Audit des Services d’aide au droit familial

Table des matières

Sommaire

Introduction

Au ministère de la Justice Canada (le Ministère), les questions de droit familial relèvent de la Section de la famille, des enfants et des adolescents (SFEA) du Secteur des politiques. La SFEA assume la responsabilité du mandat du gouvernement fédéral en vertu de la Loi sur le divorce, de la Loi d’aide à l’exécution des ordonnances et des ententes familiales (LAEOEF) et de la Loi sur la saisie-arrêt et la distraction de pensions (LSADP), entre autres.

Bien que la SFEA s’intéresse principalement aux questions de nature juridique et politique, des tâches opérationnelles en vertu de ces lois ont été attribuées à l’unité des Services d’aide au droit familial (SADF) de la SFEA, qui est chargée de l’administration et du fonctionnement de trois programmes principaux :

  1. Le Bureau d’enregistrement des actions en divorce (BEAD), un registre national des actions en divorce établi afin de détecter les dédoublements;
  2. Le service d’aide à l’exécution des ordonnances et des ententes familiales (SAEOEF), qui contribue à trouver les personnes ayant manqué à leurs obligations alimentaires, à saisir les sommes fédérales et à suspendre des permis fédéraux, comme les passeports canadiens et les permis fédéraux maritimes et aériens;
  3. Le Bureau de saisie-arrêt de la région de la capitale nationale (programme de la LSADP), qui valide les demandes de saisie-arrêt des salaires des fonctionnaires fédéraux et donne des instructions aux bureaux fédéraux de la rémunération.

En plus de l’administration des trois programmes opérationnels décrits ci-dessus, les SADF s’occupent de la ligne info de la SFEA, un service d’information offert au grand public pour traiter des questions de droit familial et de violence familiale.

En tant qu’unité opérationnelle, les SADF se distinguent des principales responsabilités du Ministère en matière de réforme législative, d’élaboration de politiques et de soutien juridique. Non seulement fournissent-ils un service essentiel dans l’exécution des ordonnances familiales, mais ils assument également la responsabilité centrale d’importantes obligations imposées par la loi à la ministre de la Justice. Les SADF sont également responsables du seul système essentiel à la missionNote de bas de page 1 du Ministère, le système de l’AEOEF, qui conserve d’importants volumes de renseignements personnels de nature délicate.

L’objectif du présent audit était de fournir l’assurance que :

  1. Des mécanismes de gouvernance sont en place pour soutenir l’administration des programmes du BEAD, du SAEOEF et de la LSADP;
  2. Des contrôles de la protection des renseignements personnels sont conçus pour contribuer à assurer le traitement adéquatNote de bas de page 2 des renseignements personnels;
  3. Des contrôles sont conçus pour contribuer à préserver l’intégrité des renseignements et des données au sein du système de l’AEOEF.

Pour atteindre cet objectif, l’audit a permis d’évaluer la conception de contrôles de la protection des renseignements personnels dans toutes les activités des SADF. De plus, compte tenu de l’utilisation par les SADF du système de l’AEOEF, les contrôles généraux des technologies de l’information (TI) utilisés dans la procédure de saisie-arrêt soutenue par le système ont aussi été évalués. L’audit portait sur les activités des SADF pendant les exercices 2014-2015 et 2015-2016.

Point forts

Dans l’ensemble, nous avons jugé que les SADF constituent une unité bien gérée. Ils fonctionnent de façon efficace et efficiente malgré un manque de financement permanent qui, selon la direction, rend parfois difficile la gestion quotidienne. Les employés comprennent clairement leurs tâches et répondent continuellement aux normes de service établies ou les dépassent. Du point de vue de la protection des renseignements personnels, ils sont pleinement conscients du caractère délicat de leurs fonds de renseignements et ils gèrent les renseignements personnels sous leur garde et leur contrôle avec soin et attention.

Points à améliorer

Bien que les SADF aient fait des progrès importants dans l’amélioration de leurs activités, l’audit a permis de révéler des points à améliorer. En premier lieu, malgré des investissements importants dans la technologie, les SADF continuent, dans certains cas, à utiliser des processus manuels qui sont plus dispendieux et qui exigent plus de temps comparativement aux processus électroniques. L’utilisation de processus manuels accroît aussi le risque d’erreur ou de mauvaise gestion des renseignements personnels.

L’audit a également permis de révéler des points à améliorer sur le plan de la gouvernance et des contrôles internes. Du point de vue de la gouvernance, les SADF pourraient tirer avantage d’améliorations au titre de la mesure du rendement. Du point de vue des contrôles internes, les SADF pourraient tirer avantage d’un examen de pratiques particulières d’atténuation des risques en matière de protection des renseignements personnels et d’atténuation des préoccupations en matière de TI.

Occasion

Dans le cadre de l’administration des programmes du SAEOEF, du BEAD et de la LSADP, les SADF génèrent des données sur les familles canadiennes qui présentent un intérêt pour de nombreux intervenants, y compris les universitaires, les chercheurs et les groupes de réflexion. Ces données pourraient aussi s’avérer utiles pour les provinces et les territoires et leurs programmes respectifs d’exécution des ordonnances alimentaires, leur permettant de prendre des décisions plus éclairées à propos de questions qui touchent les familles partout au Canada. À l’heure actuelle, le Ministère ne partage pas les données des SADF avec ces intervenants. 

Compte tenu de l’initiative des données ouvertes du gouvernement du Canada, le Ministère a maintenant l’occasion de revoir sa politique sur le partage des données agrégées aux fins de la recherche, des statistiques et de l’élaboration des politiques. Il pourrait explorer la possibilité de rendre anonymes et de dépersonnaliser les données afin de partager les renseignements des SADF à l’intérieur comme à l’extérieur du gouvernement, pour accroître la transparence tout en assurant la protection des renseignements des personnes.

Opinion d’audit et conclusion

À mon avis, le Ministère a des mécanismes de gouvernance efficaces en place à l’appui de l’administration des programmes du BEAD, du SAEOEF et de la LSADP. Des contrôles de la protection des renseignements personnels sont conçus pour contribuer à assurer le traitement adéquatNote de bas de page 3 des renseignements personnels et, dans l’ensemble, le Ministère assume ses obligations en vertu de la Loi sur la protection des renseignements personnels en ce qui concerne le traitement des renseignements personnels par les SADF. Des contrôles sont conçus pour préserver l’intégrité des renseignements et des données du système de l’AEOEF. Des occasions d’amélioration existent pour atténuer davantage les risques, et la direction a fait preuve d’un engagement ferme à apporter des améliorations à mesure que des questions se posent et a adopté une approche proactive à cet égard.

Réponse de la direction

La direction a répondu aux recommandations par le biais du plan d’action de la gestion, qui est intégré au présent rapport.

