Audit du programme de biosécurité à l'Agence de la santé publique du Canada

Présentée au Comité ministériel d'audit le 24 janvier 2019

Janvier 2019

Version PDF - 32 pages, 642 Ko

Table des matières

• Liste des acronymes
• Résumé
• A - Introduction
• B - Constatations, recommandations et réponses de la Direction
  • Gouvernance
  • Gestion des risques
  • Contrôles internes
    • Capacité, formation et technologie de l'information
    • Surveillance et vérification de la conformité
    • Activités en matière d'application
    • Activités en matière de biosûreté et de biosécurité
    • Surveillance
    • Surveillance et rapports
• Conclusion

• Appendice A – Rôles et responsabilités
• Appendice B – Feuille de pointage
• Appendice C – Renseignements sur l'audit
  1. Objet de l'audit
  2. Portée de l'audit
  3. Approche de l'audit
• Appendice D – Critères d'audit

Liste des acronymes

ABCSE

Agents biologiques à cote de sécurité élevée

ACIA

Agence canadienne d'inspection des aliments

ASFC

Agence des services frontaliers du Canada

CB

Centre de la biosécurité (le Centre)

COI

Conflit d'intérêts

CR

Cadre de référence

ERAAP

Évaluation des risques associés à l'agent pathogène

FTSSP

Fiche technique santé-sécurité : agents pathogènes

GCVR

Gestion du cycle de vie de la réglementation

GR

Groupe de risque

iSTOP

Ensemble intégré d'outils pour les processus opérationnels

LAPHT

Loi sur les agents pathogènes humains et les toxines

LNM

Laboratoire national de microbiologie

LSA

Loi sur la santé des animaux

PIR

Profil d'information sur le rendement

PON

Procédure opérationnelle normalisée

RAPHT

Règlement sur les agents pathogènes humains et les toxines

RSA

Règlement sur la santé des animaux

Résumé

Le programme de biosécurité (le programme) représente l'autorité nationale en matière de biosûreté et de biosécurité relativement aux agents pathogènes humains et animaux, ainsi qu'aux toxines. Le programme a pour objectif d'établir et de maintenir un régime de sécurité et de sûreté solide et complet qui prévient et détecte les risques pour la santé posés par l'utilisation d'agents pathogènes humains et de toxines, et y réagit. Le programme est régi par la Loi sur les agents pathogènes humains et les toxines (LAPHT), le Règlement sur les agents pathogènes humains et les toxines (RAPHT) ainsi que par des articles de la Loi sur la santé des animaux (LSA) et du Règlement sur la santé des animaux (RSA).

Objet de l'examen

Nous avons examiné le cadre de contrôle de gestion du programme. L'audit portait principalement sur la gouvernance, la gestion des risques et les contrôles internes, en ce qui concerne les suivants :

• les activités de vérification et de surveillance de la conformité, telles que la délivrance de permis, les habilitations de sécurité, les inspections et la surveillance;
• les mesures d'application de la loi et les réponses à la non-conformité et aux enquêtes;
• les processus liés à la surveillance et à la production de rapports opérationnels (tableaux de bord) pour le programme;
• les interactions avec l'Agence canadienne d'inspection des aliments (ACIA) dans le cadre du programme;
• l'élaboration et la mise en œuvre de procédures pour atténuer les menaces à l'égard de l'impartialité du programme.

L'audit comportait aussi une analyse de la fonctionnalité de l'Ensemble intégré d'outils pour les processus opérationnels (iSTOP), puisque le programme se fie au système pour mener ses activités réglementaires.

Importance du programme

Le programme de biosécurité réglemente l'utilisation des agents pathogènes humains, des agents pathogènes animaux terrestres et des toxines, afin de protéger la santé et d'assurer la sécurité du public. Les agents pathogènes et les toxines posent un risque au public en raison de leur capacité à causer des maladies ou des décès. La propagation de maladies infectieuses au Canada pourrait perturber le climat social et économique de façon importante et entraîner des répercussions internationales. Ces agents sont utilisés dans de nombreux secteurs au Canada à différentes fins, notamment l'enseignement et la recherche dans les universités, le diagnostic des maladies dans les hôpitaux et les établissements de santé publique, ainsi que la mise au point de vaccins dans l'industrie pharmaceutique. Les composantes du programme ont été conçues afin de prévenir le rejet accidentel de ces agents par un laboratoire, notamment par l'intermédiaire d'un travailleur infecté, et d'empêcher leur rejet volontaire par un acte de terrorisme ou autre activité criminelle. Le programme aide aussi le Canada à respecter ses obligations en vertu du Règlement sanitaire international et de la Convention sur les armes biologiques et à toxines.

Constatations

Dans l'ensemble, nous avons constaté que des contrôles de gestion effectifs étaient en place pour assurer un régime sain et sécuritaire qui protège la santé et la sécurité du public contre les dangers posés par l'utilisation des agents pathogènes et des toxines. Les processus et les pratiques de gestion ont été efficaces dans les domaines suivants :

• des structures de gouvernance complètes pour les comités qui soutiennent l'efficacité de la surveillance, la sensibilisation au risque et sa gestion, ainsi que la coopération opérationnelle;
• la coordination et collaboration entre le programme et l'ACIA pour le soutien de leurs responsabilités conjointes; 

• des pratiques de gestion du risque qui étaient intégrées de manière efficace dans les activités opérationnelles du programme;
• un système de gestion de l'information, assorti de ressources qualifiées et de procédures opérationnelles normalisées (PON) pour assurer l'uniformité des activités réglementaires;
• la compilation et analyse des rapports d'incident pour faciliter la reconnaissance en temps réel des tendances afin d'aider les intervenants à gérer les risques émergents pour la santé et la sécurité publique.

Nous avons également cerné des possibilités d'amélioration dans les domaines suivants :

• la sensibilisation des employés à propos de leurs obligations en matière de conflits d'intérêts (COI);
• l'établissement de procédures pour la sélection d'analystes de la LAPHT désignés qui ne présentent pas de conflits d'intérêts perçus ou potentiels, en cas d'incident au Laboratoire national de microbiologie (LNM), ou de situation impliquant l'un de ses employés et qui exigerait une analyse d'agent pathogène par un analyste désigné;
• la mise en œuvre d'un processus fondé sur les risques pour surveiller l'activité des utilisateurs dans le cadre de l'iSTOP afin de vérifier l'exactitude des dossiers et du processus de production de rapports;
• le renforcement du cadre d'inspection du programme au moyen de la définition de la tolérance au risque de la haute direction en ce qui a trait à la fréquence des inspections pour les permis du groupe de risque (GR) 2 et de la précision des critères et des cotes de risque une fois que des données suffisantes ont été recueillies;
• l'assurance que le processus d'enquête de sécurité en vertu de la LAPHT est exact, efficace et conforme aux l'accord sur les niveaux de service.

Les possibilités d'amélioration relevées dans ce rapport d'audit et les recommandations connexes renforceront collectivement la gestion du programme de biosécurité. Les problèmes que nous avons définis comme étant mineurs ont été portés à l'attention de la direction.

