète la politique en matière de sécurité de SC, afin de répondre aux besoins de sécurité particuliers des établissements de santé de la DGSPNI. Il faut noter que, dans certains cas, la politique de la DGSPNI n'est pas respectée et qu'elle ne cadre pas avec les politiques intégrées élaborées par la DGS. Par exemple, l'article 5.8 de la SSES précise que les EMR et les plans d'action doivent être documentés de manière appropriée et conservés dans un système approprié de gestion de l'information, comme le Système de rapports sur les incidents de sécurité (SRIS). Toutefois, la DGS n'était pas en mesure de fournir des copies des EMR pour les établissements de soins infirmiers. Cette information a été obtenue directement des GRS.
En l'absence d'un ensemble intégré de politiques sur la sécurité complet et approuvé, les employés et les praticiens de la sécurité à SC et à l'ASPC dépendent de politiques datant de 2007 et de 2011, respectivement. Le recours à ces politiques dépassées n'est pas pratique, compte tenu le manque de cohérence avec la Politique sur la sécurité du gouvernement du CT, y compris l'exigence de préparer des PSM et de surveiller leurs résultats.
En conclusion, les politiques en matière de sécurité de SC et de l'ASPC sont en place. Toutefois, ces politiques sont actualisées pour cadrer avec la Politique sur la sécurité du gouvernement du CT. Enfin, d'autres politiques en matière de sécurité, élaborées par la DGSPNI, devraient cadrer avec les politiques ministérielles en matière de sécurité.
Recommandation 3
Il est recommandé que la sous-ministre adjointe de la Direction générale des services de gestion élabore et approuve un ensemble intégré de politiques en matière de sécurité appuyant la fonction de sécurité matérielle et garantisse que la politique complémentaire en matière de sécurité de la Direction générale de la santé des Premières Nations et des Inuits cadre avec l'ensemble de politiques.
Réponse de la direction
La direction souscrit à cette recommandation.
La DGSG complètera et approuvera un ensemble intégré de politiques en matière de sécurité matérielle et assurera que le programme de la DGSPNI en matière de sécurité matérielle cadre avec celui-ci.
3.2 Contrôles physiques
Critère d'audit : Des contrôles et des processus relatifs à la sécurité physique sont en place pour protéger le personnel, l'information et les biens.
3.2.1 Protection des employés et des entrepreneurs
Dans l'ensemble, environ 12 000 employés travaillent à SC et à l'ASPC à l'échelle nationale, dont la majorité œuvre dans des établissements administratifs ou des laboratoires situés dans la région de la Capitale nationale. De plus, des employés travaillent dans des centres régionaux situés partout au pays, y compris dans des aéroports opérés par le gouvernement ou le secteur privé, dans des cliniques médicales et aux passages frontaliers. Des employés et des entrepreneurs fournissent aussi des services de soins de santé primaires aux Premières Nations et aux Inuits qui vivent dans des collectivités rurales, éloignées et isolées.
Région de la Capitale nationale
L'audit comprenait des visites sur place dans la région de la Capitale nationale pour examiner les contrôles physiques de sécurité dans cinq établissements administratifs, deux laboratoires et l'entrepôt du Système de la réserve nationale d'urgence. Dans le cadre de l'audit, on a examiné les contrôles physiques de sécurité dans chacun de ces emplacements, liés à l'utilisation de zones pour contrôler l'accès par le public et le personnel, les barrières physiques, les mesures d'identification personnelles, les laissez-passer, les serrures à clés, les cadenas à combinaison et les contrôles d'accès électronique comme les claviers installés près des points d'entrée, les lecteurs de cartes, les serrures électriques et les gâches électriques. Les contrôles du périmètre comme l'éclairage, l'aménagement paysager et le stationnement ont également été évalués.
Ces contrôles physiques de sécurité visent à protéger les employés, les biens et l'information de SC et de l'ASPC. Des procédures appropriées de zonage et des contrôles d'accès étaient généralement mis en œuvre, sauf quelques exceptions mineures. Certaines infractions ont été cernées, notamment des employés qui se joignent à d'autres pour entrer dans des zones d'accès réservé, le fait de ne pas porter des laissez-passer de manière visible et une signalisation inadéquate. En outre, des portes menant à des pièces d'accès réservé comme des pièces à haute tension et des salles d'archives étaient laissées ouvertes, déverrouillées ou sans surveillance.
Laboratoire national de microbiologie
Le Laboratoire national de microbiologie (LNM) est situé au Centre scientifique canadien de santé humaine et animale, à Winnipeg. Il est reconnu à l'échelle internationale comme un chef de file dans un groupe sélect de centres. Il est équipé de laboratoires dont la biosécurité varie entre le niveau 2 et le niveau 4, et il est conçu pour accueillir les organismes infectieux des plus élémentaires aux plus mortels. Le 1er décembre 2015, la Loi sur les agents pathogènes humains et les toxines est entrée pleinement en vigueur. Cette nouvelle loi exige des niveaux élevés de sécurité et de sûreté pour les organisations, comme le LNM, qui manipulent des pathogènes humains et des toxines. Le LNM manipule la plupart des pathogènes mortels connus, alors il est impératif que la posture de sécurité soit aussi en mesure de répondre aux menaces potentielles. L'établissement a été classifié comme étant un bien de nature très délicate du gouvernement du Canada, et il fait partie de son infrastructure cruciale conçue par Sécurité publique Canada.
La dernière évaluation des menaces et des risques pour la sécurité matérielle du LNM a été effectuée en 2012. L'évaluation a révélé que la sécurité globale, y compris les contrôles physiques de sécurité, était satisfaisante. L'évaluation n'a révélé aucun élément à risque élevé, aucune omission évidente ou lacune grave n'ayant eu une incidence négative sur les opérations. Cependant, il faut noter que comme dans toute autre activité ou entreprise, dans un contexte en constante évolution, il existe toujours des éléments auxquels des améliorations peuvent être apportées ou qui pourraient être modifiés.
Au cours de la visite de l'établissement et dans le cadre de discussions avec l'AMS et le directeur exécutif du LNM, on a observé que l'EMR n'était pas actualisée à l'égard de la protection de l'établissement dans un contexte de menace en évolution. En outre, quelques améliorations potentielles ont été cernées et celles-ci ont été portées à l'attention de la haute direction et de l'AMS. Les évaluations de la menace et des risques pour la sécurité matérielle devraient être actualisées (voir la recommandation 2). Après que le travail d'audit sur le terrain ait été effectué, la haute direction a avisé qu'une EMR serait effectuée pour le LNM en 2016.