1. Énoncé de conformité

Selon mon jugement professionnel en tant que dirigeante principale de la vérification, je suis d’avis que l’audit est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du Programme d’assurance de la qualité et de l’amélioration.

Soumis par:

Original signé par Inanc Yazar
le 28 mars 2017

Inanc Yazar, CPA CGA, CIA, CRMA
Dirigeante principale de la vérification
Ministère de la Justice Canada

2. Remerciements

La dirigeante principale de la vérification aimerait remercier l’équipe d’audit et les personnes qui ont contribué à cette mission. Elle aimerait également remercier la directrice des SADF pour sa collaboration et son travail acharné en vue de faciliter la tenue de l’audit, en plus de ses responsabilités professionnelles habituelles.

Dans le cadre de l’audit, les Services d’audit interne (SAI) ont collaboré avec la Division des politiques et contrôles financiers du Ministère en vue de tirer profit des constatations d’un exercice de surveillance récent du Compte du droit familial (passif). La collaboration avait également pour but de minimiser le chevauchement des tâches et de réduire la fatigue reliée à l’audit. Les constatations pertinentes d’un récent audit de sécurité des TI ont également été prises en considération dans le cadre de l’analyse menée par les SAI de l’environnement des TI des SADF. Nous aimerions aussi reconnaître la contribution des fonctionnaires du Secteur de la gestion et de la dirigeante principale des Finances aux constatations de notre audit.

3. Contexte

En vertu de la Constitution canadienne (la Loi constitutionnelle de 1867), le gouvernement fédéral ainsi que les gouvernements provinciaux et territoriaux ont une compétence partagée en matière de droit familial. Par conséquent, les lois fédérales et provinciales/territoriales, de même que les politiques et les programmes respectifs de chaque administration, sont susceptibles d’avoir une incidence sur les familles canadiennes vivant une séparation ou un divorce. Un couple marié qui présente une demande en divorce, par exemple, sera assujetti à la Loi sur le divorce, une loi fédérale qui énonce les motifs de divorce et les dispositions relatives aux mesures accessoires [c.-à-d. la pension alimentaire pour enfants, la pension alimentaire pour le conjoint et les ententes parentales (garde et droit de visite)]. Selon les enjeux en cause, ce même couple peut aussi être assujetti aux lois provinciales/territoriales (comme la Loi sur le droit de la famille de l’Ontario), qui visent un éventail d’autres questions de droit familial, dont les droits des conjoints et des personnes à charge à l’égard des biens.

Comme le droit familial est un domaine de compétence partagée, le ministère de la Justice Canada (le Ministère) travaille en étroite collaboration avec les provinces et les territoires relativement aux questions de droit familial en vue de favoriser la collaboration et les partenariats, de soutenir les améliorations et l’innovation dans les services de droit familial et de faciliter les activités de vulgarisation juridique du public. Avec ses partenaires provinciaux et territoriaux, le Ministère contribue à atténuer les effets négatifs de la séparation et du divorce sur les familles et les enfants.

Au Ministère, les questions de droit familial relèvent de la Section de la famille, des enfants et des adolescents (SFEA), qui fait partie du Secteur des politiques. La SFEA assume la responsabilité du mandat du gouvernement fédéral en vertu de la Loi sur le divorce, de la Loi d’aide à l’exécution des ordonnances et des ententes familiales (LAEOEF) et de la Loi sur la saisie-arrêt et la distraction de pensions (LSADP), entre autres. Bien que la SFEA s’intéresse principalement aux questions d’ordre juridique et politique, des responsabilités opérationnelles en vertu de ces lois ont été attribuées à l’unité des Services d’aide au droit familial (SADF) de la SFEA. Les SADF emploient 13 équivalents temps plein (y compris des ressources temporaires et occasionnelles) et veillent à l’administration et au fonctionnement de trois programmes principaux :

Bureau d’enregistrement des actions en divorce (BEAD)

Le BEAD est un bureau national d’enregistrement des actions en divorce créé en vertu du Règlement sur le BEAD et conçu pour aider les tribunaux canadiens à déterminer la compétence en détectant les dédoublements d’actions en divorce. Lorsqu’une demande de divorce est déposée devant un tribunal provincial ou territorial, le greffier du tribunal doit présenter au BEAD une demande d’enregistrement d’action en divorce. Si, et lorsque, plus d’une demande est déposée pour un même mariage, le BEAD, par l’intermédiaire du système et des processus qui l’appuient, avise les tribunaux provinciaux et territoriaux du dédoublement, comme l’exige le Règlement sur le BEAD, et indique dans l’avis la date à laquelle chaque action en divorce a été déposée, de sorte que le tribunal puisse procéder à la détermination de la compétence. En 2015-2016, les SADF ont traité 72 925 demandes d’enregistrement d’actions en divorce de divers tribunaux et 73 331 rapports du sort de l’action.

Service d’aide à l’exécution des ordonnances et des ententes familiales (SAEOEF)

Le SAEOEF aide les programmes provinciaux et territoriaux d’exécution des ordonnances alimentaires (PEOA) et les créanciers à recouvrer des créances alimentaires en vertu de la LAEOEF. Le SAEOEF traite les demandes reçues au titre de la LAEOEF qui visent à :

  1. retrouver les personnes ayant manqué à leurs obligations alimentaires (partie I);
  2. procéder à la saisie-arrêt de sommes fédérales qui deviennent payables aux débiteurs en défaut de leurs obligations alimentaires (partie II);
  3. suspendre ou refuser des permis fédéraux et des passeports canadiens au nom des débiteurs qui sont systématiquement en défaut de leurs obligations alimentaires (partie III).

Les demandes de saisie-arrêt constituent la plus grande partie du travail des SADF : environ 80 % des demandes présentées chaque année aux SADF visent la saisie-arrêt de sommes fédérales. En 2015-2016, 188 772 041 $ en sommes fédérales devenues payables aux débiteurs nommés dans ces demandes ont été saisis et distribués aux familles canadiennes pour honorer des dettes découlant d’obligations familiales.

Bureau de saisie-arrêt de la région de la capitale nationale (programme de la LSADP)

Le rôle des SADF dans le contexte du programme de la LSADP se limite à la validation des demandes de saisie-arrêt des salaires des fonctionnaires fédéraux et des sommes payables aux entrepreneurs fédéraux. Les SADF sont responsables d’accepter et d’examiner les demandes présentées en vertu de la LSADP et de donner des instructions et des conseils aux bureaux de la rémunération des ministères chargés de traiter la saisie-arrêt des salaires des fonctionnaires. En 2015-2016, les SADF ont traité 556 demandes de saisie-arrêt et 2 058 demandes supplémentaires relatives à des résiliations, à des modifications et à des faillites.

Outre l’administration des trois programmes opérationnels décrits ci-dessus, les SADF sont chargés de la ligne info de la SFEA, un service d’information offert au grand public concernant des questions de droit familial et de violence familiale.