A – Introduction

1. Les agents pathogènes et les toxines posent un risque pour la santé humaine, la santé animale et la sécurité publique en raison de leur capacité à causer des maladies, et parfois des décès. Qu'il soit accidentel ou délibéré, le rejet d'un agent pathogène d'un environnement de laboratoire dans la collectivité peut entraîner des conséquences graves pour la santé et le bien-être socio-économique des Canadiens, et peut représenter une menace pour la sécurité nationale. Dans l'absence de mesures de contrôle appropriées, les incidents liés à la biosécurité et à la biosûreté peuvent avoir des répercussions catastrophiques, notamment causer une éclosion de maladies menaçant la santé publique avec de nombreux cas ou des décès, de même que des pertes économiques attribuables au resserrement des mesures de contrôle à la frontière et au commerce.
2. La biosûreté et la biosécurité constituent deux volets distincts, mais interconnectés, du mandat de l'Agence. La biosûreté sert à protéger les humains et les animaux, depuis certains individus jusqu'à une espèce entière, au moyen de mesures de manipulation, de transport et d'entreposage (bioconfinement) sûrs. La biosécurité correspond à la bonne garde des toxines ou des agents pathogènes à risque élevé, notamment les agents biologiques à cote de sécurité élevée (ABCSE), hors de portée de personnes ou d'organisations mal intentionnées.
3. Au Canada, on compte environ 1 000 titulaires de permis qui gèrent un ou plusieurs laboratoires. Ces laboratoires se trouvent dans des universités et des collèges, des installations de soins de santé diagnostiques, des installations gouvernementales fédérales, provinciales et territoriales, des installations pharmaceutiques et biotechnologiques et des entreprises de distribution commerciale.
4. Au Canada, le programme de biosécurité représente l'autorité nationale en matière de biosûreté et de biosécurité pour les agents pathogènes humains, les agents animaux terrestres^{Note de bas de page 1} et les toxines. Le programme est régi par la Loi sur les agents pathogènes humains et les toxines (LAPHT) et le Règlement sur les agents pathogènes humains et les toxines (RAPHT), qui est entré en vigueur le 1er décembre 2015. De plus, en avril 2013, certaines dispositions de la Loi sur la santé des animaux (LSA) et du Règlement sur la santé des animaux (RSA) concernant l'importation d'agents animaux terrestres indigènes^{Note de bas de page 2} ont été transférées de l'ACIA à l'ASPC.
5. Les toxines et les agents pathogènes sont répertoriés dans quatre groupes de risque en fonction des dangers relatifs qu'ils posent pour la santé des humains et des animaux, le GR 4 regroupant les agents pathogènes à risque le plus élevé. La Loi et le Règlement s'appliquent à l'ensemble des personnes et des installations au Canada qui mènent des activités contrôlées avec des agents pathogènes et des toxines des groupes de risque (GR) des niveaux 2, 3 et 4, tandis que les agents pathogènes du GR 1 ne sont pas réglementés. 
6. Afin de protéger la santé et la sécurité des Canadiens contre les risques associés à l'utilisation d'agents pathogènes humains et d'agents animaux terrestres ainsi que de toxines, les composantes du programme comprennent la délivrance de permis aux laboratoires, les habilitations de sécurité individuelles pour les agents pathogènes aux conséquences graves, la déclaration d'incidents, les évaluations des risques associés aux agents pathogènes (ERAAP), l'élaboration et la mise en œuvre de normes, la sensibilisation et la mobilisation des intervenants, et la conformité et l'application de la loi.
7. Le programme de biosécurité est géré par l'entremise du Centre de la biosécurité (CB, ou le Centre) à la Direction générale de l'infrastructure de sûreté sanitaire (DGISS). Le Centre est composé de quatre bureaux distincts dont les responsabilités sont décrites à l'annexe A. Le budget annuel du programme est d'environ 8,5 millions, et compte 75 équivalents temps plein. Cet audit a été réalisé avant l'intégration du Bureau des services de santé des voyageurs et aux frontières au Centre en août 2018.
8. Les annexes de ce rapport fournissent des renseignements supplémentaires sur les résultats de l'audit et sur la façon dont il a été mené : annexe B – Feuille de pointage, annexe C – Au sujet de l'audit, et annexe D – Secteurs d'intérêt et critères.

B – Constatations, recommandations et réponses de la Direction

Gouvernance

Structure de surveillance

9. Un cadre de gouvernance est un ensemble de règles et de pratiques grâce auxquelles une organisation veille à la coordination, au leadership et à la responsabilisation. Ultimement, l'application de bonne gouvernance contribue à l'efficacité et à la rentabilité de la réalisation des objectifs stratégiques et organisationnels.
10. Nous nous attendions à observer des mécanismes de gouvernance comprenant des définitions claires des rôles, des responsabilités, des membres et du pouvoir décisionnel soutenant les activités réglementaires du Centre de la biosécurité.
11. Nous avons constaté que des comités de membres de la haute direction avaient été mis en place aux niveaux de la direction générale et de la direction. De plus, il y avait divers comités et groupes de travail au niveau opérationnel. Cette structure de gouvernance est appropriée, puisqu'elle illustre la complexité et les responsabilités partagées des activités du programme. En fonction de leurs mandats respectifs, les comités de membres de la haute direction fournissent une surveillance et un pouvoir décisionnel efficaces tout en favorisant la collaboration, le partage de l'information et la transparence dans le cadre de la prestation du programme. Les comités opérationnels de niveau inférieur à la haute direction offraient un soutien et une orientation supplémentaires.
12. Nous avons examiné sept cadres de référence (CR) des comités principaux et de comités de niveau opérationnel et avons trouvé qu'un CR n'était pas à jour et qu'un comité n'avait pas de CR. En outre, un CR ne décrivait pas le pouvoir décisionnel d'un comité donné et ne nommait pas de membres suppléants. Des CR mis à jour pour tous les comités clés permettront d'assurer que les responsabilisations sont appropriées, optimisées et documentées. L'octroi de pouvoirs décisionnels dans les CR aiderait aussi à assurer que les comités prennent des décisions dans leurs secteurs de responsabilité. 
13. Un échantillon des ordres du jour et des comptes rendus des réunions a été examiné afin de confirmer que les comités fonctionnent d'une manière efficace et efficiente. Nous avons constaté que le groupe de travail des directeurs prenait des décisions par consensus. Cependant, nous avons relevé beaucoup de cas où le nombre de directeurs participants était inférieur à celui des autres participants. Le CR ne prévoyait pas de délégation des pouvoirs à ces réunions et ne précisait pas ce qui constituait un quorum, deux éléments qui auraient pu entraver le fonctionnement efficace d'un comité.
14. De plus, des membres du comité de gestion intermédiaire du Centre de la biosécurité (CB) ont précisé que l'envoi préalable des ordres du jour était fait de façon sporadique ou à la dernière minute, ce qui a mené à de longs breffages au cours de la réunion pour certains points qui auraient pu être soulevés à l'avance. Si l'on tient compte du nombre élevé de gestionnaires présents aux réunions, il ne s'agit peut-être pas là d'une utilisation efficace de leur temps. 
15. Nous avons noté un chevauchement des activités et des responsabilités entre le comité de gestion du CB et le Comité de gestion du cycle de vie de la réglementation (CGCVR). Le CGCVR a pour mandat de fournir une orientation stratégique et de prendre des décisions sur des initiatives horizontales concernant les programmes de réglementation de l'ASPC. Il offrait aussi un forum à la haute direction du CB pour discuter de la réglementation des agents pathogènes humains et des toxines, et pour fournir une orientation stratégique et prendre des décisions à cet égard. Ces activités chevauchaient avec les mécanismes de gouvernance interne actuels du CB. Cependant, le Bureau des services de santé des voyageurs et aux frontières, qui était l'autre programme de réglementation, a été fusionné avec le Centre en août 2018, et le comité sera aboli.
16. Dans l'ensemble, sauf quelques exceptions mineures, l'audit a constaté que l'établissement de structures de gouvernance et de mécanismes connexes soutenait efficacement les activités de réglementation du Centre de la biosécurité.

Conflits d'intérêts

17. L'indépendance constitue un attribut essentiel pour assurer l'efficacité d'un organisme de réglementation. Les conflits d'intérêts (COI) remettent en question l'intégrité et la justesse des décisions prises par les organismes de réglementation. S'ils ne sont pas abordés de façon appropriée, les conflits d'intérêts peuvent augmenter la méfiance et le cynisme envers les organismes de réglementation et, avec le temps, avoir une incidence sur la légitimité et l'efficacité des mesures prises.
18. Nous nous attendions à trouver des mécanismes établis de gestion des conflits d'intérêts, surtout en ce qui a trait au Laboratoire national de microbiologie (LNM), puisque tant le Laboratoire que le Centre sont régis par l'ASPC.
19. Comme avec tout programme de réglementation, il y a un risque que les employés laissent les préjugés ou les biais nuire à l'objectivité, ou utilisent des renseignements obtenus dans le cadre de leur travail pour leur avantage personnel. Pour la période visée par cet audit, le Centre n'avait pas établi de politiques ni de procédures distinctes ou particulières au programme pour évaluer et atténuer les risques posés par des conflits d'intérêts, recourant plutôt aux processus mis en place pour les COI à l'échelle du ministère. Cependant, en mai 2018, le Centre a élaboré un processus de déclaration des COI et un formulaire de déclaration connexe. La prise de mesures précises au niveau du programme pour sensibiliser les employés aux conflits d'intérêts réels ou perçus et à leur obligation de les divulguer permettrait d'assurer l'intégrité du processus.
20. Nous avons constaté que le Centre n'entretenait pas de lien de dépendance avec le LNM et qu'il était autonome tant sur le plan de sa structure que de ses finances. En vertu de la LAPHT, du RAPHT, de la LSA et du RSA, le Centre a le pouvoir de réglementer des installations réalisant des activités contrôlées, notamment le LNM. La Norme canadienne sur la biosécurité (NCB) a servi de base pour la surveillance et la vérification de la conformité. Notre analyse des activités de surveillance et de vérification de la conformité, réalisée au LNM, de même que des entrevues avec les inspecteurs, nous a permis de conclure que le LNM a fait l'objet des mêmes degrés de rigueur et d'objectivité que tout autre organisme de réglementation.
21. En vertu de la LAPHT, la ministre peut nommer des analystes pour l'administration et l'application de la Loi et du Règlement, et un inspecteur peut demander l'examen par un analyste désigné de tout élément saisi ou prélevé. Cette procédure est particulièrement importante pour l'application de mesures pénales. Nous avons constaté que le bassin actuel d'analystes désignés se trouvait au LNM et au Centre national des maladies animales exotiques (CNMAE) de l'ACIA. En cas d'incident au LNM, ou d'une situation mettant en cause un de ses employés, une analyse des agents pathogènes par un analyste désigné serait exigée; cependant, le recours à un analyste désigné du LNM pourrait donner lieu à un apparent conflit d'intérêts, ce qui pourrait nuire à l'application des peines. Même si le risque était atténué par la capacité du programme de recourir au laboratoire du CNMAE pour l'entreposage, l'analyse et la conservation appropriés de l'échantillon, de même que par la surveillance étroite exercée sur le LNM par l'entremise d'inspections annuelles et de soutien constant, l'absence d'un plan d'urgence pourrait faire en sorte que le programme soit réactif, causer de la confusion et de l'inefficacité, et nuire à la réputation du Centre à titre d'organisme de réglementation efficace.
22. Dans l'ensemble, nous avons conclu que le programme a maintenu une relation indépendante du LNM. Cependant, aucune procédure n'avait été mise en place pour la sélection d'analystes de la LAPHT désignés qui ne présentent pas de conflits d'intérêts perçus ou perçus, en cas d'incident au LNM, ou de situation impliquant ses employés, qui exigerait une analyse d'agent pathogène par un analyste désigné. De plus, des mesures précises n'avaient pas été établies au niveau du programme pour sensibiliser les employés à leurs obligations relativement aux COI.