Postes de soins infirmiers
La Politique sur la sécurité et la sûreté des établissements de santé précise que la DGSPNI s'engage à prendre des mesures immédiates et appropriées pour atténuer et éliminer les risques liés à la sécurité, notamment la violence au travail, dans les établissements de santé de la DGSPNI. Dans le contexte de cette politique, SC, en tant qu'employeur fédéral, est directement responsable de garantir un milieu de travail sûr et sécuritaire pour tous les membres du personnel infirmier de la DGSPNI et d'autres membres du personnel de soins de santé travaillant dans des établissements de santé de la DGSPNI.
La Politique sur les paiements de transfert du CT exige que les programmes de subventions et de contributions soient gérés selon les principes d'intégrité, de transparence et de responsabilité. Par le biais d'accords de subvention et de contribution, SC finance l'exploitation et l'entretien de postes de soins infirmiers en location. Par conséquent, le règlement des vulnérabilités de sécurité matérielle repose sur la collectivité des Premières Nations hôte. SC travaille avec ces collectivités, mais dispose d'une influence limitée pour garantir que ces mesures relatives à la sécurité matérielle sont prises en temps opportun. Les accords empêchent SC d'apporter unilatéralement des modifications, y compris aux contrôles physiques de sécurité, à ces établissements. Certains employés de SC travaillent dans des établissements en location, qui ne sont pas contrôlés par SC.
Les membres du personnel infirmier, en tant que groupe professionnel, font face à un risque élevé d'incidents graves. L'escalade de la violence est courante dans tous les domaines des soins infirmiers. Dans le Rapport sommaire annuel du Programme de gestion du stress professionnel à la suite d'un incident critique (GSPIC) de SC, couvrant la période du 1er avril 2013 au 31 mars 2014, publié par la DGSPNI et le Bureau des régions et des programmes (maintenant la Direction générale de la réglementation des opérations et des régions), on a documenté l'augmentation de la fréquence et de la gravité de la violence à l'endroit des membres du personnel des soins de santé offrant des services de première ligne. Par rapport à cette augmentation de la violence, une posture solide de sécurité matérielle aux postes de soins infirmiers et dans les centres de santé communautaires est essentielle pour protéger les employés et les entrepreneurs de SC et maintenir un effectif durable qui continuera d'offrir des services de santé aux collectivités des Premières Nations.
Les contrôles physiques de sécurité [Une information sensible liée à la sécurité a été retirée conformément aux dispositions d'exemption de la Loi sur l'accès à l'information.] ont également été examinés. L'audit a révélé que des améliorations mineures devaient être apportées. Des mesures, comme le remplacement de la porte de sortie extérieure sud et le déplacement de la caméra de sécurité à l'entrée principale de l'établissement renforceraient sa posture de sécurité matérielle.
Comme il a été mentionné dans l'Audit de l'accès aux services de santé pour les collectivités éloignées de Premières Nations (printemps 2015) du Bureau du vérificateur général, des lacunes ont été observées dans les postes de soins infirmiers, concernant les exigences en matière de santé et de sécurité ou les codes du bâtiment. La responsabilité de répondre aux exigences en matière de sécurité matérielle aux postes de soins infirmiers est partagée entre les conseils de bande dans les collectivités des Premières Nations et SC. Dans la plupart des collectivités éloignées et isolées, la responsabilité de réparer et d'entretenir les établissements et les résidences de soins infirmiers incombe aux conseils de bande locaux dans le cadre de subventions et de contributions négociées. Dans le cadre de l'audit, on a constaté qu'il existe un engagement limité de la part des dirigeants des conseils de bande à régler les questions relatives à la sécurité matérielle, même si les modalités de ces services ont été établies d'un commun accord.
Le risque d'agression à l'égard des membres du personnel infirmier est plus élevé lorsqu'ils travaillent seuls, comme il est reconnu dans les Lignes directrices sur la prévention de la violence en milieu de travail (2012) de Santé Canada. Pour atténuer ces risques, on peut prendre des mesures comme l'utilisation de gardiens de sécurité pour appuyer les membres du personnel infirmier en service de garde qui doivent s'occuper des patients après les heures normales de travail. Des gardiens de sécurité efficaces fournissent un soutien psychologique (comme la tranquillité d'esprit de savoir que le gardien de sécurité peut appeler un autre membre du personnel infirmier pour aider en cas d'escalade d'une urgence médicale) et un soutien physique (comme un contrôle des foules pour permettre aux membres du personnel infirmier de se concentrer sur les soins aux patients, et une intervention dans les situations de violence). Des gardiens de sécurité fiables et compétents sont utiles pour les membres du personnel infirmier et les soins qu'ils prodiguent et, par conséquent, pour l'ensemble de la collectivité.
SC met des fonds à la disposition des collectivités des Premières Nations et d'autres bénéficiaires au moyen de subventions et de contributions, pour la prestation de programmes et de services, notamment des services de sécurité dans les postes de soins infirmiers en régions isolées et éloignées. L'audit a révélé des faiblesses dans les services de sécurité dans les postes de soins infirmiers de collectivités éloignées et isolées des Premières Nations. En 2013-2014, 158 incidents de sécurité comme, par exemple, des gardiens absents, des gardiens partant pendant leur quart de travail ou incapables d'assumer leurs tâches, ont été signalés à la DGSPNI au moyen de rapports d'incident. Les membres du personnel infirmier ont souvent soulevé des préoccupations à l'égard de l'absence ou du comportement inapproprié des gardiens de sécurité.
En conclusion, les contrôles physiques et les processus de sécurité dans la région de la Capitale nationale pour les établissements examinés étaient adéquats, mais quelques améliorations sont requises. Les contrôles physiques de sécurité au Laboratoire national de microbiologie devraient être examinés dans le cadre de l'actualisation de l'EMR pour la sécurité matérielle (voir la recommandation 2). Il existe des vulnérabilités à l'égard des contrôles physiques de sécurité pour les employés et les entrepreneurs de SC qui travaillent dans des postes de soins infirmiers dans des collectivités des Premières Nations en Ontario et au Manitoba (voir la recommandation 4).