Dans l’administration de leurs programmes du BEAD, du SAEOEF et de la LSADP, les SADF collaborent avec des parties tant à l’interne qu’à l’extérieur du Ministère. À l’interne, les SADF collaborent avec d’autres unités de la SFEA et en reçoivent du soutien. Étant donné qu’une partie importante du flux des travaux du SAEOEF est automatisée (et/ou dépend d’échanges électroniques entre les partenaires), les SADF travaillent également en étroite collaboration avec une équipe des technologies de l’information (TI) au sein de la Direction des solutions d’information (DSI).

À l’externe, les SADF collaborent étroitement avec les provinces et les territoires. Ses principaux partenaires ou clients comprennent les PEOA provinciaux et territoriaux et les tribunaux de la famille. Les PEOA s’occupent de l’exécution des ordonnances et des ententes alimentaires, et les SADF fournissent des services pour aider les PEOA à faire respecter les obligations alimentaires. Les SADF travaillent aussi en étroite collaboration avec des ministères et des organismes fédéraux, surtout dans l’administration de la LAEOEF et de la partie I de la LSADP. Les partenaires fédéraux comprennent l’Agence du revenu du Canada (ARC), Emploi et Développement social Canada (EDSC), Transports Canada (TC), Immigration, Réfugiés et Citoyenneté Canada (IRCC) et Services publics et Approvisionnement Canada (SPAC).

En 2015-2016, les dépenses de l’unité des SADF se sont élevées à 1 629 578 $. Bien que cela représente moins de 1 % du budget annuel du Ministère (702 millions de dollars en 2015-2016), les programmes de l’unité soutiennent les familles canadiennes et l’application du droit de la famille. Les SADF fournissent plusieurs services essentiels dans le domaine du droit familial et assument la responsabilité centrale à l’égard des obligations imposées à la ministre de la Justice en vertu de la Loi sur le divorce, de la LAEOEF, des Règlements du BEAD et de la LSADP. Les SADF sont également essentiels à la coordination et à l’intégration des responsabilités fédérales et provinciales relatives aux actions en divorce et à l’exécution des pensions alimentaires.

Compte tenu de l’importance des services fournis par les SADF aux provinces et aux territoires, et du même coup aux familles canadiennes, le Ministère doit voir à ce que les SADF assument leurs obligations imposées par la loi. De plus, comme l’unité traite un grand volume de données de nature très délicate, il importe que le Ministère soit vigilant dans la préservation de l’intégrité des données et la protection des renseignements personnels sous la garde et le contrôle des SADF. Afin appuyer les attentes opérationnelles susmentionnées, l’audit a porté sur les mécanismes de gouvernance de même que les contrôles de protection de la vie privée et les contrôles généraux des TI tels qu’ils figurent à la section suivante sur l’objectif de l’audit.

4. Objectif de l’audit

L’objectif du présent audit était de fournir l’assurance que :

  1. Des mécanismes de gouvernance sont en place pour soutenir l’administration des programmes du BEAD, du SAEOEF et de la LSADP;
  2. Des contrôles de la protection des renseignements personnels sont conçus pour contribuer à assurer le traitement adéquatNote de bas de page 4 des renseignements personnels;
  3. Des contrôles sont conçus pour contribuer à préserver l’intégrité des renseignements et des données au sein du système de l’AEOEF.

5. Portée de l’audit

L’audit portait sur la période couverte par les exercices 2014-2015 et 2015-2016.

La portée de l’audit comprenait une évaluation des contrôles de protection de la vie privée en place pour les trois programmes des SADF afin de s’assurer que le Ministère respecte la Loi sur la protection des renseignements personnels ainsi que ses politiques et directives connexes.

La portée comprenait également d’autres contrôles internes, comme la surveillance de la saisie des données. De plus, les contrôles généraux des TI étaient axés sur le processus de saisie-arrêt prévu à la partie II de la LAEOEF. Ce processus représente la plus importante opération réalisée par les SADF.

L’analyse de l’environnement des TI des SADF menée par les SAI a mis en lumière le besoin de séparer les tâches et de s’assurer que les données du système de l’AEOEF sont transmises à l’interne d’une manière adaptée au niveau de sécurité des données. Ces opérations, qui sont à la fois largement reconnues au sein de la gestion des TI comme étant des mécanismes de contrôle fondamentaux qui réduisent les risques d’actes répréhensibles, ont fait l’objet d’un examen dans le cadre du présent audit.

À la lumière des liens de dépendance entre les SADF et les autres unités au sein de la SFEA (p. ex. l’Unité du droit et de la politique en matière d’exécution des obligations alimentaires et l’Unité des politiques et du droit de la famille), la portée s’étendait également à d’autres unités de la SFEA qui soutiennent directement les activités des SADF, le cas échéant. Bien que l’audit englobe les ententes avec les partenaires et les contrôles relatifs à la transmission des données, la portée de l’audit se limitait aux activités relevant du mandat du Ministère.

6. Approche de l’audit

L’équipe d’audit a exécuté son mandat conformément à la Politique sur la vérification interne et aux Normes relatives à la vérification interne au sein du gouvernement du Canada du Conseil du Trésor. Les responsables de l’audit ont eu recours à diverses techniques, notamment à une évaluation des risques de l’entité auditée, à des entrevues, à des examens des systèmes ainsi qu’à l’examen et à l’analyse de la documentation.

7. Constatations, recommandations et plan d’action de la gestion

La présente section décrit les constatations et les recommandations découlant des travaux réalisés dans le cadre de l’audit. Pour en faciliter l’analyse, les constatations et les recommandations ont été organisées en fonction des éléments d’enquête et des critères d’audit déterminés lors de la planification de l’audit. Une liste des critères d’audit figure à l’annexe A.

7.1 Mécanismes de gouvernance

Les auditeurs ont examiné la mesure dans laquelle des mécanismes de gouvernance étaient en place afin de soutenir l’administration des programmes du BEAD, du SAEOEF et de la LSADP des SADF. Par « mécanisme de gouvernance », on entend les processus, les procédures et les structures établis pour faciliter la gestion et la supervision des activités opérationnelles de base de l’unité. L’examen comprenait une analyse des efforts de planification stratégique des SADF, une étude des activités de mesure des programmes, des enquêtes sur les rôles et les responsabilités ainsi qu’un examen des ententes en vigueur avec les partenaires fédéraux, provinciaux et territoriaux. Une saine gouvernance se traduit par une meilleure prise de décisions. Elle permet également de s’assurer que le Ministère assume ses responsabilités législatives.

Constatation 1 :

Les SADF mettent en œuvre suffisamment d’activités de planification stratégique et communiquent les responsabilités ainsi que les rôles opérationnels afin de soutenir l’administration de leurs programmes. Néanmoins, il serait possible d’améliorer les activités de mesure du rendement des SADF et d’actualiser les ententes en vigueur avec les principaux partenaires des programmes.