Recommandation 1

Le vice-président de la Direction générale de l'infrastructure de sûreté sanitaire devrait :

• sensibiliser les employés à leurs obligations en matière de conflits d'intérêts;
• établir des procédures pour la sélection d'analystes de la LAPHT désignés qui ne présentent pas de conflits d'intérêts perçus ou potentiels, en cas d'incident au LNM ou de situation mettant en cause l'un de ses employés et qui exigerait une analyse d'agent pathogène par un analyste désigné.

Réponse de la direction

Collaboration avec l'ACIA

23. L'administration respective du RSA par chaque Agence (ASPC et ACIA) permet d'assurer une approche unifiée à la surveillance des agents animaux. La collaboration entre les Agences est essentielle pour le soutien des parties réglementées grâce à l'amélioration de l'efficacité et à la réduction des chevauchements.
24. Nous nous attendions à trouver une approche coordonnée et collaborative à l'égard des responsabilités conjointes en vertu du RSA.
25. Un protocole d'entente était en place pour énoncer la vision, la mission, les principes directeurs et les valeurs, de même que pour définir clairement les rôles et les responsabilités pour les activités de collaboration entre les Agences. Le programme et l'ACIA ont participé à des inspections conjointes et ont collaboré par l'entremise du Groupe de travail interministériel sur l'interprétation, dont le mandat était d'en venir à une interprétation uniforme des Normes et lignes directrices canadiennes sur la biosécurité. Nous avons aussi constaté que les deux Agences avaient fait preuve d'une volonté de collaborer en établissant des voies de communication, tant au niveau des inspecteurs que des directeurs généraux, dans le but d'aborder les difficultés découlant de leurs responsabilités conjointes.

Gestion des risques

26. La gestion des risques fait partie intégrante des bonnes pratiques de gestion qui aident les organisations à faire des choix bien informés pour affecter les ressources, atténuer les menaces et saisir les occasions qui se présentent. Cependant, aucune approche de gestion des risques ne convient dans tous les cas. En effet, la gestion des risques est un processus qui est adapté à l'environnement de l'organisation, y compris son mandat, sa structure, ses activités et les contraintes connexes. 
27. Nous nous attendions à trouver un processus de gestion des risques efficace en place où les risques, notamment les risques en matière de biosûreté à l'extérieur du cadre de surveillance actuel, avaient été cernés, évalués, gérés et signalés.
28. Nous avons constaté que le processus de gestion des risques en place pour le Centre comprenait et abordait des risques importants liés au programme de biosécurité, et qu'il était efficacement intégré dans le processus de planification opérationnel aux niveaux du programme et de la direction générale.
29. Le Centre a élaboré un registre des risques qui indiquait les principaux risques qui figuraient également dans le Plan opérationnel de la direction générale (PODG) et dans le Profil de risque ministériel (PRM). Nous avons noté que le registre des risques du Centre n'avait pas été mis à jour depuis février 2016. Cependant, au moment de l'audit, le Centre élaborait son plan stratégique et mettait à jour son registre des risques.
30. De plus, le Centre a intégré la gestion des risques dans sa structure opérationnelle au moyen d'activités continues et d'initiatives clés conçues pour créer un environnement cohérent et intégré de gestion des risques. Les principaux processus et activités à l'appui de cet environnement comprennent ce qui suit :
    • le recueil et l'analyse d'incidents signalés pour identifier des tendances qui mettent en évidence des enjeux courants ou émergents;
    • la participation à divers comités interministériels pour établir des priorités en matière de sécurité des agents pathogènes;
    • la collaboration à l'échelle internationale par l'entremise de partenariats pour la sécurité sanitaire mondiale et d'activités de sensibilisation;
    • l'approfondissement des relations avec les biologistes de garage canadiens pour les sensibiliser aux pratiques de laboratoire sûres et promouvoir l'innovation responsable. 
31. Un examen semestriel des plans opérationnels du Centre a permis de surveiller et d'examiner les priorités du Centre. Les initiatives et les activités ont fait l'objet d'un suivi et un compte rendu officiel, au moyen d'un rapport documenté, et non officiel au moyen de discussions bilatérales.
32. Dans l'ensemble, nous avons conclu que le programme avait mis en œuvre des processus appropriés pour cerner, évaluer, gérer et signaler les principaux risques et les initiatives connexes.

Communications avec les intervenants

33.  La communication des renseignements joue un rôle stratégique dans un environnement de réglementation. Des communications efficaces soutiennent l'établissement de relations positives avec les intervenants et peuvent aussi servir à influencer les attitudes et les comportements à plus grande échelle.
34. Nous nous attendions à constater que le programme diffusait des renseignements pertinents et en temps opportun aux intervenants. 
35. Nous avons constaté que les renseignements étaient diffusés à l'ensemble des intervenants au moyen de bulletins trimestriels, d'avis de risques et d'invitations aux ateliers. Le Centre a aussi fourni des renseignements réglementaires précis aux parties concernées par l'entremise du Réseau des agents de biosécurité, d'avis de biosécurité et de bulletins ciblés. Notre examen de diverses activités de communication a permis de déterminer que les renseignements fournis aux intervenants et aux parties réglementées étaient pertinents et en temps opportun.     
36. Des statistiques sur le site Web du programme ont été recueillies surtout pour déterminer à quelle fréquence les Fiches techniques santé-sécurité : agents pathogènes (FTSSP) étaient consultées, la répartition des visionnements de pages Web par pays et les téléchargements d'applications mobiles. Ces statistiques ont permis au programme de déterminer s'il valait la peine de continuer à élaborer ces produits étant donné qu'ils ne sont pas exigés au titre de la LAPHT et du RAPHT. De plus, en août 2018, le Centre a lancé un sondage auprès des intervenants afin d'obtenir leur rétroaction sur l'efficacité des communications et les résultats en matière de formation. Cette rétroaction servira à améliorer les communications à venir avec les intervenants.
37. Nous avons conclu que le programme avait fourni des renseignements pertinents et en temps opportun aux intervenants et a mis en œuvre des initiatives d'amélioration continue.

Contrôles internes

Capacité, formation et technologie de l'information

38. L'organisation doit disposer de ressources humaines suffisantes et qualifiées pour s'assurer d'atteindre les objectifs d'un programme. La planification des ressources humaines doit s'harmoniser avec la planification stratégique et opérationnelle, et l'organisation doit offrir aux employés la formation nécessaire à l'exécution de leurs responsabilités. De plus, le recours à la technologie peut accroître l'efficacité et optimiser les processus. 
39. Nous nous attendions à constater que le Centre disposait les ressources humaines suffisantes et qualifiées et les outils adéquats pour atteindre ses objectifs de programme.