3.2.2 Protection des biens
Une visite du site a été effectuée à l'entrepôt du Système de la réserve nationale d'urgence, à Ottawa. L'audit a révélé que l'établissement a mis en œuvre des mesures de sécurité matérielle adéquates. [Une information sensible liée à la sécurité a été retirée conformément aux dispositions d'exemption de la Loi sur l'accès à l'information.]
SC et l'ASPC possèdent des biens matériels importants, en particulier dans leurs laboratoires. Ces biens doivent être protégés adéquatement contre le vol, la perte ou les dommages pour garantir que les deux organisations ne sont pas privées de leur utilisation, et que la prestation des programmes et des services n'est pas interrompue. Des mesures de contrôle de la sécurité efficaces protègent également SC et l'ASPC des coûts financiers liés au remplacement des articles de grande valeur.
Dans le cadre de l'audit, on a examiné les contrôles physiques de sécurité dans deux établissements dans la région de la Capitale nationale et dans un établissement à Winnipeg où se trouvent des biens de grande valeur. Il a été déterminé que les contrôles physiques de sécurité entourant les biens de grande valeur sont adéquats.
3.2.3 Protection de l'information
La Politique sur la gestion de l'information gouvernementale du CT exige que les ministères protègent l'information tout au long de son cycle de vie. Le fait de ne pas protéger l'information d'un accès non autorisé, d'une divulgation, d'une modification ou d'une destruction peut entraîner la perte de propriété intellectuelle et la perte de la confiance du public. Le cadre de sécurité pour protéger l'information consignée sur papier à SC et à l'ASPC atténue le risque que leur information soit compromise, ce qui pourrait les empêcher d'offrir leurs programmes et services, d'éclairer la prise de décisions en matière de politiques stratégiques et de respecter la notion de responsabilité et de transparence à l'égard de la population canadienne.
Le cadre global de contrôle de la gestion pour la protection de l'information de SC et de l'ASPC dans la région de la Capitale nationale est adéquat. Certaines vulnérabilités liées à la sécurité pour les fonds de renseignement ont été cernées; toutefois, elles étaient largement atténuées par leur emplacement dans des zones de travail (« un secteur où l'accès est limité au personnel qui y travaille et aux visiteurs qui sont accompagnés de manière appropriée »Note de bas de page 1).
Au cours de l'audit, les fonds de renseignement ont été examinés dans quatre lieux [Une information sensible liée à la sécurité a été retirée conformément aux dispositions d'exemption de la Loi sur l'accès à l'information.]. Les mesures de contrôle pour protéger les fonds de renseignement dans un des lieux, [Une information sensible liée à la sécurité a été retirée conformément aux dispositions d'exemption de la Loi sur l'accès à l'information.], étaient adéquates. Toutefois, les fonds de renseignements dans les trois autres lieux [Une information sensible liée à la sécurité a été retirée conformément aux dispositions d'exemption de la Loi sur l'accès à l'information.] ne disposaient pas de mesures de protection matérielle appropriées.
En conclusion, les fonds de renseignements sur papier dans les établissements de SC et de l'ASPC visités dans la région de la Capitale nationale sont protégés de manière adéquate, mais des améliorations mineures sont requises. Cependant, les mesures de protection des fonds de renseignements, y compris les dossiers des patients, aux postes de soins infirmiers examinés dans les collectivités éloignées et isolées des Premières Nations devraient être renforcées.
Recommandation 4
Il est recommandé que la sous-ministre adjointe de la Direction générale des services de gestion, en collaboration avec le sous-ministre adjoint des Opérations régionales, Direction générale de la santé des Premières Nations et des Inuits :
- Développe et mette en œuvre un processus pour assurer que les conditions des établissements de soins de santé financés par la DGSPNI sont évaluées de façon systématique, que les vulnérabilités ayant une incidence sur la sécurité du personnel et des fonds d'information sont suivies et que des mesures correctives sont apportées en temps opportun;
- Étudie la mise en œuvre à la fin de la première année et apporte les modifications requises, le cas échéant.
Réponse de la direction
La direction souscrit à cette recommandation.
La DGSPNI évaluera les conditions dans les établissements de soins de santé et fera rapport sur l'efficacité des plans d'action.
3.3 Formation et sensibilisation
Critère d'audit : Les employés disposent de la formation, des outils, des ressources et de l'information nécessaires pour favoriser la conformité avec les politiques, les directives et les normes pour appuyer l'exécution de leurs responsabilités dans le domaine de la sécurité matérielle.
La Directive sur la gestion de la sécurité ministérielle du SCT précise qu'un programme de sensibilisation à la sécurité ministérielle couvrant tous les aspects de la sécurité des ministères et du gouvernement doit être créé, géré, exécuté et actualisé pour s'assurer de renseigner les personnes et de leur rappeler régulièrement les questions et les préoccupations liées à la sécurité et leurs responsabilités à ce titre. Plus précisément, l'AMS, les praticiens de la sécurité et d'autres personnes assumant des responsabilités précises liées à la sécurité devraient recevoir une formation appropriée à jour afin de garantir qu'ils possèdent les connaissances et les compétences nécessaires pour exécuter efficacement leurs responsabilités en matière de sécurité. Un programme de formation et de sensibilisation efficace en matière de sécurité est essentiel au succès de tout programme de sécurité ministérielle, y compris la fonction de sécurité matérielle.
Un Cadre de formation et de sensibilisation provisoire a été élaboré par la Division de la gestion de la sécurité (DGS), mais il n'est pas exhaustif. Les régions n'ont pas été consultées au cours de l'élaboration du cadre, et il ne comprend pas de liste de tous les cours de formation liés à la sécurité offerts à tous les employés, y compris les employés assumant des responsabilités particulières en matière de sécurité (c.-à-d. les praticiens de la sécurité). En outre, le cadre provisoire n'aborde pas la formation pour les employés travaillant dans des milieux uniques (comme les employés travaillant dans des laboratoires et dans des collectivités éloignées et isolées).
La DGS a pris des mesures pour favoriser la sensibilisation à la sécurité, notamment la sécurité matérielle, à l'intention des employés de SC et de l'ASPC, au moyen d'initiatives comme le programme de ratissage de sécurité, des articles dans Nouvelles diffusées et la participation à la Semaine de la sensibilisation à la sécurité, qui se tient chaque année.