Lien avec : La gouvernance

Mesure du rendement

La mesure du rendement, qui désigne la collecte et l’analyse systématiques des résultats des programmes, est notamment utilisée pour prendre des décisions relatives au rendement général d’un programme. La collecte et l’analyse des résultats des programmes, lorsqu’ils sont correctement recensés, permettent aux gestionnaires de prendre des décisions plus objectives et opportunes par rapport à l’orientation et au rendement d’un programme.

Les SADF démontrent qu’ils disposent de pratiques et d’une culture axées sur les résultats en effectuant un suivi uniforme du rendement et en produisant des rapports à ce sujet. Dans le cadre de l’audit, nous avons examiné et analysé les indicateurs de rendement utilisés par la direction afin d’évaluer les activités des programmes du BEAD, du SAEOEF et de la LSADP. Chaque année, pour rendre des comptes et communiquer leurs principales réalisations aux intervenants fédéraux, provinciaux et territoriaux, les SADF préparent un rapport exhaustif portant sur les activités opérationnelles de base qu’ils ont accomplies. Le rapport indique le suivi d’une série de mesures conçues pour démontrer que chacun des programmes de base connaît du succès. Ces mesures sont également décrites dans l’ébauche de la stratégie de mesure du rendement et d’évaluation, conjointement élaborée par la SFEA et la Division de l’évaluation du Ministère pour l’ensemble de la SFEA.

Bien que les mesures du rendement des SADF faisant l’objet de rapports aident à quantifier le genre de travail effectué par ces derniers, elles sont de nature quantitative et elles ne peuvent rendre pleinement compte du rendement de l’unité. Pour l’exprimer simplement, on peut dire que les SADF mesurent activement la « quantité » de travail accompli et non la « qualité » de ce dernier. Par exemple, les SADF mesurent actuellement : le nombre total d’appels reçus par le BEAD pour des actions en divorce; le nombre total de demandes de saisie-arrêt traitées en vertu de la LAEOEF; le montant total de fonds saisis à même des fonds fédéraux; le nombre de demandes visant la suspension d’un passeport ou d’un permis fédéral ou encore le refus de les octroyer; le nombre d’appels reçus par la ligne info de la SFEA. Toutefois, l’unité ne produit par de rapports sur le nombre moyen de jours requis pour traiter les demandes, sur le taux d’erreurs relevées dans les actions du BEAD ou sur les délais de traitement pour les demandes de localisation. À notre avis, il s’agit de mesures importantes qui témoignent de la réussite d’un programme.

Afin de s’assurer que l’unité s’acquitte de ses obligations prévues par la loi et qu’elle contribue à l’exécution des obligations plus générales du Ministère, les SADF pourraient tirer profit d’une réévaluation des mesures du rendement qu’ils utilisent pour mesurer la réussite de leurs programmes dans le cadre de leur rapport annuel. Ce faisant, les SADF et la SFEA devraient continuer de collaborer étroitement avec les services d’évaluation et de mesure du rendement du Ministère afin de s’assurer que les mesures du rendement sont établies en fonction de normes de service clés, telles que définies dans les lois, les règlements ainsi que les ententes fédérales, provinciales et territoriales en vigueur. Bien que les SADF aient affirmé respecter ces normes, les réussites de l’unité à ce chapitre ne font pas activement l’objet de rapports. Les mesures du rendement devraient également tenir compte des besoins des intervenants internes et externes. Par exemple, les intervenants internes doivent faire le suivi de la réussite des programmes, alors que les intervenants externes ont plutôt besoin de mesures qui indiquent les répercussions du travail des SADF sur la pauvreté chez les enfants, sur les familles canadiennes, etc. En établissant et mesurant un ensemble de mesures du rendement plus exhaustif, les SADF seraient en meilleure position pour démontrer la réussite de leurs programmes.

Ententes en vigueur

Une entente écrite sur l’échange de renseignements a pour but de servir de protocole d’entente écrit entre les différentes parties afin de décrire les modalités selon lesquelles les renseignements personnels seront recueillis, utilisés, divulgués, protégés et conservés.

Au moment de déterminer si les SADF avaient conclu de telles ententes avec les principaux partenaires des programmes, les SAI ont passé en revue une liste des protocoles d’entente conclus avec les provinces et les territoires pour l’administration des programmes du BEAD et du SAEOEF. Les SAI ont également examiné les documents comprenant les modalités en vigueur régissant l’utilisation des services du SAEOEF par les partenaires provinciaux ainsi que les protocoles d’entente conclus avec les principaux partenaires fédéraux pour l’exécution du SAEOEF.

Dans l’ensemble, l’audit a permis de constater que les ententes en vigueur régissant l’échange de renseignements personnels sont obsolètes. La plupart des ententes conclues entre le Ministère et ses partenaires provinciaux ou territoriaux régissant l’échange de données en vertu de la partie I de la LAEOEF ont été signées durant les années 1980. Ces ententes, qui pour la plupart sont antérieures à l’avènement de l’Internet et des communications électroniques, ne comprennent pas de dispositions décrivant les rôles, les responsabilités et les exigences nécessaires pour gérer adéquatement les renseignements personnels. Même si certaines ententes comprennent des dispositions générales rendant obligatoire la protection de la confidentialité des données, ces dispositions sont loin des attentes modernes ayant trait à la protection des renseignements personnels [telles qu’elles sont établies dans les lignes directrices du Secrétariat du Conseil du Trésor (SCT)].

En plus des ententes conclues entre les SADF et leurs partenaires provinciaux, les SADF ont mis sur pied des protocoles d’entente officiels avec leurs principaux partenaires fédéraux pour les activités du SAEOEF : Passeport Canada (maintenant sous la responsabilité d’IRCC), TC, l’ARC et EDSC. Comme l’a mentionné la direction, le personnel des SADF collabore étroitement avec celui de l’ARC et d’EDSC depuis 2009 afin de renouveler les ententes existantes (l’une d’entre elles date de 1987). Malgré tous les efforts déployés pour s’entendre sur de nouvelles dispositions, les ébauches d’ententes n’ont toujours pas été signées à ce jour.

Étant donné l’état actuel des ententes du Ministère conclues avec ses partenaires, les rôles et les responsabilités relatifs à l’échange et la manipulation des renseignements personnels demeurent flous. Par conséquent, les SADF et leurs partenaires sont vulnérables et susceptibles de mal gérer les renseignements personnels. Les ententes obsolètes sur la manipulation des données peuvent également rendre plus difficiles l’application et la surveillance des saines pratiques en matière de protection de la vie privée.