Capacité et formation

40. Nous avons constaté que, malgré l'absence de stratégie de recrutement formelle, le Centre avait entrepris plusieurs activités de recrutement, y compris des processus de dotation pour différents niveaux de classification, des transitions d'étudiants et des événements de recrutement dans les universités. Ces activités ont aidé le Centre à combler les postes vacants essentiels au travail de surveillance de la conformité et de vérification, plus particulièrement au sein du groupe Sciences biologiques.
41. Depuis la création du programme, le pourcentage de postes vacants est passé de 32 % en 2016 à 19 % en 2018. Néanmoins, sept postes sont demeurés essentiellement vacants au cours des trois dernières années malgré les efforts déployés par le programme pour les combler. Ces vacances ont eu un effet sur la capacité du programme à entreprendre des activités prévues et ont contribué à des retards dans la rédaction de politiques réglementaires et l'élaboration des nouvelles FTSSP, en plus d'accroître le travail en retard lié aux examens des évaluations des risques associés à l'agent pathogène (ERAAP) et des plans de surveillance administrative (PSA). 
42. La Politique sur la formation des inspecteurs et la Politique de désignation ont défini un cadre pour la formation des inspecteurs désignés en vertu de la LAPHT et du RAPHT. Ce cadre définit clairement les compétences attendues des inspecteurs, les critères de rendement, ainsi que les politiques sur le mentorat, la formation et l'évaluation des inspecteurs. Les différentes activités de formation avaient pour but de développer et de maintenir un inspectorat compétent pour la tenue des activités de surveillance et de vérification de la conformité et de l'application. Selon les entrevues effectuées au cours de l'audit, la majorité des inspecteurs estimaient que les activités de formation répondaient à leurs besoins et qu'elles leur permettaient de s'acquitter de leurs responsabilités. 
43. Les activités de formation ont été enregistrées et surveillées à l'aide des dossiers de formation personnels et d'une grille de suivi principale. L'analyse d'un échantillon de dossiers de formation et de listes de contrôle des compétences a révélé que les dossiers n'étaient pas remplis de manière uniforme et qu'il y manquait des renseignements pertinents ou qu'il y avait des divergences. 

Technologie de l'information

44. Dès le début du programme en décembre 2015, le Centre a mis en œuvre l'Ensemble intégré d'outils pour les processus opérationnels (iSTOP) pour soutenir la mise en œuvre de la LAPHT. Ce système a été utilisé pour la majorité des activités du programme, y compris le traitement des demandes de permis, l'enregistrement des activités d'inspection, de l'application et des Évaluations des risques associés à l'agent pathogène (ERAAP), ainsi que le signalement des incidents d'exposition.
45. Les mises à jour d'iSTOP étaient gérées efficacement par une équipe multidisciplinaire et supervisées par la structure de gouvernance de haut niveau du projet. Le processus de développement était basé exclusivement sur les commentaires des utilisateurs, puisque le logiciel faisait constamment l'objet d'essais menés par ces mêmes utilisateurs. L'approche de développement itératif permettait de régler rapidement les problèmes de TI, puisque les versions étaient fréquentes.
46. Les entrevues menées lors de l'audit et les observations faites nous ont permis de noter des redondances, la saisie manuelle des données et des difficultés liées à la recherche de renseignements. Par exemple, les listes de contrôle des inspections étaient remplies sur papier et entrées manuellement dans iSTOP. Ces opérations manuelles étaient longues à effectuer et susceptibles d'engendrer des erreurs de saisie, ce qui aurait pu avoir des répercussions sur l'intégrité des données.
47. Selon les entrevues avec les employés du programme dans le cadre de l'audit, même si certains de ces problèmes étaient attribuables aux limites d'iSTOP, les écarts entre les méthodes de saisie des données et les capacités de recherche s'expliquaient surtout par la formation insuffisante et le manque de connaissance du système en raison d'une exposition limitée.
48. Les contrôles de TI visant à garantir la séparation des tâches constituent une mesure de contrôle importante puisqu'elle fait appel à plus d'une personne pour accomplir une tâche et qu'elle a pour but de prévenir la fraude ou les erreurs. Notre analyse des activités d'inspection dans iSTOP a déterminé que les droits d'accès des utilisateurs n'empêchaient personne de préparer, d'examiner ou d'approuver des rapports d'inspection. Une série de modes opératoires normalisés (MON) régissant les inspections et la production de rapports a permis d'atténuer les risques de fraude et d'erreur. Par exemple, au moins deux inspecteurs effectuent et documentent chaque inspection, présentent un compte rendu verbal à la partie réglementée à la fin de l'inspection, et examinent le rapport dans iSTOP. De plus, des journaux de vérification servaient à enregistrer les activités de chaque personne dans iSTOP, même s'ils n'ont pas fait l'objet d'un examen systématique.
49. Dans l'ensemble, nous avons découvert que le Centre disposait de ressources humaines suffisantes et qualifiées et qu'il avait eu recours à la technologie de l'information pour atteindre les objectifs du programme. Toutefois, le manque de surveillance des activités des utilisateurs peut avoir nui à l'intégrité du processus de production des rapports. 

Recommandation 2

Le vice-président de la Direction générale de l'infrastructure de sûreté sanitaire devrait instaurer un processus de surveillance des activités des utilisateurs dans iSTOP pour garantir l'intégrité du processus de production des rapports. 

Réponse de la direction

Surveillance et vérification de la conformité

50. La surveillance et la vérification de la conformité d'une installation à la réglementation sur l'utilisation sécuritaire et le confinement sécurisé des agents pathogènes humains protègent la santé publique. La prestation d'activités efficaces et uniformes de surveillance et de vérification de la conformité permet aux inspecteurs de réaliser ces activités de manière exhaustive, et garantit aussi aux organisations réglementées qu'elles sont traitées de façon juste et équitable.
51. Nous nous attendions à trouver des processus en place pour garantir le déroulement efficace, efficient et uniforme des activités de surveillance et de vérification de la conformité.

Inspections

52. Nous avons constaté que le Centre a mis en œuvre des politiques, des MON, des processus et des modèles clairs dans le but d'avoir des activités d'inspection efficaces et uniformes. Le programme a aussi mis en œuvre des processus, comme des exercices d'analyse comparative, pour garantir l'amélioration continue des activités d'inspection. 
53. Nous avons examiné 20 rapports d'inspection de laboratoires de différents groupes de risque, et nous avons noté que, malgré de légères incohérences relativement aux exigences en matière de suivi, les activités d'inspection étaient menées de manière uniforme, de la planification à la production des rapports jusqu'aux communications avec les parties réglementaires. Nous avons aussi observé des manques d'efficacité dans le processus d'inspection en ce qui concerne la saisie manuelle des données, comme il a été indiqué dans la section ci-dessus. 
54. Le programme a transmis sa Politique en matière de surveillance et vérification de la conformité et des activités réglementaires axée sur le risque aux parties réglementées pour assurer la transparence. La politique répartit les laboratoires autorisés en groupes de risque (GR); le GR4 est le plus élevé, et le GR2 est le plus bas. Le programme s'est engagé à inspecter les titulaires de permis GR4 tous les ans, les titulaires de permis GR3 tous les trois ans et un pourcentage des titulaires de permis GR2 tous les ans en fonction du risque. Durant la période de la portée de l'audit, les engagements obligatoires relatifs aux permis GR4 et GR3 ainsi qu'aux agents biologiques à cote de sécurité élevée (ABCSE) ont été respectés. En 2016-2017, le programme n'a pas atteint son objectif quant aux permis GR2 puisque les ressources ont été affectées en priorité à la délivrance des permis pour le premier semestre de l'année. En 2017-2018, le programme a inspecté 4 % des 885 permis GR2 délivrés, soit un total de 45 inspections. À ce rythme, il faudrait 20 ans pour inspecter tous les titulaires de permis GR2 au moins une fois.
55. La Politique en matière de surveillance et de vérification de la conformité et des activités réglementaires axée sur le risque décrit six facteurs de risque pris en considération quant à l'identification des inspections potentielles des permis GR2. Ces facteurs comprennent les antécédents de conformité, l'exhaustivité des programmes de biosécurité et de biosûreté de l'organisation et de leur gestion, la complexité des activités de l'organisation, la complexité de la surveillance, les nouveaux risques ou les risques émergents en matière de sûreté et de sécurité, ainsi que l'identification du risque externe. Même si les critères de sélection ont tenu compte de facteurs pertinents et adéquats, selon le nombre d'inspections de permis GR2, le programme ne disposait pas d'assez de données pour confirmer l'existence d'une corrélation entre les niveaux de risque élevé et les risques réels en matière de biosûreté et de biosécurité observés durant les inspections.
56. De plus, nous avons découvert que la haute direction n'a pas précisé sa tolérance au risque quant au nombre de permis GR2 à inspecter chaque année. Les cibles relatives aux inspections des permis GR2 ont été établies annuellement en fonction des ressources disponibles. Au moment de l'audit, le programme étudiait la possibilité d'élaborer un modèle statistique pour déterminer la taille d'un échantillon représentatif de la population dans son ensemble.
57. La détermination de la tolérance au risque de la direction et une plus grande précision des facteurs de risque et des cotes garantiraient un déploiement des ressources en fonction des besoins et permettraient la surveillance et la vérification en temps opportun des laboratoires présentant un risque plus élevé.