Les aspects liés à la sécurité matérielle sont favorisés dans le cadre de deux cours de formation non obligatoires visant tous les employés : Le soin et la garde des renseignements et Sensibilisation générale à la sécurité. Les deux cours de formation visent à faire comprendre aux employés la manière de protéger de manière appropriée les renseignements ministériels, comme la catégorisation, le marquage et l'échange de l'information, les documents papier et les renseignements électroniques et la protection du système et des données. Une liste complète des participants n'était pas accessible, mais une analyse des données existantes a révélé que ces cours de formation ont surtout été suivis par des employés de la région de la Capitale nationale. On ne fait pas la promotion de ces cours dans l'ensemble de SC et de l'ASPC, et ils ne sont offerts que sur demande. L'audit a permis de constater que les cours de formation et les séances d'orientation offertes aux nouveaux employés donnent un aperçu de la sécurité à SC et à l'ASPC. Douze séances d'orientation ont été offertes entre avril 2013 et janvier 2015, auxquelles ont participé 150 employés. Les nouveaux employés reçoivent une brève introduction à la sécurité, qui comprend des aspects de la sécurité matérielle dans le cadre du programme d'orientation, mais un examen des documents de ces séances a révélé que seulement une présentation rapide des procédures de classification et de catégorisation des documents était couverte.
Une formation, des outils, des ressources et des renseignements sur la sécurité matérielle sont offerts par la DGSPNI au personnel infirmier et aux entrepreneurs qui travaillent dans des collectivités des Premières Nations : séance d'orientation destinée au personnel infirmier, sensibilisation et formation en matière de sécurité pour le personnel infirmier (SFSPI) et la SFSPI pour les infirmières gestionnaires.
La séance d'information à l'intention du personnel infirmier est un cours de formation non obligatoire de deux semaines, mais des entrevues avec les gestionnaires régionaux de la sécurité (GRS) ont révélé que les discussions liées à la sécurité matérielle se limitent à quelques heures. En outre, dans le cadre de l'audit, on a constaté que le volet sur la sécurité et la sûreté présenté dans le cours variait d'une région à l'autre. Par exemple, une région mettait l'accent sur la violence au travail, alors qu'une autre région couvrait les aspects liés à l'utilisation de rapports d'incident, aux évaluations de sécurité et au plan de l'établissement en ce qui concerne l'emplacement des boîtiers de verrouillage, etc. En outre, la DGS n'était pas au courant des séances d'information liées à la sécurité offertes par la DGSPNI à l'intention du personnel infirmier.
La SFSPI est un cours obligatoire unique qui donne aux employés les renseignements pertinents sur l'utilisation de rapports d'incident et le but des EMR. Cependant, le cours est offert uniquement une fois au cours de la carrière d'un membre du personnel infirmier. La SFSPI à l'intention des infirmières gestionnaires est semblable à la SFSPI, mais n'est pas obligatoire.
Il n'existe aucun cours de formation adapté aux employés travaillant dans des laboratoires, même si une présentation générale sur la sécurité des laboratoires est offerte, sur demande. La présentation devrait être revue pour garantir une formation uniforme à jour sur la sécurité des pathogènes et les exigences en matière de confinement dans les laboratoires.
Conformément à la Politique sur la sécurité du gouvernement du CT, les principaux praticiens de la sécurité doivent recevoir une formation appropriée à jour pour garantir qu'ils possèdent les connaissances et les compétences nécessaires pour exécuter efficacement leurs responsabilités en matière de sécurité. La DGS ne tient pas de dossiers qui consignent si les praticiens de la sécurité ont reçu une formation adéquate à jour.
Les employés de SC et de l'ASPC ont accès à des outils, à des ressources et à des renseignements liés à la sécurité, principalement par l'intermédiaire de la page Web GCpédia du gouvernement du Canada, qui comprend le dépliant sur le soin et la garde des renseignements, le calendrier de la sécurité de SC et de l'ASPC, la carte d'absence du titulaire de SC et de l'ASPC et le Journal de la sensibilisation à la sécurité de SC et de l'ASPC. D'autres documents d'orientation liés à la sécurité, comme la Politique de sécurité intégrée et le document intitulé Rôles et responsabilités relatifs à la gestion intégrée de la sécurité sont élaborés, mais ils n'ont pas été approuvés. Des politiques, des cadres et d'autres documents approuvés à jour sur la sécurité, accessibles dans l'Intranet, aideraient à favoriser une sensibilisation efficace à la sécurité et fourniraient aux employés des documents de référence sur leurs rôles et responsabilités en matière de sécurité, notamment la sécurité matérielle.
En conclusion, l'audit a révélé que des mesures ont été prises pour favoriser la formation et la sensibilisation en matière de sécurité. Néanmoins, des améliorations sont nécessaires pour mesurer l'efficacité du programme de formation et garantir que les employés, les praticiens de la sécurité et le personnel travaillant dans des milieux uniques comme des laboratoires et des centres de santé communautaires aient à leur disposition la formation, les outils, les ressources et les renseignements adéquats.
Recommandation 5
Il est recommandé que la sous-ministre adjointe de la Direction générale des services de gestion termine la cadre de formation et de sensibilisation afin d'appuyer une formation uniforme complète, et qu'elle développe des outils pour surveiller son efficacité.
Réponse de la direction
La direction souscrit à cette recommandation.
La DGSG développera un cadre de formation et de sensibilisation à la sécurité.
3.4 Surveillance, établissement de rapports et mesures de rendement
Critère d'audit : Un processus systématique est en place pour surveiller et évaluer les activités et les incidents de sécurité matérielle, et en rendre compte. Le personnel de gestion mesure le rendement réel en fonction des résultats attendus et rend compte des progrès à l'égard de l'atteinte des objectifs de la fonction de sécurité matérielle.
La Politique sur la sécurité du gouvernement du CT précise que les administrateurs généraux doivent veiller à ce que l'on procède à des examens périodiques pour déterminer si le programme de sécurité ministérielle est efficace, si les buts, les objectifs stratégiques et les objectifs de contrôle précisés dans leur plan de sécurité du ministère ont été atteints, et si ce plan continue de répondre aux besoins du ministère et du gouvernement dans son ensemble. Elle précise également que les administrateurs généraux doivent mettre sur pied un programme de sécurité afin d'assurer la coordination et la gestion des activités ministérielles liées à la sécurité et que le programme doit être surveillé, évalué et faire l'objet de rapports afin de mesurer les efforts, les ressources et les réussites du personnel de gestion à l'égard de l'atteinte des résultats attendus.