Recommandation 1

Il est recommandé que le sous-ministre adjoint principal, Secteur des politiques :

  1. mette à jour les mesures du rendement utilisées pour évaluer dans quelle mesure l’unité réussit à inclure les principales normes de service, telles qu’elles sont établies dans les lois, les règlements et les ententes fédérales, provinciales et territoriales en vigueur, et afin de mieux tenir compte des besoins des principaux intervenants internes et externes en matière de production de rapports;
  2. utilise une approche progressive basée sur le risque pour mettre à jour les ententes existantes avec les partenaires de programme à inclure les dispositions relatives à la protection des renseignements personnels et à la sécurité.
Plan d’action de la gestion

La direction accepte la recommandation.

  1. Les normes de service figurant dans le Rapport ministériel sur le rendement ont été révisées en 2015-2016 afin de mieux cadrer avec la collecte de frais d’utilisation dans le cadre des programmes du BEAD et du SAEOEF. Un examen des mesures du rendement actuelles des SADF sera effectué pour permettre de déterminer les meilleurs indicateurs pour évaluer les progrès et les gains d’efficacité, et de répondre à toute exigence en matière de production de rapports relative à l’évaluation de la SFEA de même qu’aux attentes des clients des SADF.

  2. Les procédures relatives à l’échange de renseignements personnels, aux mesures de sécurité et à la gestion des risques liés à la protection des renseignements personnels sont décrites dans les ententes officielles avec tous les partenaires qui participent à la prestation des services. Le Règlement sur le BEAD prévoit les renseignements que doivent échanger les tribunaux et le BEAD afin que soient détectés les dédoublements des actions en divorce. Des ententes à jour qui énoncent les processus actuels d’échange sécuritaire de renseignements entre les tribunaux provinciaux et territoriaux et le BEAD ont été négociées. Jusqu’à maintenant, neuf provinces et territoires ont signé une entente à jour. Il est utile de souligner que le fait que les ententes à jour n’ont pas été signées par les autres provinces et territoires n’a aucune incidence sur le processus d’enregistrement et de détection décrit dans le Règlement sur le BEAD. Par contre, la direction convient que le fait de signer les ententes à jour permettrait de clarifier et de communiquer de façon explicite les responsabilités liées à l’échange de renseignements personnels avec tous ses partenaires provinciaux et territoriaux.

    Le SAEOEF ne peut pas être offert de façon isolée par le ministère de la Justice. La loi impose des obligations légales à d’autres ministres fédéraux. La direction collabore activement avec les partenaires fédéraux qui participent à la fourniture du SAEOEF en vue de négocier des ententes d’échange de renseignements à jour qui tiennent compte des pratiques actuelles, notamment des processus électroniques sécuritaires approuvés par le gouvernement fédéral utilisés pour protéger les renseignements échangés. Des ententes renouvelées ont été signées avec Passeport Canada et TC; des négociations sont en cours avec l’ARC et ESDC. Le fait que des ententes renouvelées n’ont pas été signées avec tous les partenaires fédéraux n’empêche pas les SADF d’offrir les services prévus à leur mandat dans des environnements sécuritaires. Par contre, la signature de nouvelles ententes permettrait de veiller à ce que les responsabilités liées à l’échange et à la sécurité des renseignements personnels soient conformes aux pratiques recommandées par le Conseil du Trésor.

    Au titre de la partie I de la LAEOEF, les renseignements sur l’emplacement d’une personne ne peuvent être communiqués au demandeur que si la ministre de la Justice est convaincue que les garanties prévues dans l’entente conclue avec la province sont effectives. Des ententes ont été signées avec toutes les provinces et tous les territoires dans les années 1980. Ces ententes demeurent en vigueur et autorisent la communication au demandeur de renseignements sur l’emplacement d’une personne visés par la LAEOEF. Des ententes additionnelles portant spécifiquement sur l’échange et le traitement des renseignements personnels seront négociées avec les partenaires provinciaux et territoriaux au titre de la LAEOEF pour tenir compte des attentes modernes et      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]      en ce qui concerne le traitement et la protection des renseignements personnels. Si des modifications sont apportées à la LAEOEF, les ententes elles-mêmes seraient mises à jour. Cela permettrait de veiller à ce que les renseignements soient communiqués uniquement aux fins énoncées, tout en limitant le plus possible l’atteinte à la vie privée. Aucune entente fédérale/provinciale/territoriale n’est requise aux termes des dispositions de la LAEOEF sur la saisie-arrêt (partie II) et sur la suspension d’un permis (partie III).

Bureau de première responsabilité : Sous-ministre adjoint principal, Secteur des politiques 

Date d’échéance :

  • Un examen des mesures du rendement pour les programmes des SADF sera effectué d’ici le 31 mars 2018.

  • La mise en œuvre des mesures du rendement révisées requises aura lieu d’ici le 31 mars 2019.

  • Mise à jour des ententes :

    • Mise à jour de l’entente avec l’ARC : décembre 2017.
    • Mise à jour des ententes avec EDSC : 31 mars 2019.
    • Ententes en vertu de la partie I, LAEOEF : Des ententes additionnelles traitant spécifiquement de l’échange et de la manipulation des renseignements personnels avec les partenaires provinciaux/territoriaux en vertu de la LAEOEF seront négociées d’ici le 31 mars 2018. Dans l’éventualité où des modifications seraient apportées à la LAEOEF, les ententes elles-mêmes seront mises à jour dans les trois années qui suivront l’entrée en vigueur des nouvelles dispositions pertinentes.

7.2 Contrôles régissant la manipulation des renseignements personnels

Les auditeurs ont tenté de déterminer dans quelle mesure les SADF avaient conçu des contrôles qui permettent de s’assurer que les renseignements personnels sont utilisés adéquatement, tout en respectant les obligations du Ministère prévues aux termes des articles 4 à 8 de la Loi sur la protection des renseignements personnels. Les auditeurs ont également examiné dans quelle mesure l’unité avait mis en œuvre les politiques du SCT à l’appui de l’administration de la Loi. L’audit comprenait un examen des avis de confidentialité ainsi que des contrôles utilisés pour limiter la collecte, l’utilisation, la divulgation et la conservation de renseignements personnels. L’examen comprenait également une évaluation de la conception des contrôles utilisés pour s’assurer de l’exactitude et du caractère complet des renseignements personnels. On a également examiné les contrôles en place pour protéger les données des SADF contre une utilisation ou une divulgation non autorisée. Le traitement approprié des renseignements personnels permet de s’assurer que la vie privée des personnes est protégée lorsque l’unité utilise leurs renseignements personnels à des fins administratives.

Constatation 2 :

De manière générale, les SADF respectent leurs obligations établies en vertu de la Loi sur la protection des renseignements personnels ainsi que les politiques et directives connexes. On a répertorié un certain nombre de points à améliorer pour rendre plus sûr le traitement des renseignements de nature délicate.