Recommandation 3

Le vice-président de la Direction générale de l'infrastructure de sûreté sanitaire devrait déterminer la tolérance au risque de la haute direction pour les inspections des titulaires de permis du groupe de risque 2, et réévaluer les facteurs de risque et les cotes nécessaires à la détermination des inspections à effectuer, dès que les données recueillies seront suffisantes pour avoir un échantillon de taille statistiquement significative.

Réponse de la direction

Surveillance des importations à la frontière

58. Durant la période de la portée de l'audit, l'Agence des services frontaliers du Canada (ASFC) a partagé avec d'autres organisations fédérales des données commerciales des douanes par voie électronique dans le cadre du projet Pathfinder. Les entrées de données prenaient la forme d'un flux quotidien provenant de l'application Pathfinder, qui recueille des renseignements sur toutes les importations. Dès la réception des données, divers filtres étaient appliqués pour cerner les entrées hautement prioritaires pour lesquels des activités de surveillance sont requises. 
59. Nous avons examiné un échantillon de 25 entrées de Pathfinder qui présentaient potentiellement un risque selon le programme. Nous avons découvert que 72 % des entrées avaient fait l'objet d'activités de surveillance adéquates, comme l'établissement d'un contact avec l'importateur et la tenue d'inspections imprévues, avec un délai moyen d'un peu plus de 200 jours entre la réception du flux de données et le début du suivi. Ces renseignements comprenaient aussi une donnée aberrante qui a eu une incidence sur la moyenne du sous-ensemble, ce qui a soulevé une question stratégique complexe, comme il est indiqué ci-dessous. Nous avons constaté qu'aucune ressource n'était dédiée spécifiquement aux activités de suivi. Ces activités étaient plutôt menées par des technologues de la délivrance de permis, en plus de leurs tâches quotidiennes, qui étaient accomplies en priorité. La lenteur des activités de suivi soulève la possibilité qu'un agent pathogène ait déjà été utilisé de manière dangereuse ou malveillante.
60. En avril 2018, l'ASFC a modifié l'Initiative du guichet unique pour qu'elle tienne compte de l'utilisation de la Déclaration intégrée des importations. Grâce à l'Initiative du guichet unique, dles négociants ont pu transmettre à l'ASFC tous les renseignements requis sur les importations par voie électronique. Pour sa part, l'ASFC a envoyé les renseignements aux ministères ou organismes responsables de la réglementation des marchandises importées. Ces ministères et organismes ont évalué les renseignements et pris les décisions nécessaires à propos de la frontière. Cette initiative devait atténuer le risque d'importation de matières réglementées sans permis valide par des personnes ou des organisations.
61. De plus, 56 % de notre échantillon était composé d'entreprises intermédiaires, qui comprennent des courtiers, des distributeurs, des intermédiaires en gros et des entreprises de commerce électronique. La LAPHT a été appliquée de manière inégale aux entreprises intermédiaires. Cette situation a posé un risque pour la santé publique, puisque les employés de certaines installations ont pu mener des activités réglementées comportant des agents pathogènes humains et des toxines sans permis, et donc ne pas être assujettis à la surveillance et la vérification de la conformité. Au moment de l'audit, le programme analysait et élaborait des options en matière de politiques pour la délivrance de permis aux entreprises intermédiaires.
62. Même si le programme a surveillé les importations à la frontière, nous avons conclu que la lenteur des mesures de suivi et des actions immédiates aurait pu exposer le public à des agents pathogènes dangereux. Les dernières modifications apportées à l'Initiative du guichet unique devraient atténuer ce risque.   

Activités en matière d'application

63. Une stratégie d'application bien formulée prévoit des mesures incitatives appropriées pour les parties réglementées et des lignes directrices adéquates pour le personnel qui exécute les activités d'application. Les mesures d'application devraient avoir pour but de réduire le risque réel posé par la non-conformité et elles devraient être proportionnelles à la gravité du risque potentiel. Cette manière de procéder réduit le fardeau imposé aux entreprises et aux citoyens tout en améliorant les résultats escomptés.
64. Nous nous attendions à observer des activités d'application menées de manière uniforme et conformément aux exigences réglementaires, aux politiques, aux procédures et aux lignes directrices.
65. Nous avons constaté que le programme a adopté une approche d'application qui est axée sur le risque et qui prévoit des mesures proportionnelles à la gravité des lacunes et de la non-conformité qui en découle. Le programme a aussi élaboré une politique de conformité et d'application qui a été harmonisée avec le Cadre de conformité et d'application de l'ASPC et rehaussée par le continuum de conformité et d'application de la loi. La politique proposait une approche progressive à l'application dans le cadre de laquelle le degré d'une activité tenait compte de divers facteurs, tels que les dommages réels ou potentiels d'une infraction, les antécédents en matière de conformité de la partie réglementée, l'ampleur de l'indifférence manifestée par la partie réglementée et la probabilité de récurrence du problème. Le continuum précise que les premières mesures d'application sont habituellement plus clémentes et qu'elles précèdent l'imposition de mesures de plus en plus rigoureuses.
66. Notre examen d'un échantillon de 18 activités d'application nous a permis de conclure que les activités étaient conformes à la politique et au continuum d'application de la loi. Les situations de non-conformité ont été documentées correctement et les mesures d'application qui en ont découlé étaient justifiées. De plus, les activités d'application ont fait l'objet d'une supervision adéquate de la direction. 

Activités en matière de biosûreté et de biosécurité

67. Les activités réglementées faisant appel à des agents pathogènes humains appartenant aux groupes de risque 2 à 4 ou à des toxines figurant à l'annexe 1 de la LAPHT exigent un permis émis par le programme. Il effectue des évaluations des risques associés à l'agent pathogène (ERAAP) pour déterminer les classifications des groupes de risque humain ou animal et le niveau de confinement correspondant. De plus, les parties réglementées doivent obtenir une habilitation de sécurité en vertu de la LAPHT si elles travaillent avec des agents pathogènes humaines et des toxines, appelés « agents biologiques à cote de sécurité élevée » (ABCSE), ou si elles ont accès à de tels agents, dont le mauvais usage peut poser un risque pour la sécurité nationale du Canada. 
68. Nous nous attendions à constater que les activités liées à la biosûreté et à la biosécurité, y compris les ERAAP, l'émission d'habilitations de sécurité et le traitement des demandes de permis aient été menées avec efficience et efficacité.

Évaluations des risques associés à l'agent pathogène (ERAAP)

69. Dans le cadre de son mandat prescrit par la loi, le Comité consultatif sur les agents pathogènes humains et les toxines détient le pouvoir de donner des conseils sur la modification des annexes 1 à 5 de la LAPHT en recommandant l'ajout ou la suppression d'agents pathogènes humains ou de toxines. Formé d'experts en la matière, le Comité a participé aux efforts visant à atténuer le risque de mauvaise catégorisation des agents pathogènes et des toxines.
70. Nous avons constaté que le programme avait élaboré un processus efficace de répartition adéquate des groupes de risque des agents pathogènes et des toxines à l'aide de méthodes, de critères, de MON, de formation et d'outils exhaustifs. Notre examen d'un échantillon de 40 ERAAP a révélé que la majorité des évaluations avaient été faites de manière efficace à l'aide de ces méthodes. Un processus d'examen par la direction a été défini, mais il n'a pas toujours été achevé en temps opportun, ce qui a engendré d'importants retards. Parmi les raisons pouvant expliquer ces retards, il y a le fait qu'une seule personne détient un pouvoir d'approbation, ainsi que l'augmentation constante du nombre de demandes. Les retards associés à l'évaluation du groupe de risque des agents pathogènes peuvent avoir eu pour conséquence la tenue d'activités réglementées à des niveaux de confinement inadéquats par des parties réglementées; toutefois, cette éventualité est très improbable en raison de la surveillance étroite des nouveaux agents pathogènes par le programme.