En outre, la Directive sur la gestion de la sécurité ministérielledu SCT précise que l'AMS doit surveiller l'efficacité des mesures de contrôle de sécurité pour faire en sorte qu'elles demeurent à jour et qu'elles satisfont aux exigences de sécurité mentionnées dans les évaluations du risque. Enfin, la directivedu SCT précise que l'AMS doit mesurer le rendement sur une base continue afin de veiller à ce qu'un niveau acceptable de risque résiduel soit atteint et maintenu.
La surveillance systématique montre l'efficacité des activités de sécurité. Elle sert à examiner les anomalies, à définir les tendances et à mettre à l'essai les mesures de contrôle. Une surveillance efficace peut également permettre de détecter rapidement les incidents de sécurité et ainsi mener à une prise de décisions en temps opportun et à des mesures correctives.
Les incidents de sécurité matérielle sont surveillés à SC et à l'ASPC, mais la surveillance est limitée, et les données agrégées ne peuvent être analysées pour examiner les anomalies ou définir les tendances. Un vaste éventail d'incidents de sécurité matérielle, y compris des cartes d'accès égarées, une protection inadéquate des documents de nature délicate et des menaces à l'égard du personnel infirmier, sont surveillés au moyen de deux systèmes distincts en place à SC et à l'ASPC : le Système de rapports d'incidents de sécurité (SRIS), géré par la Division de la gestion de la sécurité (DGS) et les rapports d'incident, gérés par la DGSPNI. Les employés travaillant dans des postes de soins infirmiers, des centres de santé communautaires ou des hôpitaux remplissent des rapports d'incident en format papier pour rendre compte d'une variété d'incidents, notamment des menaces à l'égard du personnel infirmier, des agressions à l'égard du personnel infirmier et des défaillances de l'équipement de sécurité. Les rapports d'incident remplis sont communiqués par télécopie à plusieurs voies hiérarchiques, notamment les gestionnaires régionaux de la sécurité, les coordonnateurs régionaux de la sécurité, les gestionnaires de soins infirmiers de zone, la directrice adjointe des soins infirmiers, les directeurs adjoints de zone, les agents principaux de programme, les conseillers en sécurité sur le terrain et les coordonnateurs régionaux intérimaires, mais l'AMS n'en reçoit pas une copie.
L'efficacité de ces systèmes de surveillance est limitée en raison de son utilisation irrégulière tant à l'administration centrale que dans les régions et d'une faible fonctionnalité pour ce qui est d'effectuer l'analyse des données. L'analyse des données de ces systèmes est importante pour aider à déterminer les tendances potentielles en matière d'atteintes à la sécurité matérielle, et ce, afin d'atténuer la présence de nouvelles faiblesses. Comme il a déjà été établi, l'échange d'information entre la DGS et la DGSPNI est limité, et par conséquent, il existe un risque que les incidents, y compris les incidents de sécurité matérielle, ne soient pas signalés rapidement à l'AMS afin que des mesures soient prises.
Les incidents de sécurité signalés à la DGS sont rarement portés à l'attention de l'AMS, sauf si les incidents ne sont pas de nature courante ou sont de nature complexe. D'autres mécanismes de surveillance à la DGS comprennent le suivi des EMR effectuées dans la région de la Capitale nationale et dans les régions. Toutefois, comme il a déjà été mentionné dans le rapport d'audit, la DGS ne tient pas de dépôt central des résultats des recommandations découlant de toutes les EMR. Par conséquent, la DGS ne surveille pas si les recommandations présentées sont acceptées, transférées ou atténuées dans tous les établissements de manière uniforme.
En octobre 2014, l'ASPC a commencé l'établissement de rapports mensuels de sécurité. Ces rapports représentent une première étape intéressante; on y présente de l'information sur les manquements à la sécurité (ratissages de sécurité, perte de biens) et sur les incidents et les enquêtes de sécurité liés à la TI. Cette initiative devrait être soutenue et renforcée par l'ajout de données sur le rendement portant sur les activités de sécurité par rapport aux résultats attendus, de même que l'ajout d'information sur les manquements à la sécurité de SC.
Un système de rapports efficace sur les incidents de sécurité matérielle donne des réponses rapides, uniformes et intégrées. Un système de rapports efficace permet également d'effectuer le suivi des incidents de sécurité en vue de déterminer les tendances et d'attribuer les ressources en sécurité, au besoin.
Les systèmes en place pour rendre compte des incidents de sécurité matérielle à SC et à l'ASPC ne favorisent pas des mesures appropriées et cohérentes pour protéger les employés, les renseignements et les biens. Le signalement d'incidents de sécurité est irrégulier, tout comme les activités d'intervention subséquentes. Les voies de signalement des incidents de sécurité sont différentes dans chaque région ainsi que dans les postes de soins infirmiers et les centres de santé communautaires.
Pour les employés qui travaillent dans des établissements administratifs, cinq voies de communication sont à leur disposition pour signaler les incidents de sécurité :
- à la Division de la gestion de la sécurité, par courriel ou téléphone;
- aux coordonnateurs de la sécurité de la direction générale (région de la Capitale nationale seulement);
- à un gestionnaire ou un superviseur;
- aux coordonnateurs régionaux de la sécurité (régions seulement);
- au Centre des opérations de sécurité.
Peu d'orientation est donnée aux employés sur la méthode d'établissement de rapports la plus appropriée. De même, il existe un manque d'encadrement des praticiens de la sécurité sur la manière d'intervenir en cas d'incident de sécurité et le moment où ces incidents doivent être signalés à l'AMS. Si un coordonnateur de sécurité de la direction générale, un gestionnaire ou un superviseur signale un incident de sécurité directement à la DGS par courriel ou téléphone, un dossier est créé par un enquêteur, et l'incident est saisi dans le SRIS. Si un incident est signalé à un GRS, on peut ou non utiliser le SRIS. Par conséquent, les renseignements sur les incidents de sécurité, les interventions et les mesures d'atténuation sont communiqués de manière irrégulière à l'AMS et à d'autres centres de responsabilité.
Un système différent de signalement des incidents de sécurité matérielle est en place dans les établissements de santé financés par la DGSPNI. Comme il a été mentionné précédemment, les employés qui travaillent dans des postes de soins infirmiers, des centres de santé communautaires ou des hôpitaux remplissent des rapports d'incident en format papier pour signaler divers incidents, notamment des incidents de sécurité matérielle comme des dommages matériels ou des problèmes relatifs aux gardiens de sécurité. Les rapports sont largement distribués, mais ils ne sont pas communiqués à l'AMS. Cette approche générale de rapports dilue une responsabilisation claire, exclut l'AMS qui prodiguerait des conseils importants et peut faire obstacle à des interventions rapides et efficaces.