Lien avec : Contrôles

L’audit a permis de constater que, en règle générale, les SADF respectaient les obligations établies qui leur incombent en vertu de la Loi sur la protection des renseignements personnels en ce qui a trait à la collecte, à l’utilisation et à la divulgation des renseignements personnels. L’unité limite sa collecte de renseignements personnels à ce qui est autorisé par la loi, et les renseignements personnels ne sont pas utilisés ou divulgués à des fins secondaires ou non liées. Les SADF traitent les renseignements personnels conformément aux procédures et aux politiques officiellement documentées, et les contrôles du système sont utilisés pour protéger et assurer l’intégrité des données. Cependant, on pourrait améliorer les avis de confidentialité, évaluer les facteurs relatifs à la vie privée et tenter de moins avoir recours au traitement manuel.

Avis de confidentialité

Le paragraphe 5(2) de la Loi sur la protection des renseignements personnels exige que le Ministère informe les personnes auprès de qui il recueille des renseignements personnels des fins auxquelles ces derniers sont destinés. La section 6.2.9 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT stipule que les avis de confidentialité doivent indiquer : « les fins de la collecte [de renseignements personnels] et en vertu de quelle autorité elle est faite; tout usage ou divulgation conforme à la fin originale; toute conséquence administrative ou légale découlant d’un refus de fournir les renseignements personnels; les droits d’accès, de correction et de protection des renseignements personnels en vertu de la Loi [sur la protection des renseignements personnels]; le droit de déposer une plainte auprès du Commissaire à la protection de la vie privée du Canada concernant le traitement des renseignements personnels des individus par l’institution ». À titre de pratique exemplaire, l’avis doit être fourni au moment de la collecte ou avant celui-ci.

Lorsque l’on recueille des renseignements personnels directement auprès d’une personne, les avis de confidentialité sont généralement affichés sur les formulaires utilisés pour la collecte (que ce soit sur support papier ou électronique). Lorsque l’on recueille des renseignements personnels indirectement, le Ministère peut avoir recours à des avis de tierces parties, mais il doit divulguer les fins de la collecte dans les descriptions de ses fichiers de renseignements personnels (FRP). Ces derniers sont des index des renseignements personnels détenus par le Ministère qui sont publiés annuellement et mis en ligne sur Info Source (une série de publications et de bases de données contenant de l’information à propos du gouvernement du Canada).

Dans le cadre de l’audit, les SAI ont obtenu des exemplaires de tous les formulaires utilisés par les SADF pour la collecte de renseignements personnels. On a également obtenu des exemplaires des avis diffusés dans les systèmes pertinents du BEAD et du SAEOEF. Après examen de ces avis, et après avoir comparé ceux-ci avec les exigences établies dans la Directive sur les pratiques relatives à la protection de la vie privée du SCT, on a constaté que l’unité respecte en grande partie ses obligations relatives aux avis, mais pas la totalité. Les avis de confidentialité existants ne respectent pas toujours les exigences établies par le SCT, même que certains avis de confidentialité étaient tout simplement manquants.

Selon la direction, la grande majorité de l’information recueillie par l’unité est recueillie indirectement par l’intermédiaire de ses partenaires de programme (c.-à-d. les PEOA en vertu de la LAEOEF, et les tribunaux provinciaux pour le BEAD). Par conséquent, on a jugé qu’il n’était pas nécessaire d’apposer des avis de confidentialité sur certains formulaires. Selon les SADF, le Ministère respecte ses obligations en informant les personnes des fins de la collecte principalement par l’intermédiaire des FRP de ses programmes.

Dans les cas où le Ministère recueille de l’information à propos de personnes indirectement, et ce en vertu de la Loi sur la protection des renseignements personnels, on s’attend à ce que l’on indique sur les formulaires et les pages Web des systèmes utilisés un renvoi au FRP approprié. De plus, le SCT s’attend à ce que les FRP auxquels les utilisateurs sont renvoyés décrivent plus en détail les données recueillies auprès des partenaires des programmes. L’examen du FRP du Ministère utilisé pour le SAEOEF a permis de constater que le FRP se contente d’énoncer que des « renseignements d’identification » pourraient être recueillis, sans pour autant établir le type ou les catégories de renseignements d’identification qui pourraient être recueillis et utilisés aux fins des programmes. Selon la Directive sur les pratiques relatives à la protection de la vie privée du SCT, une évaluation des facteurs relatifs à la vie privée (EFVP) doit être fournie au SCT de même qu’une description du FRP substantiellement modifiée pour que ce dernier puisse être enregistré et approuvé.

Dans l’ensemble, bien que les SADF respectent la plupart de leurs obligations relatives à la divulgation des fins pour lesquelles ils recueillent des renseignements personnels, les avis de confidentialité doivent quant à eux être améliorés afin de tenir compte du contenu minimal exigé par la section 6.2.9 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT.

Évaluations des facteurs relatifs à la vie privée

Selon l’article 4 de la Loi sur la protection des renseignements personnels, le Ministère est tenu de limiter la collecte de renseignements personnels à ceux qui sont requis pour ses activités opérationnelles autorisées. Les articles 7 et 8 de la Loi limitent l’utilisation et la divulgation de ces renseignements à l’utilisation pour laquelle ils ont d’abord été recueillis, sauf avec l’autorisation de la personne concernée ou tel que permis par la loi. Enfin, en vue de protéger l’intégrité des données, le paragraphe 6(2) de la Loi exige que le Ministère prenne toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés à des fins administratives sont à jour, exacts et complets.

Pour veiller à ce que ces exigences soient respectées, les ministères établissent habituellement des contrôles administratifs et opérationnels. Les ministères sont également tenus de mener des évaluations périodiques des risques liés aux activités et aux programmes clés. L’EFVP est l’un des moyens utilisés pour atténuer les risques éventuels pour la sécurité des renseignements personnels. Il s’agit d’une composante de la gestion des risques qui est axée sur la conformité aux exigences de la Loi sur la protection des renseignements personnels. Des EFVP sont prévues au terme de la Directive sur l’évaluation des facteurs relatifs à la vie privée pour tous les nouveaux programmes nécessitant des renseignements personnels, ou lorsque l’on retrouve des modifications importantes aux programmes ou aux services existants mettant en cause des renseignements personnels.

L’audit a permis de relever que les SADF n’avaient toujours pas entrepris d’EFVP du programme en lien avec le SAEOEF. Le SAEOEF compte pour une grande partie des fonds de renseignements personnels de l’unité. Le SAEOEF a fait l’objet d’une EFVP officielle en 2010, mais la portée de l’examen se limitait aux répercussions associées aux modifications aux protocoles d’entente avec TC et Passeport Canada. À la lumière des importants changements apportés au SAEOEF depuis sa création, nous nous serions attendus à ce que les SADF aient entrepris une EFVP sur l’ensemble des activités du SAEOEF. La direction des SADF a signalé qu’une EFVP pour l’ensemble du SAEOEF n’a jamais été menée puisque le service est entré en vigueur avant l’introduction des exigences de politique régissant les EFVP. La direction des SADF reconnaît le besoin actuel d’une EFVP, considérant que ces données l’aideraient à respecter les autres obligations découlant des politiques.