Habilitations de sécurité de la LAPHT

71. Le pouvoir d'émettre des habilitations de sécurité de la LAPHT à des parties réglementées qui travaillent avec des ABCSE est confié au directeur général (DG) du Centre. Toutefois, les demandes étaient traitées par la Division de la gestion de la sécurité de la Direction générale des services de gestion de Santé Canada. Une entente sur les niveaux de service était en place afin de définir clairement les attentes entre le programme et la Division de la gestion de la sécurité.
72. Le RAPHT décrit les critères d'évaluation du risque afin de déterminer le risque potentiel pour la santé et la sécurité publiques. Une habilitation de sécurité peut seulement être refusée si le demandeur risque de compromettre indûment la santé ou la sécurité publique. Les critères d'évaluation du risque ont été intégrés dans les MON afin de permettre l'évaluation de renseignements potentiellement défavorables. Si des renseignements potentiellement défavorables pertinents pour la délivrance de l'habilitation étaient découverts, le dossier était soumis à l'examen du Forum consultatif interministériel sur la sécurité (FCIS), dont la tâche consiste à formuler une recommandation pour le DG du Centre.
73. Nous avons constaté que le Cadre d'habilitation de sécurité en vertu de la LAPHT donnait les conseils et outils nécessaires pour traiter les habilitations de sécurité, définir les rôles et responsabilités et veiller à une application uniforme. Nous avons examiné 45 dossiers de sécurité et découvert que le processus en place n'était pas efficace et qu'il ne respectait pas les normes de prestation des services établies. Par exemple, l'évaluation préliminaire de la demande pour déterminer si elle était complète et si elle comprenait tous les documents requis n'a pas été menée de manière approfondie. Cette situation a mené à des inexactitudes et à de nombreuses interactions avec le demandeur, parfois durant plusieurs mois, et a retardé la délivrance de l'habilitation. De plus, il manquait des preuves de l'envoi d'un accusé de réception de la demande dans 12 dossiers, de sorte qu'il était difficile de faire rapport avec exactitude sur cette norme de prestation des services en particulier.
74. Le programme s'est engagé à respecter une norme de prestation des services de cinq jours ouvrables pour l'envoi d'un accusé de réception d'une demande d'habilitation de sécurité de la LAPHT et de 80 jours ouvrables pour la délivrance d'une habilitation de sécurité de la LAPHT dès la réception d'une demande complète qui ne contient aucun renseignement défavorable. En 2017-2018, seulement 21 % des accusés de réception ont été envoyés en cinq jours ouvrables ou moins, et 45 % des habilitations de sécurité ont été délivrées dans les 80 jours prescrits.
75. Les inexactitudes et les retards observés dans le traitement des demandes d'habilitation de sécurité ont nui à la capacité de l'Agence à réglementer efficacement les personnes ayant accès à une liste réglementée d'agents pathogènes humains et de toxines à risque élevé, ce qui posait un risque pour la santé et la sécurité publiques.

Recommandation 4

Le sous-ministre adjoint de la Direction générale des services de gestion devrait veiller à ce que le processus d'habilitation de sécurité soit administré de manière exacte et efficiente, et conformément à l'entente sur les niveaux de services établie avec le Centre de la biosécurité.

Réponse de la direction

Permis de la LAPHT

76. Nous avons examiné un échantillon de 40 demandes de permis et constaté que le programme avait mis en œuvre des processus efficaces pour délivrer les permis de la LAPHT. Le processus comprenait la validation des organisations et des demandeurs du Portail de biosûreté (titulaires de permis, agents de la sécurité biologique et autres contacts en biosécurité) afin d'en vérifier la légitimité avant de leur accorder un accès, ainsi qu'un examen scientifique complet pour déterminer si les installations du demandeur avaient le niveau de confinement adéquat correspondant au groupe de risque des agents pathogènes ou des toxines.
77. Nous avons aussi constaté qu'en 2016-2017, huit demandes de permis ont été approuvées par une autre personne que le gestionnaire du programme d'inspection, titulaire du pouvoir délégué. Les dates d'approbation de ces permis correspondaient à l'intensification des demandes de permis à la suite de l'adoption de la LAPHT. Par conséquent, les gestionnaires de l'inspection ont offert de l'aide au programme de délivrance de permis afin de réduire le travail en retard, et la haute direction a approuvé l'exercice du pouvoir par d'autres personnes.
78. Le programme s'était engagé à respecter une norme de prestation des services de 80 jours ouvrables pour la délivrance des permis du GR2 dès la réception d'une demande complète. En 2017-2018, 100 % des permis du GR2 ont été délivrés conformément à la norme de service établie. 
79. Nous avons aussi constaté qu'il existait un processus visant à retirer de la circulation les permis expirés ou révoqués. Étant donné que tous les permis sont en format électronique et qu'ils sont accessibles par l'entremise du Portail de biosûreté, les permis sont désactivés dès qu'ils expirent ou qu'ils sont révoqués. Même si des organisations ou des personnes pouvaient mener des activités réglementées sans permis, il y avait d'autres activités du programme en place pour atténuer le risque connexe.

Surveillance

80. La déclaration obligatoire des incidents de laboratoire permet au Centre de recueillir des données nationales qui facilitent la mise en évidence de tendances en temps réel dans les incidents d'exposition. Le programme peut donc aider les intervenants à gérer les risques émergents pour la santé et la sécurité publiques.
81. Nous nous attendions à constater que les activités de surveillance étaient menées de manière efficace pour détecter et évaluer les risques et les tendances en matière de biosécurité.
82. Le module de déclaration du Portail de biosûreté permettait aux utilisateurs de créer, de stocker et de soumettre des rapports. Les incidents d'exposition, les agents pathogènes humains manquants, perdus ou volés, ainsi que la possession, la production ou la dissémination involontaire de ces agents étaient inscrits dans les rapports. Un rapport de suivi était obligatoire et visait à déterminer la probabilité de répétition, les causes fondamentales et les mesures correctives prises. Ces renseignements offraient au programme de l'information utile et pertinente pour la collecte de données et l'analyse des tendances.
83. À l'interne, le regroupement des données et l'analyse des tendances et des modèles ont été présentés à la haute direction sous forme de rapports mensuels et d'un tableau de bord trimestriel. De plus, les résultats des activités de surveillance ont été communiqués aux intervenants à l'aide de bulletins d'information et d'autres publications. Ces produits ont fait ressortir les tendances, les causes fondamentales possibles et les mesures d'atténuation à mettre en œuvre.

Surveillance et rapports

84. La surveillance et la production de rapports peuvent aider une organisation à extraire des renseignements pertinents de ses activités passées et actuelles, qui peuvent ensuite servir de fondement pour la planification et les mesures correctives. Sans surveillance et rapports, il serait impossible de déterminer si les efforts sont déployés dans la bonne direction, si des progrès sont accomplis ou mènent à la réussite, ou les améliorations à apporter pour les efforts à venir.
85. Nous nous attendions à constater l'existence d'un cadre de surveillance et de production de rapports efficace qui favorisait la prise de décisions pour soutenir les améliorations du programme.
86. Nous avons constaté que la participation à divers comités interministériels et à certaines conférences avait permis au programme d'être au fait des initiatives, des modifications possibles à la loi et des risques émergents, pour soutenir les améliorations à apporter. Des processus ont été mis en œuvre pour permettre au personnel de faire état des renseignements recueillis lors de tels événements et de les partager, dans des comptes rendus qui ont ensuite été présentés à la direction. Ces rapports et les discussions qui en découlent pourraient mener à des modifications dans les activités et les livrables du programme.
87. Le Centre a aussi mis en œuvre des processus pour identifier les modifications qui pourraient être apportées à la loi et avoir une incidence sur le programme. L'approche à deux volets comprenait une analyse de la Gazette du Canada pour y relever les projets de règlement pouvant avoir des conséquences, ainsi que des demandes de révision et de commentaires provenant d'autres organisations fédérales à propos des projets de règlement.
88. Une ébauche d'une stratégie de mesure du rendement pour le programme de biosécurité a été rédigée et approuvée par le directeur général en novembre 2016. Cette stratégie définit 32 indicateurs servant à la surveillance continue et à la production de rapports sur le rendement du programme. Les indicateurs établis dans cette stratégie s'harmonisaient avec ceux définis dans le cadre de mesure du rendement de l'ASPC et les produits connexes, démontrant ainsi l'examen attentif des deux cadres et les liens qui les relient. 
89. Toutefois, des éléments clés de la stratégie de mesure du rendement n'ont pas été mis en application et donc la stratégie n'a pas été mise en œuvre en raison de la nouvelle approche de mesure du rendement du gouvernement du Canada, qui a introduit la Politique sur les résultats, le Cadre ministériel des résultats et les profils de l'information sur le rendement (PIR) des programmes.
90. Pour la plus grande partie de 2017, le programme a élaboré ses PIR, ce qui a apporté des changements importants à son modèle logique et aux indicateurs de rendement qui y sont associés. Les PIR ont été approuvés officiellement en octobre 2017. Au moment de l'audit, le programme a indiqué que la collecte de données était en cours et que les résultats de 2017-2018 seraient publiés à l'automne 2018-2019. Nous avons indiqué que le rendement du programme faisait l'objet d'un suivi et de rapports effectués à l'aide d'autres mécanismes, y compris le rapport annuel sur les trois indicateurs de rendement actuel compris dans le Cadre de mesure du rendement de l'Agence, dans le contexte du processus du Rapport sur les résultats ministériels. Il serait toutefois avantageux pour le programme d'accorder la priorité à la mise en œuvre du PIR dans le but de renforcer la surveillance et l'évaluation continues du rendement pour le programme dans son ensemble afin d'informer les mesures correctrices au besoin.
91. Nous avons constaté qu'il existait un processus de production de tableaux de bord opérationnels visant à informer la haute direction. Les sources de données et les méthodes d'extraction de l'information permettant la création des rapports opérationnels et des tableaux de bord associés ont été définies et utilisées de manière cohérente. Les responsables étaient au courant de leurs rôles et de leurs responsabilités concernant la collecte et la saisie des renseignements, la création des rapports et l'examen de l'exactitude et de l'exhaustivité des rapports. Les directeurs et les directeurs généraux pertinents ont participé à l'examen et à l'approbation des rapports avant leur présentation au bureau du vice-président.
92. Même si le tableau de bord donnait un aperçu des principales activités, il était très bref, et les renseignements qu'il contenait étaient axés sur les opérations. La note d'interprétation et d'observation complétait le tableau de bord opérationnel et fournissait des détails sur les activités mentionnées. Il serait avantageux pour le programme d'intégrer les mesures de rendement dans le tableau de bord.
93. Dans l'ensemble, nous avons constaté l'existence de processus pour la saisie et l'examen des résultats opérationnels de manière exacte et complète et la présentation de renseignements qui appuient la prise des décisions relatives au programme par la haute direction.