Le Centre des opérations de sécurité (COS), en fonction 24 heures sur 24, 7 jours sur 7, représente une autre voie de communication. Il vise principalement à fournir des contrôles d'accès électronique, une surveillance d'alarme et des services d'intervention en cas d'urgence dans la région de la Capitale nationale. Il existe un numéro pour les employés des régions, mais ceux-ci communiquent rarement avec le COS parce que l'on croit qu'il offre des services exclusivement à la région de la Capitale nationale.
Dans leurs Plans de sécurité ministérielle (PSM) de 2012, SC et l'ASPC ont établi des indicateurs de rendement pour évaluer le rendement réel en fonction des résultats attendus. L'audit a révélé des progrès effectués à l'égard d'indicateurs de rendement généraux faisant l'objet d'un suivi et de rapports à la haute direction. Cependant, il faut noter qu'il serait très difficile d'effectuer une analyse des tendances à partir de la série actuelle d'indicateurs et d'apporter les changements nécessaires en vue d'aborder les éléments à risque et non conformes.
En conclusion, des systèmes sont en place à SC et à l'ASPC pour surveiller les activités et les incidents de sécurité matérielle. Toutefois, l'efficacité de ces systèmes de surveillance est limitée en raison de la manière dont ils sont utilisés à l'administration centrale et dans les régions, ainsi que de la difficulté à effectuer une analyse des données pour examiner les anomalies, définir les tendances et prendre des mesures d'atténuation à l'égard des nouvelles faiblesses.
Recommandation 6
Il est recommandé que la sous-ministre adjointe de la Direction générale des services de gestion, en collaboration avec le sous-ministre adjoint des Opérations régionales de la Direction générale de la santé des Premières Nations et des Inuits, harmonise et intègre les systèmes d'établissements de rapports pour assurer qu'il y ait une vue d'ensemble des activités et les incidents de sécurité matérielle, y compris des mesures de rendement, et ce, afin de pouvoir évaluer l'efficacité globale de la fonction de sécurité matérielle.
Réponse de la direction
La direction souscrit à cette recommandation.
La DGSG améliorera et harmonisera les systèmes et les pratiques de surveillance et d'établissements de rapports sur les activités et les incidents de sécurité matérielle.
C - Conclusion
L'audit a permis de conclure que le cadre de contrôle de gestion en place pour appuyer la fonction de sécurité matérielle de Santé Canada (SC) et de l'Agence de la santé publique du Canada (ASPC), ainsi que sa conformité avec la Politique sur la sécurité du gouvernementdu Conseil du Trésor (CT) du Canada et d'autres politiques, directives et normes pertinentes, doit être amélioré.
Une structure de gouvernance est en place et les Comités exécutifs de SC et de l'ASPC reçoivent des informations sur des questions précises relatives à la sécurité matérielle. Cependant, des améliorations sont requises dans l'ensemble du Ministère pour ce qui est de la surveillance et de la gestion de la fonction de sécurité matérielle. Les rôles et les responsabilités de l'agent ministériel de sécurité (AMS) sont définis et appuyés de pouvoirs clairs, mais l'audit a constaté plusieurs occasions où l'AMS n'a pas assumé ses rôles et responsabilités, conformément aux politiques.
Les contrôles physiques visant à protéger le personnel, les renseignements et les biens dans la région de la Capitale nationale et les régions, lesquels ont fait l'objet d'un examen, sont satisfaisants. Les mesures de contrôle de la sécurité matérielle au Laboratoire national de microbiologie (LNM) à Winnipeg devraient être revues dans le cadre d'une actualisation de l'évaluation des menaces et des risques pour la sécurité matérielle dans un contexte de menace en évolution. En outre, les contrôles visant à protéger le personnel, les renseignements et les biens dans les postes de soins infirmiers devraient être améliorés. Les vulnérabilités à l'égard de la sécurité matérielle dans les postes de soins infirmiers dans les collectivités éloignées et isolées devraient être abordées afin de réduire le risque de violence pour les employés et de se protéger contre l'accès non autorisé aux renseignements protégés et une divulgation de ceux-ci.
Quoique la DGSPNI ait récemment effectué des autoévaluations pour repérer les établissements ayant les risques les plus élevés en matière de sécurité matérielle, les risques relatifs à celle-ci doivent être mieux gérés dans l'ensemble du Ministère. Les plans de sécurité ministérielle (PSM), les principaux documents décrivant le programme de sécurité pour SC et l'ASPC, élaborés en 2012, ont été actualisés après que le travail d'audit sur le terrain ait été effectué. Le PSM intégré 2016-2019 a été approuvé en février 2016 par les deux administrateurs généraux. Des politiques de sécurité sont en place et celles-ci sont actualisées afin de cadrer avec la Politique sur la sécurité du gouvernementdu CT et le PSM intégré. Les politiques de sécurité additionnelles élaborées par la DGSPNI devraient cadrer avec les politiques ministérielles de sécurité.
Des mesures ont été prises pour favoriser la formation et la sensibilisation en matière de sécurité. Des améliorations additionnelles sont nécessaires, toutefois, pour garantir que les employés, les praticiens de la sécurité et le personnel œuvrant dans des milieux uniques comme les laboratoires et les centres de santé communautaires reçoivent la formation, les outils, les ressources et les renseignements appropriés.
En conclusion, des systèmes sont en place à SC et l'ASPC afin de surveiller les activités et les incidents de sécurité matérielle. Toutefois, l'efficacité de ces systèmes de surveillance est limitée en raison de la façon dont ils sont utilisés au bureau central et dans les régions, ainsi que de la difficulté d'effectuer des analyses afin d'examiner les anomalies, déterminer les tendances et prendre des mesures d'atténuation pour réduire les occurrences futures.
Les possibilités d'amélioration mises en évidence renforceront collectivement le cadre de contrôle de la gestion afin d'appuyer la fonction de sécurité matérielle à SC et à l'ASPC.