L’inclusion et la normalisation des avis de confidentialité sont essentielles au respect des instruments de politique du SCT. De plus, l’absence d’EFVP pourrait affecter négativement la prise de décisions éclairées en limitant l’examen attentif des risques liés à la vie privée qui concernent la création, la collecte et la manipulation des renseignements personnels dans le cadre des activités des SADF. Ainsi, l’examen des avis de confidentialité et la tenue d’une EFVP permettraient d’améliorer davantage les saines pratiques de protection de la vie privée des SADF.

Recommandation 2

Il est recommandé que le sous-ministre adjoint principal, Secteur des politiques, révise les politiques clés à l’appui de ses obligations en vertu de la Loi sur la protection des renseignements personnels en vue d’assurer le respect des directives du SCT en faisant ce qui suit :

  1. Réaliser une EFVP du programme du SAEOEF en cas de modification importante apportée à ses activités de programme, conformément à la section 6.3.1 de la Directive sur l’évaluation des facteurs relatifs à la vie privée;
  2. Examiner et réviser tous les avis de confidentialité dans les formulaires utilisés pour recueillir les renseignements personnels, conformément à la section 6.2.9 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT.
Plan d’action de la gestion

La direction accepte la recommandation.

  1. Des EFVP ont été effectuées par le passé, au besoin, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT. Une EFVP complète du SAEOEF sera réalisée et son FRP sera mis à jour.
  2. Tel qu’il est indiqué dans le rapport, la plupart du temps, la collecte des renseignements personnels d’une personne se fait indirectement au moment de l’administration des programmes des SADF. Plus précisément, les renseignements personnels sont reçus indirectement des demandeurs au titre de la LAEOEF. Lorsque c’est nécessaire, un avis de confidentialité sera ajouté aux formulaires relatifs à la LAEOEF applicables. Des avis de confidentialité ont été ajoutés à tous les autres formulaires utilisés dans le cadre de l’administration des programmes des SADF.

Bureau de première responsabilité : Sous-ministre adjoint principal, Secteur des politiques

Date d’échéance :

Avis de confidentialité :

  • Formulaires de demande de recherche de la LAEOEF : 30 juin 2017.
  • Formulaires de demande de la LAEOEF : 31 mars 2020.

EFVP pour le SAEOEF :

  • EFVP ébauche pour le SAEOEF d’ici le 30 juin 2018.
  • L’EFVP finale doit être terminée lorsque le premier des événements suivants surviendra : modification importante des activités du programme ou le 31 mars 2020.

Traitement manuel

Le Ministère a fait d’importants investissements en TI pour moderniser ses pratiques par le biais de l’automatisation. En conséquence, les SADF ont automatisé plusieurs processus pour appuyer les activités des SADF et des PEOA. Par exemple, la plupart des activités opérationnelles du SAEOEF échangent de l’information par voie électronique avec les PEOA provinciaux et territoriaux en utilisant des applications en ligne ou un protocole de transfert de fichier. Malgré les investissements effectués dans le développement de systèmes automatisés pour l’administration des programmes clés, il reste des améliorations à apporter quant à la réduction du recours au traitement manuel pour des tâches précises en mettant davantage à profit les investissements en TI du Ministère. Ceci est particulièrement vrai en ce qui concerne l’enregistrement et le traitement des procédures de divorce dans le cadre du BEAD, où seulement 9 des 185 tribunaux du Canada utilisent des systèmes de saisie des données en ligne. Ce recours aux procédures manuelles augmente le risque d’erreurs de saisie de données. En outre, les processus manuels sont plus dispendieux et moins faciles à utiliser. Bien que la transition vers l’automatisation de tous les partenaires ne dépende pas entièrement des SADF, il serait bénéfique pour le Ministère d’élaborer un plan pour soutenir la progression de la transition des programmes clés vers un processus automatisé.

Recommandation 3

Il est recommandé que le sous-ministre adjoint principal, Secteur des politiques, élabore un plan de travail pour la transition des fonctions de base du programme du BEAD et les principaux partenaires de programme à l’égard de la saisie et du traitement des données directs et automatisés.

Plan d’action de la gestion

La direction accepte la recommandation.

Dans le but de créer des gains d’efficacité et dans l’optique de l’amélioration continue, la direction a offert aux partenaires provinciaux et territoriaux divers moyens d’échanger de façon électronique les renseignements exigés par le Règlement sur le BEAD. Par exemple, elle travaille en étroite collaboration avec ses partenaires en vue d’offrir un accès en ligne externe et sécurisé à la banque de données du BEAD, dans la mesure du possible, afin qu’il soit possible de saisir des données directement dans la banque de données plutôt que dans des formulaires papier. Jusqu’à maintenant, 18 des 185 tribunaux avec lesquels le BEAD interagit ont accès à la banque de données en ligne. En 2017-2018, la direction continuera de travailler en collaboration avec divers représentants provinciaux et territoriaux dans le but d’offrir l’accès en ligne à d’autres tribunaux. D’autres options de transmission électronique font l’objet de discussions en vue d’optimiser les gains d’efficacité dans certaines administrations où les systèmes et la capacité des ressources techniques le permettent. Tout plan de travail élaboré sera assujetti à la validation par les partenaires provinciaux et territoriaux quant à la capacité d'innover davantage et comprendra des dates de livraison flexibles pour répondre aux priorités concurrentes des partenaires provinciaux et territoriaux.

Bureau de première responsabilité : Sous-ministre adjoint principal, Secteur des politiques

Date d’échéance : Plan de travail complété d’ici le 30 juin 2017.

7.3 Contrôles relatifs à l’intégrité de l’information

L’audit a permis d’examiner dans quelle mesure les SADF ont conçu des contrôles généraux des TI visant le soutien de l’intégrité des données au sein du système de l’AEOEF. Plus particulièrement, nous avons examiné dans quelle mesure les données du système de l’AEOEF sont transférées par le biais du réseau ministériel conformément à la cote de sécurité attribuée à ces données, et si les tâches de TI sont séparées pour minimiser le risque d’erreur et d’acte répréhensible. Assurer l’intégrité des données du système de l’AEOEF, l’unique système essentiel à la mission du Ministère, est important pour veiller à ce que la ministre respecte les obligations statutaires et politiques pour l’exécution des programmes.

Constatation 3 :

Les SADF ont conçu des contrôles pour le soutien de l’intégrité des données au sein du système de l’AEOEF.      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]     

Lien avec : Contrôles

Sécurité du réseau

Assurer la sécurité des renseignements est essentiel aux activités du SAEOEF. Non seulement le service manipule et traite un grand volume de données, mais ces données sont principalement des « renseignements personnels » qui concernent des personnes identifiables. De plus, les données du système de l’AEOEF sont également de nature sensible puisqu’elles s’appliquent à des ordonnances familiales et à des obligations financières qui découlent d’une séparation ou d’un divorce.