Conclusion

94. Dans l'ensemble, nous avons constaté que des contrôles de gestion effectifs étaient en place pour assurer un régime sain et sécuritaire qui protège la santé et la sécurité du public contre les dangers posés par l'utilisation des agents pathogènes et des toxines.
95. Nous avons notamment identifié des pratiques exemplaires dans les domaines suivants :
    • des structures de gouvernance complètes adoptées par le comité pour soutenir l'efficacité de la surveillance, la sensibilisation au risque et sa gestion ainsi que la coopération opérationnelle;
    • la coordination et collaboration entre le programme et l'Agence canadienne d'inspection des aliments (ACIA) pour le soutien de leurs responsabilités conjointes; 
    • des pratiques de gestion du risque qui étaient intégrées de manière efficace dans les activités opérationnelles du programme;
    • un système de gestion de l'information, assorti de ressources qualifiées et de procédures opérationnelles normalisées (PON) pour assurer l'uniformité des activités réglementaires;
    • la compilation et analyse des rapports d'incident pour faciliter la reconnaissance en temps réel des tendances afin d'aider les intervenants à gérer les risques émergents pour la santé et la sécurité publique.
96. Nous avons également cerné des possibilités d'amélioration dans les domaines suivants :
    • la sensibilisation des employés à propos de leurs obligations en matière de conflits d'intérêts (COI);
    • l'établissement de procédures pour la sélection d'analystes de la LAPHT désignés qui ne présentent pas de conflits d'intérêts perçus ou potentiels, en cas d'incident au Laboratoire national de microbiologie (LNM), ou de situation impliquant l'un de ses employés et qui exigerait une analyse d'agent pathogène par un analyste désigné;
    • la mise en œuvre d'un processus fondé sur les risques pour surveiller l'activité des utilisateurs dans le cadre de l'iSTOP afin de vérifier l'exactitude des dossiers et du processus de production de rapports;
    • le renforcement du cadre d'inspection du programme au moyen de la définition de la tolérance au risque de la haute direction en ce qui a trait à la fréquence des inspections pour les permis du groupe de risque (GR) 2 et de la précision des critères et des cotes de risque une fois que des données suffisantes ont été recueillies;
    • l'assurance que le processus d'enquête de sécurité en vertu de la LAPHT est exact, efficace et conforme aux l'accord sur les niveaux de service.
97. Les domaines à être améliorées relevés dans ce rapport d'audit et les recommandations connexes renforceront collectivement la gestion du programme de biosécurité. Les problèmes que nous avons définis comme étant mineurs ont été portés à l'attention de l'équipe de gestion.

Appendice A – Rôles et responsabilités

Le Centre de la biosécurité (le Centre) est composé de quatre bureaux différents, qui administrent et appliquent la Loi sur les agents pathogènes humains et les toxines (LAPHT), le Règlement sur les agents pathogènes humains et les toxines (RAPHT) et certains articles de la Loi sur la santé des animaux et du Règlement sur la santé des animaux (LSA/RSA). Les responsabilités de chaque bureau sont décrites ci-dessous. Chacun d'entre eux contribue aux efforts continus de l'Agence visant à anticiper les défis en matière de santé publique et à y réagir, ainsi qu'à protéger la santé, la sécurité et la sûreté du public canadien contre les risques que posent les agents pathogènes humains et les toxines.

Le Bureau des programmes et de la planification en biosécurité (BPPB) est responsable de l'élaboration de normes, de lignes directrices, de politiques et d'outils de formation en matière de biosûreté qui visent à favoriser la conformité et à soutenir la conformité et l'application en vertu de la Loi sur les agents pathogènes humains et les toxines (LAPHT) et du Règlement sur les agents pathogènes humains et les toxines (RAPHT). Il dirige les activités de collecte et d'analyse du système de surveillance de déclaration des incidents en laboratoire au Canada, évalue les risques existants et émergents que posent les agents pathogènes humains, toxines et nouvelles technologies connexes, et traite ces risques. Il gère les activités d'application pénale en vertu de la LAPHT et du RAPHT. Il joue également le rôle de centre de liaison pour les principaux engagements internationaux en matière de biosécurité, dont la Convention sur les armes biologiques et à toxines et le Groupe d'Australie (un forum de pays qui tentent de s'assurer que les exportations ne contribuent pas à la mise au point d'armes chimiques ou biologiques), afin de s'assurer que les discussions internationales sont prises en considération lors de l'élaboration et de la mise en œuvre de politiques nationales, et inversement.

Le Bureau des opérations de biosécurité et de bioconfinement (BOBB) est responsable de l'administration et de l'application quotidienne de la LAPHT, du RAPHT et de certains articles du Règlement sur la santé des animaux (RSA). Voici quelques-unes de ses activités clés :

• le traitement des demandes et l'autorisation de la tenue d'activités réglementées par la délivrance de permis en vertu de la LAPHT et de permis d'importation en vertu du RSA;
• la surveillance et l'évaluation de la conformité à la LAPHT, au RAPHT, au RSA et aux normes nationales de confinement;
• la vérification de la conformité à l'aide d'inspections, d'examen de documents et d'audits;
• la tenue d'activités d'application de la réglementation;
• la progression de travaux scientifiques sur l'ingénierie du bioconfinement pour relever les lacunes dans les connaissances et éclairer les normes et lignes directrices en matière de biosûreté.

Le BOBB est responsable des engagements du Canada en matière de bioconfinement dans le cadre de l'Initiative mondiale pour l'éradication de la poliomyélite. Il dirige également des activités visant à soutenir le renforcement des capacités, le partage de l'expertise et la transmission de connaissances techniques afin d'appuyer le mandat de l'ASPC en tant que Centre collaborateur de l'Organisation mondiale de la Santé (OMS) pour la biosécurité et la biosûreté.

Le Bureau de la sécurité des pathogènes (BSP) est chargé de l'administration des volets de l'habilitation de sécurité et de la biosécurité des laboratoires de la LAPHT et du RAPHT, offre de l'aide technique aux intervenants et partenaires nationaux et internationaux dans le domaine de la biosécurité des laboratoires dans le but d'atténuer la mauvaise utilisation délibérée d'agents pathogènes et de toxines, et met en œuvre des solutions novatrices de technologie de l'information pour appuyer les activités liées à l'administration et à la conformité en vertu de la LAPHT. Il joue aussi le rôle de centre de liaison du Centre collaborateur de l'OMS pour la biosécurité et la biosûreté pour les activités du Centre qui se rapportent au partenariat canado-américain « Par-delà la frontière », pour le plan d'action pour la biosécurité et la biosûreté du Programme mondial de sécurité sanitaire, et pour les activités mondiales de renforcement des capacités en matière de biosûreté et de biosécurité.

Le Bureau de la mobilisation des intervenants et des affaires réglementaires (BMIAR) met en valeur la conformité aux règlements et informe la prise de décisions en matière de politique et de réglementation en mobilisant les parties intéressées et les intervenants internes et externes. Il assure le leadership pour les questions de réglementation et la coordination de l'Agence. Il positionne l'Agence pour mettre efficacement en œuvre les priorités réglementaires du ministère et du gouvernement du Canada, ce qui comprend l'ouverture et la transparence, la modernisation de la réglementation et la gestion réglementaire efficace. Le BMIAR tient également un registre des lois internationales en matière de biosûreté et de biosécurité.