Annexe A - Champs d'intérêt et critères
Titre du critère | Critères d'audit | ||
---|---|---|---|
Champ d'intérêt 1 : Gouvernance | |||
1.1 | Structure de gouvernanceTableau 1 - Note 1 Tableau 1 - Note 2 Tableau 1 - Note 3 | Une structure de gouvernance efficace est en place pour surveiller et gérer la fonction de sécurité matérielle. | |
1.2 | Pouvoir, rôles et responsabilitésTableau 1 - Note 1 Tableau 1 - Note 2 Tableau 1 - Note 3 Tableau 1 - Note 4 | Le pouvoir, les rôles et les responsabilités pour la fonction de sécurité matérielle sont définis, documentés et communiqués. | |
Champ d'intérêt 2 : Gestion du risque | |||
2.1 | Gestion des risques pour la sécurité matérielleTableau 1 - Note 1 Tableau 1 - Note 2 Tableau 1 - Note 3 | Les risques pour la sécurité matérielle sont cernés, documentés, évalués et atténués de manière systématique. | |
Champ d'intérêt 3 : Contrôles internes | |||
3.1 | Politiques et procéduresTableau 1 - Note 1 Tableau 1 - Note 2 Tableau 1 - Note 3 | Des politiques et des plans relatifs à la sécurité sont élaborés et mis en œuvre pour appuyer la sécurité matérielle pour les personnes, les biens et l'information. | |
3.2 | Contrôles physiquesTableau 1 - Note 2 Tableau 1 - Note 3 Tableau 1 - Note 4 | Des mesures de contrôle de la sécurité matérielle et des processus sont en place pour protéger le personnel, l'information et les biens. | |
3.3 | Formation et sensibilisationTableau 1 - Note 1 Tableau 1 - Note 2 Tableau 1 - Note 3 | Les employés disposent de la formation, des outils, des ressources et de l'information nécessaires pour favoriser la conformité avec les politiques, les directives et les normes pour appuyer l'exécution de leurs responsabilités dans le domaine de la sécurité matérielle. | |
3.4 | Surveillance, établissement de rapports et mesures de rendementTableau 1 - Note 1 Tableau 1 - Note 2 Tableau 1 - Note 3 | Un processus systématique est en place pour surveiller et évaluer les activités et les incidents de sécurité matérielle, et en rendre compte. La direction mesure le rendement réel en fonction des résultats attendus et rend compte des progrès à l'égard de l'atteinte des objectifs de la fonction de sécurité matérielle. | |
Annexe B - Grille d'évaluation
Critère | Cote | Conclusion | Nº de la rec. |
---|---|---|---|
Gouvernance | |||
1.1 Structure de gouvernance | Nécessite des améliorations | Une structure de gouvernance est en place et les Comités exécutifs de SC et de l'ASPC reçoivent des informations sur des questions précises relatives à la sécurité matérielle. Cependant, des améliorations sont requises dans l'ensemble du Ministère pour ce qui est de la surveillance et de la gestion de la fonction de sécurité matérielle. | 1 |
1.2 Pouvoir, rôles et responsabilités | Nécessite des améliorations | Les rôles et les responsabilités de l'agent ministériel de sécurité (AMS) sont définis et appuyés de pouvoirs clairs, mais l'audit a constaté plusieurs occasions où l'AMS n'a pas assumé ses rôles et responsabilités, conformément aux politiques. | Voir la rec.1 |
Gestion du risque | |||
2.1 Gestion des risques pour la sécurité matérielle | Nécessite des améliorations | Quoique la DGSPNI ait récemment effectué des autoévaluations pour repérer les établissements ayant les risques les plus élevés en matière de sécurité matérielle, les risques relatifs à celle-ci doivent être mieux gérés dans l'ensemble du Ministère. | 2 |
Contrôles internes | |||
3.1 Politiques et procédures | Nécessite des améliorations modérées | Des politiques de sécurité pour le programme intégré de sécurité sont en place et sont actualisées afin de cadrer avec la Politique sur la sécurité du gouvernementdu CT. Les politiques de sécurité additionnelles élaborées par la DGSPNI ne cadrent pas avec les politiques ministérielles de sécurité. | 3 |
3.2 Contrôles physiques | Région de la Capitale nationale -- Satisfaisant | Les contrôles physiques visant à protéger le personnel ainsi qu'à protéger les renseignements et les biens dans les établissements examinés dans la région de la Capitale nationale et les régions sont satisfaisants. | - |
Laboratoire national de microbiologie - Nécessite des améliorations modérées | Les contrôles physiques au Laboratoire national de microbiologie à Winnipeg devraient être examinés dans le cadre d'une actualisation de l'évaluation des menaces et des risques pour la sécurité matérielle. | Voir la rec. 2 | |
Postes de soins infirmiers - Nécessite des améliorations | Les contrôles physiques visant à protéger le personnel, les renseignements et les biens dans les régions devraient être renforcés dans les postes de soins infirmiers situés dans des collectivités éloignées et isolées. | 4 | |
3.3 Formation et sensibilisation | Nécessite des améliorations mineures | Des mesures ont été prises pour favoriser la formation et la sensibilisation en matière de sécurité. Une formation supplémentaire est nécessaire pour les employés œuvrant dans les laboratoires et d'autres milieux uniques. | 5 |
3.4 Surveillance, établissement de rapports et mesures de rendement | Nécessite des améliorations modérées | Des systèmes sont en place afin de surveiller les activités et les incidents de sécurité matérielle. Toutefois, l'efficacité de ces systèmes de surveillance est limitée en raison de la façon dont ils sont utilisés au bureau central et dans les régions, ainsi que de la difficulté d'effectuer des analyses afin d'examiner les anomalies, déterminer les tendances et prendre des mesures d'atténuation pour réduire les occurrences futures. | 6 |
Annexe C -- Infrastructure de sécurité matérielle

Annexe C -- Infrastructure de sécurité matérielle - Description textuel
Le sous-ministre de Santé Canada et la présidente de l'Agence de la santé publique du Canada sont responsables de garantir que les deux organisations disposent d'une structure de gouvernance avec des responsabilités claires afin d'intégrer et de mettre en œuvre la gestion de la sécurité (y compris la sécurité matérielle) dans les plans, les programmes, les activités et les services ministériels.
Dans le cadre du Partenariat de services partagés, la sous-ministre adjointe de la Direction générale des services de gestion doit assurer la mise en œuvre et la gestion des activités des deux organisations relatives à la sécurité matérielle, et ce, par le biais du directeur général de la Direction des biens immobiliers et de la sécurité. Au sein de cette Direction, la Division de la gestion de la sécurité est responsable de l'administration, de la gestion et de la surveillance de la fonction de sécurité matérielle. Le directeur exécutif de la Division de la gestion de la sécurité agit à titre d'agent ministériel de la sécurité; il relève du sous-ministre de Santé Canada et de la présidente de l'Agence de la santé publique du Canada relativement à l'exercice de ces fonctions.