Selon la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du gouvernement du Canada, tous les ministères fédéraux doivent protéger les renseignements en fonction de leur sensibilité tout au long de leur cycle de vie. Les ministères devraient chiffrer l’information cotée Protégé A et Protégé B dans les cas où l’évaluation de la menace et des risques (EMR) le recommande. En outre, les ministères doivent :

Alors que les recommandations relatives à une récente ébauche d’EMR du système de l’AEOEF soulignent la nécessité de chiffrer les données Protégé B du système de l’AEOEF à l’arrêt, elles ne traitent pas de la transmission non chiffrée des données Protégé B du système de l’AEOEF (données en transit). Le chiffrement des données constitue une pratique exemplaire de l’industrie laquelle est utilisée pour réduire le risque d’accès non autorisé.      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]     

Recommandation 4

Il est recommandé que la sous-ministre adjointe, Secteur de la gestion et de la dirigeante principale des Finances, complète l’ébauche d’EMR du système de l’AEOEF et qu’elle mette en place des mesures de protection par chiffrement afin de protéger les données Protégé B du système de l’AEOEF, à l’arrêt et en transit.

Plan d’action de la gestion

La direction accepte la recommandation.

  1. Recommandation #2 de l’EMR du système de l’AEOEF dit « Adopter et mettre en œuvre le chiffrement, approuvé par le CST, de toutes les données du système de l’AEOEF pendant que les données sont inactives ».

         [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]     

    La date d’échéance ci-dessous, comme indiqué dans le plan de mise en œuvre de sauvegarde, reflète diverses activités, y compris mais sans s'y limiter, un examen et l'approbation de la solution de chiffrement sélectionnée par le groupe de sécurité de TI, essais techniques et test de performance, et la mise en œuvre à la production de la solution.

  2.      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]     

    La date d’échéance ci-dessous reflète diverses activités, y compris mais sans s'y limiter, la consultation avec Services partagés Canada, un examen et l'approbation      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]      par le groupe de sécurité de TI, essais techniques et test de performance, et la mise en œuvre à la production de la solution.

Bureau de seconde responsabilité : Sous-ministre adjointe, Secteur de la gestion et de la dirigeante principale des Finances

Date d’échéance :

  1. Le 29 septembre 2017.
  2. Le 31 mars 2018.

Séparation des tâches

La séparation des tâches est un concept fondamental de contrôles internes qui prévoit la séparation de tâches sensibles conflictuelles de façon à prévenir une erreur ou un acte répréhensible. Selon la GSTI, les ministères doivent séparer les responsabilités en matière de TI autant que possible afin de s’assurer que personne n’a un contrôle complet sur l’ensemble du système des TI ou sur une fonction opérationnelle majeure.

La DSI du Ministère a séparé adéquatement les opérations informatiques (p. ex. la gestion des infrastructures, le service de dépannage et la saisie de données) où chaque groupe est responsable d’un ensemble distinct de tâches. Toutefois, les tâches reliées au développement, à l’essai et au déploiement des applications, qui devraient être séparées selon les normes de l’industrie, sont tous menées par l’équipe de développement des applications du système de l’AEOEF. Ces développeurs ont également accès à la base de données du système de l’AEOEF pour mener des tâches d’administration des données.

     [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]     

Recommandation 5

Il est recommandé que la sous-ministre adjointe, Secteur de la gestion et de la dirigeante principale des Finances, sépare les rôles, et les tâches connexes, du développement, de l’essai et du déploiement des applications, et de l’administration de bases de données, pour le système de l’AEOEF.

Plan d’action de la gestion

La direction accepte la recommandation.

  1. La DSI définira et documentera les tâches, les procédures opérationnelles et les droits d'accès au système en rapport avec les rôles de l'administration de base de données, de développement d'applications, d'essais d'applications et de déploiement d'applications en production pour le système de l’AEOEF.
  2. La DSI assignera des tâches au personnel travaillant sur le système de l'AEOEF et au sein des équipes désignées pour soutenir le système de l’AEOEF.      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]     . Avant la mise en œuvre complète, la DSI effectuera des essais en profondeur des règles d'accès au système.      [Les renseignements ont été retranchés, conformément à la Loi sur l'accès à l'information. s.16(2)(c )]      et assurer également que les tâches peuvent être menées de manière efficace dans les paramètres de l'accès au système nouvellement défini.

Bureau de seconde responsabilité : Sous-ministre adjointe, Secteur de la gestion et de la dirigeante principale des Finances

Date d’échéance :

  1. Le 31 mars 2017.
  2. Le 29 septembre 2017.

8. Occasion – Initiative des données ouvertes du gouvernement du Canada

Dans le cadre de l’administration des programmes du SAEOEF, du BEAD et de la LSADP, les SADF génèrent des données sur les familles canadiennes qui présentent un intérêt pour de nombreux intervenants, y compris les universitaires, les chercheurs et les groupes de réflexion. Ces données pourraient aussi s’avérer utiles pour les provinces et les territoires et leurs PEOA respectifs, leur permettant de prendre des décisions plus éclairées à propos de questions qui touchent les familles partout au Canada. À l’heure actuelle, le Ministère ne partage pas les données des SADF avec ces intervenants. 

Compte tenu de l’initiative des données ouvertes du gouvernement du Canada, le Ministère a maintenant l’occasion de revoir sa politique sur le partage des données agrégées aux fins de la recherche, des statistiques et de l’élaboration des politiques. Il pourrait explorer la possibilité de rendre anonymes et de dépersonnaliser les données afin de partager les renseignements des SADF à l’intérieur comme à l’extérieur du gouvernement, pour accroître la transparence tout en assurant la protection des renseignements des personnes.

9. Opinion d’audit

À mon avis, le Ministère a des mécanismes de gouvernance efficaces en place à l’appui de l’administration des programmes du BEAD, du SAEOEF et de la LSADP. Des contrôles de la protection des renseignements personnels sont conçus pour contribuer à assurer le traitement adéquatNote de bas de page 5 des renseignements personnels et, dans l’ensemble, le Ministère assume ses obligations en vertu de la Loi sur la protection des renseignements personnels en ce qui concerne le traitement des renseignements personnels par les SADF. Des contrôles sont conçus pour préserver l’intégrité des renseignements et des données du système de l’AEOEF de façon à ce que les SADF respectent leurs obligations en vertu de la LAEOEF. Des occasions d’amélioration existent pour atténuer davantage les risques, et la direction a fait preuve d’un engagement ferme à apporter des améliorations à mesure que des questions se posent et a adopté une approche proactive à cet égard.

Annexe A – Critères d’audit

Élément d’enquête 1 – Gouvernance

Élément d’enquête 2 – Contrôles internes