Appendice B – Feuille de pointage

Audit du programme de biosécurité de l'Agence de la santé publique du Canada

Critère	Notation	Conclusion	No de la recomm.
Gouvernance
Mécanismes de surveillance	Une lacune majeure	Les mécanismes de surveillance ont été établis efficacement pour soutenir les activités de réglementation du Centre de la biosécurité. Il y a aussi eu une approche coordonnée et collaborative à l'égard des responsabilités conjointes en vertu du RSA. Le programme n'a toutefois pas mis en place des procédures pour d'éventuelles situations de non-conformité au Laboratoire national de microbiologie (LNM) ou mettant en cause un employé du LNM, qui exigeraient un examen par un analyste désigné. De plus, des mesures précises n'avaient pas été établies au niveau du programme pour sensibiliser les employés à leurs obligations relativement aux conflits d'intérêts.	1
Gestion des risques
Gestion des risques	Aucune lacune	Un processus de gestion du risque a été établi pour le programme de biosécurité afin de cerner, d'évaluer, de gérer et de signaler efficacement les activités à risque.
Contrôles internes
Ressources humaines, formation et outils	Lacunes mineures	3.1 Le programme de biosécurité disposait de ressources humaines suffisantes et qualifiées et d'outils adéquats pour atteindre ses objectifs. Le programme a offert aux employés la formation et les outils nécessaires à l'exécution de leurs responsabilités. Le programme n'a toutefois pas surveillé l'activité des utilisateurs dans iSTOP pour garantir l'intégrité du processus de production des rapports.	2
Surveillance et vérification de la conformité	Lacunes mineures	3.2 Le programme de biosécurité a établi des processus pour garantir le déroulement efficace, efficient et uniforme des activités de surveillance et de vérification de la conformité. Toutefois, la direction n'a pas précisé sa tolérance au risque en ce qui concerne les inspections des permis du groupe de risque (GR) 2. De plus, étant donné le faible nombre d'inspections des titulaires de permis GR2 qui ont été effectuées jusqu'à présent, les facteurs de risque et l'échelle de notation servant à déterminer l'ordre de priorité des inspections n'ont pas encore été réévalués. Les activités de surveillance des importations à la frontière n'ont pas été réalisées en temps opportun, ce qui pose un risque d'exposition à de dangereux agents pathogènes pour le public. La plus récente modification apportée à l'Initiative du guichet unique devrait atténuer ce risque.	3
Activités en matière d'application	Aucune lacune	3.3. Le programme de biosécurité a entrepris des activités d'application de manière uniforme et conformément aux exigences réglementaires, aux politiques, aux procédures et aux lignes directrices.
Activités en matière de biosûreté et de biosécurité	Une lacune majeure	3.4 Dans l'ensemble, le programme de biosécurité a établi des processus pour s'assurer que l'évaluation des risques associés aux agents pathogènes et la délivrance des permis se déroulent de manière efficiente et efficace. Toutefois, le processus de délivrance des habilitations de sécurité comportait des inexactitudes, n'était pas efficient et ne respectait pas les normes de service établies. Cette situation a causé des retards et des erreurs, qui pourraient nuire à la réputation de l'Agence en tant qu'organisme de réglementation.	4
Surveillance	Aucune lacune	3.5 Des activités de surveillance ont été menées de manière efficace pour détecter et évaluer les risques et les tendances en matière de biosécurité.
Surveillance du rendement	Aucune lacune	3.6 Des processus de signalement liés au programme de biosécurité ont été établis afin d'informer la haute direction de questions d'ordre opérationnel. Toutefois, en raison des modifications apportées à l'approche du gouvernement du Canada relativement à la mesure du rendement, le programme n'a pas encore produit de rapport sur le rendement dans le contexte du nouveau Cadre ministériel des résultats et des profils de l'information sur le rendement (PIR).

Appendice C – Renseignements sur l'audit

1. Objet de l'audit

L'objectif de l'audit était de fournir une assurance que des contrôles de gestion efficaces sont en place afin de veiller à l'existence d'un système de sûreté et de sécurité pour protéger la santé et la sécurité de la population contre les risques associés à l'utilisation d'agents pathogènes humains et de toxines. 

2. Portée de l'audit

La portée de l'audit englobait les activités de réglementation et les processus pertinents entrepris par le Centre de la biosécurité, y compris la gouvernance et la supervision, la gestion de projets ainsi que la surveillance et la production de rapports. L'audit couvrait la période allant de l'entrée en vigueur de la Loi sur les agents pathogènes humains et les toxines, soit le 1er décembre 2015, jusqu'au 31 mars 2018. Les domaines d'intérêt particulier étaient les suivants :

• la prévention et la préparation, ce qui comprend les activités de promotion de la conformité grâce à la formation et à la sensibilisation, et le cadre réglementaire du programme;
• la protection, ce qui comprend les activités de surveillance et de vérification de la conformité, telles que  la délivrance de permis, les habilitations de sécurité, les inspections et la surveillance;
• l'intervention et le contrôle, qui comprennent des mesures d'application et des interventions en cas de non-conformité et d'enquêtes.

La portée de l'audit comprenait aussi une analyse de la fonctionnalité de l'Ensemble intégré d'outils pour les processus opérationnels (iSTOP), puisque le Centre s'appuie sur ce système pour mener ses activités de réglementation.

L'audit comprenait un examen de la gestion et des responsabilités décrites en détail dans le protocole d'entente entre l'Agence et l'Agence canadienne d'inspection des aliments (ACIA). Le protocole d'entente porte sur les pouvoirs auxquels il est fait mention à l'article 51 du Règlement sur la santé des animaux sur les agents pathogènes animaux terrestres autres que les agents pathogènes animaux causant des maladies émergentes ou des maladies animales étrangères. Ces pouvoirs ont été transférés du ministre de l'Agriculture et de l'Agroalimentaire au ministre de la Santé en vertu d'un décret.

Activités exclues de la portée

En août 2016, le Centre de la biosécurité a effectué un audit de la sécurité des TI interne pour iSTOP qui englobait des processus et des fonctions de sécurité. L'audit a permis de formuler plusieurs recommandations qui ont été prises en considération par la direction. Les processus et les fonctions de sécurité des TI n'ont donc pas été inclus dans la portée du présent audit. 

3. Approche de l'audit

Nous avons réalisé le présent audit conformément à la Politique sur l'audit interne du Conseil du Trésor du Canada et aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institute of Internal Auditors. L'audit a été exécuté au siège social de l'Agence de la santé publique du Canada. Les principales procédures d'audit comprenaient notamment les suivantes :

• un examen et une analyse des cadres stratégiques, des documents de planification et des documents relatifs à la prestation des services et au rendement;
• des revues de projet et des entrevues avec du personnel important du programme;
• des observations, des demandes de renseignements et la mise à l'essai de contrôles connexes se rapportant aux activités réglementées. Une stratégie d'échantillonnage a été élaborée pour s'assurer de recueillir suffisamment de données pour l'évaluation des critères au moyen d'une approche détaillée. 

Énoncé de conformité

Le présent audit a été mené conformément aux Normes internationales pour la pratique professionnelle de la vérification interne, comme le confirment les résultats du programme d'assurance et d'amélioration de la qualité du Bureau de l'audit et de l'évaluation.

Appendice D – Critères d'audit

Audit du programme de biosécurité de l'Agence de la santé publique du Canada

Intitulé du critère	Critère de l'audit
Premier secteur d'intérêt : gouvernance
Mécanismes de surveillance	1. Une structure de gouvernance et des mécanismes de gouvernance connexes efficaces ont été établis pour soutenir les activités de réglementation du Centre de la biosécurité.
Deuxième secteur d'intérêt : gestion du risque
Gestion des risques	2. Les risques internes et externes associés à la gestion des activités de réglementation du Centre ont été identifiés, évalués et gérés efficacement.
Troisième secteur d'intérêt : contrôles internes
Ressources humaines, formation et outils	3.1 Le Centre de la biosécurité dispose de ressources humaines suffisantes et qualifiées, ainsi que des outils adéquats pour atteindre ses objectifs.
Surveillance et vérification de la conformité	3.2 Des processus de contrôle sont en place pour garantir le déroulement efficace, efficient et uniforme des activités de surveillance et de vérification de la conformité.
Activités en matière d'application	3.3 Des activités d'application sont menées de manière uniforme et conformément aux exigences réglementaires, aux politiques, aux procédures et aux lignes directrices.
Activités en matière de biosûreté et de biosécurité	3.4 Les activités relatives à la biosûreté et à la biosécurité (p. ex., évaluation des risques associés aux agents pathogènes, délivrance des habilitations de sécurité et des permis) sont réalisées de manière efficiente et efficace.
Surveillance	3.5 Des activités de surveillance sont menées de manière efficace pour détecter et évaluer les risques et les tendances en matière de biosécurité.
Surveillance et rapports	3.6 Un cadre de surveillance et de production de rapports efficace a été mis en place et favorise la prise de décisions pour soutenir les améliorations du programme.

Références