Trois directeurs relèvent du directeur exécutif de la Division de la gestion de la sécurité : le directeur de l'Opération de sécurité, le directeur des Programmes de sécurité et le directeur des Opérations régionales de la sécurité relativement aux activités du Laboratoire national de microbiologie. Trois entités se rapportent au directeur de l'Opération de la sécurité : le Centre des opérations de la sécurité, l'Unité d'examens et l'Unité de la sécurité matérielle et des systèmes. Les coordonnateurs de la sécurité de la direction générale dans la région de la Capitale nationale agissent à titre de ressource additionnelle pour la Division de la gestion de la sécurité.
En parallèle, le directeur exécutif de la Division des biens immobiliers au sein des régions est responsable des établissements et locaux régionaux. Il accomplit cette tâche grâce aux directeurs de Biens et immobiliers et sécurité et aux gestionnaires régionaux de la sécurité.
La Direction générale de la santé des Premières Nations et des Inuits (DGSPNI) dispose d'une structure de gouvernance distincte afin d'encadrer le programme de sécurité matérielle. Relevant du sous-ministre adjoint des Opérations régionales, la directrice exécutive de la Division de la capacité, de l'infrastructure et de l'imputabilité fournit des conseils stratégiques et un appui à la fonction de sécurité matérielle de la direction générale. La directrice exécutive est également responsable d'assurer la liaison avec la Division de la gestion de la sécurité. De plus, le Comité de planification et d'examen de l'immobilisation fournit un forum de coordination et de consultation en matière de la sûreté et la sécurité.
Annexe C - Notes de bas de page
- Le directeur exécutif est responsable des établissements et locaux régionaux ainsi que de la mise en œuvre du programme de sécurité ministérielle dans les régions, y compris la production de rapports sur les questions liées à la sécurité.
- L'agent ministériel de sécurité (AMS) représente l'agent de sécurité le plus élevé en grade. En cas d'incident de sécurité important ou d'atteinte à la sécurité, l'AMS relève simultanément du sous-ministre de Santé Canada (SC), de la présidente de l'Agence de la santé publique du Canada (ASPC) et de la sous-ministre adjointe de la Direction générale des services de gestion (DGSG).
- La directrice exécutive est responsable de la mise en œuvre de la Politique sur la sûreté et la sécurité des établissements de santé de la Direction générale de la santé des Premières nations et des Inuits (DGSPNI) et de la prestation de conseils stratégiques et d'un appui à la fonction de sécurité de la DGSPNI. La directrice exécutive est également responsable d'assurer la liaison avec la Division de la gestion de la sécurité, de la DGSG afin de soulever les questions et d'explorer des solutions sur toutes les questions touchant la sûreté et la sécurité des postes de soins infirmiers de la DGSPNI et d'autres membres du personnel des soins de santé dans les établissements de santé financés par la DGSPNI.
- La Division des programmes de sécurité est composée de dix employés qui supervisent l'élaboration de politiques et d'outils liés à toutes les facettes de la sécurité.
- Les Opérations régionales de sécurité sont composées de quatre employés qui supervisent la sécurité liée au Centre scientifique canadien de santé humaine et animale, à Winnipeg.
- Le Comité de planification et d'examen de l'immobilisation (CPEI) fournit un forum de coordination et de consultation pour l'élaboration de politiques, de procédures, de normes et de conseils à l'intention de la haute direction sur les questions et les priorités en matière de la sûreté et la sécurité qui touchent les établissements de santé financés par la DGSPNI.
- Cinq gestionnaires régionaux de la sécurité (GRS) relèvent sur le plan opérationnel de leur directeur régional de la Direction des biens immobiliers et de la sécurité, mais qui relèvent sur le plan fonctionnel de l'AMS et reçoivent de lui des directives en matière de sécurité.
- Le Centre des opérations de sécurité est en activité 24 heures sur 24, 7 jours sur 7 pour fournir à SC et à l'ASPC dans la région de la capitale nationale (RCN) des contrôles d'accès électronique, une surveillance d'alarme et des services d'intervention en cas d'urgence.
- L'Unité des enquêtes mène ses activités avec trois employés pour superviser les enquêtes administratives, notamment la perte, le vol et la violence au travail.
- Les huit employés de l'Unité du système de sécurité matérielle surveillent les questions de sécurité matérielle dans la RCN et offrent une assistance dans la mise en œuvre des recommandations découlant des évaluations de la menace et des risques.
- Les coordonnateurs de la sécurité de la direction générale (DSDG) existent uniquement dans la RCN et sont nommés par leur SMA respectif ou un cadre équivalent. Par conséquent, ils relèvent soit directement, soit sur le plan fonctionnel de leur responsable du programme. Ils agissent à titre de ressource additionnelle pour la Division de la gestion de la sécurité afin de communiquer avec les employés de leur direction générale sur les questions de sécurité et d'offrir certains services de sécurité.
Annexe D - Liste des sigles
- AMS
- Agent ministériel de sécurité
- ASPC
- Agence de la santé publique du Canada
- COS
- Centre des opérations de sécurité
- CT
- Conseil du Trésor du Canada
- DCII
- Division de la capacité, de l'infrastructure et de l'imputabilité
- DGS
- Division de la gestion de la sécurité (DGSG)
- DGSG
- Direction générale des services de gestion
- DGSPNI
- Direction générale de la santé des Premières Nations et des Inuits
- EMR
- Évaluation des menaces et des risques
- FSSS
- Formation et sensibilisation en matière de sécurité
- GRS
- Gestionnaire régional de la sécurité
- LNM
- Laboratoire national de microbiologie
- PEMRN
- Programme de l'évaluation des menaces et des risques nationaux
- PSG
- Politique sur la sécurité du gouvernement
- PSM
- Plan de sécurité du Ministère
- SC
- Santé Canada
- SCT
- Secrétariat du Conseil du Trésor du Canada
- SMA
- Sous-ministre adjoint
- SRIS
- Système de rapports sur les incidents de sécurité
- SSES
- Sûreté et sécurité des établissements de santé
Détails de la page
- Date de modification :