Rapport de la vérification de la gestion de l’information

Table des matières

1. Contexte
   1. 1.1 Objectif et portée de la vérification
   2. 1.2 Approche
   3. 1.3 Aperçu de la GI au sein de la CISR
2. Constatations et recommandations
   1. 2.1 Constatations découlant de la vérification
   2. 2.2 Points forts relevés
   3. 2.3 Possibilités d’amélioration

1. Annexe A – Définitions du risque
2. Annexe B – Plan d’action de la direction

1. Contexte

1.1 Objectif et portée de la vérification

Le plan pluriannuel de vérification axé sur les risques (PPVR) de la Commission de l’immigration et du statut de réfugié du Canada (CISR) prévoyait une vérification de la gestion de l’information (GI) au cours de l’exercice 2013‑2014.

L’objectif général de cette vérification était d’évaluer dans quelle mesure le cadre de gestion de l’information de la CISR est efficace pour ce qui est de mener à bien un des mandats de la CISR, à savoir celui de régler, de manière efficace, équitable et conforme à la loi, les cas d’immigration et de statut de réfugié.

Les sous‑objectifs étaient d’évaluer dans quelle mesure :

• les pratiques de la CISR en matière de GI répondent aux besoins fonctionnels et appuient le processus décisionnel à l’échelle de l’organisation;
• il y a une structure efficace de gouvernance de la GI et il y a des outils de soutien et des mécanismes de prestation de services efficaces en place à la CISR;
• les pratiques en matière de GI à la CISR sont conformes aux exigences du cadre de gestion de l’information du gouvernement du Canada.

La portée de la vérification préliminaire englobait le cadre de gouvernance, de gestion du risque et de contrôle visant la GI au sein de la CISR, les éléments suivants étant exclus de la portée de la vérification :

• la technologie de l’information (TI), toutefois, la fonctionnalité aux fins de la GI des outils de TI directement liés à la gestion des dossiers est incluse;
• la protection de la vie privée et des renseignements personnels;
• l’examen de la documentation en vue d’évaluer l’efficacité et l’application cohérente des procédures de la CISR (sauf si ces procédures sont spécifiquement liées aux pratiques de GI);
• les activités et les renseignements se rapportant à la recherche sur les droits de la personne et les questions relatives aux demandes d’asile et à la migration.

La vérification incluait une étape de planification en vue d’acquérir une compréhension générale du fonds de renseignements et du niveau de contrôle se rapportant à l’information détenue par la CISR. L’étape de planification incluait une évaluation du risque qui prenait en considération :

• le risque inhérent associé au fonds de renseignements, en fonction de la probabilité inhérente et de la gravité potentielle des impacts sur l’organisation à la suite d’une intrusion ou d’un autre incident touchant les renseignements (par exemple dans le cas où la confidentialité, l’intégrité ou la disponibilité des renseignements est compromise). Les secteurs détenant les fonds de renseignements dont le risque inhérent est plus élevé sont les secteurs qu’il convient davantage de viser dans la vérification;
• l’ampleur des mesures de contrôle en place relativement aux renseignements (c’est‑à‑dire dans quelle mesure il y a des mesures de contrôle bien définies pour la création/collecte, la classification, l’organisation et la protection des renseignements). Veuillez prendre note que cette évaluation des mesures de contrôle actuelles prenait appui sur la compréhension générale dégagée à l’étape de planification. Les secteurs dotés de mesures de contrôle mieux définies sont les secteurs qu’il convient davantage de viser dans la vérification (étant donné que la vérification des secteurs où les mesures de contrôle sont inadéquates permet seulement de confirmer qu’il n’y a pas de mesures de contrôle adéquates).

À la lumière de l’évaluation décrite ci‑dessus, nous avons focalisé davantage sur la vérification en mettant l’accent sur les cas liés aux cas d’immigration et aux demandes d’asile. Les dossiers administratifs de la CISR n’étaient pas inclus dans la portée de la présente vérification étant donné :

• que l’analyse concordance‑écart de la tenue de dossiers réalisée par la CISR d’avril à juin 2013 a révélé que l’organisation n’a pas encore mis en œuvre un cadre de GI exhaustif assurant un soutien complet de pratiques appropriées en matière de gestion de données pour ce qui est des données administratives;
• que les fonds de renseignements critiques de la CISR sont les dossiers liés aux cas d’immigration et de demandes d’asile, et non les renseignements de nature administrative.

1.2 Approche

La vérification a été menée conformément aux exigences de la Politique sur la vérification interne du Secrétariat du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes. L’équipe de vérification a examiné des données probantes pertinentes et suffisantes, et a obtenu assez d’information pour offrir un niveau d’assurance raisonnable à l’appui des constatations découlant de la vérification.

La vérification a porté principalement sur les éléments suivants :

• la stratégie en matière de GI et le plan d’action (et son état d’avancement) visant la mise en œuvre d’un cadre de GI à l’échelle de l’organisation;
• le cadre de gouvernance, les rôles et les responsabilités en matière de GI à la CISR;
• le processus de gestion des dossiers papier des quatre tribunaux [la Section de la protection des réfugiés (SPR), la Section d’appel des réfugiés (SAR), la Section de l’immigration (SI) et la Section d’appel de l’immigration (SAI)], à partir de la réception/collecte jusqu’à l’archivage/élimination, y compris la protection des renseignements;
• la manière dont le système de gestion de cas (NOVA) est utilisé pour assurer le suivi des dossiers;
• les fonctions du Greffe, en vue de comprendre et de mettre à l’épreuve les mesures de contrôle visant les greffes régis soit par les tribunaux ou par la Direction générale du Greffe et des services de soutien régionaux (DGGSSR), à savoir la classification, le suivi et la gestion des dossiers, les mesures de protection);
• la responsabilité et la gestion de la relation avec le fournisseur de l’entreposage commercial.

Des visites sur les lieux ont été menées dans les Bureaux régionaux du centre (Toronto) et de l’est (Montréal). Il y a eu des entrevues téléphoniques avec des représentants du Bureau régional de l’ouest (Vancouver).

1.3 Aperçu de la GI au sein de la CISR

La Section de la gestion de l’information consignée (SGIC) de la CISR fait partie de la Direction des systèmes informatisés (DSI). Le directeur de la DSI a été désigné à titre de dirigeant principal de l’information (DPI) de la CISR. Le DPI relève du directeur général de la Direction générale des services intégrés. La SGIC compte présentement 8 équivalents à temps-plein (ETP) et a récemment reclassifié le poste du chef de la SGIC d’AS‑04 à AS‑06. Toutes les ressources de la SGIC sont situées au siège de la CISR dans la région de la capitale nationale (RCN).

L’information gérée par la CISR peut être répartie en deux catégories générales :

• l’information se rapportant aux dossiers et décisions sur les cas d’immigration et de demandes d’asile;
• l’information se rapportant à l’administration de la CISR.

Les dossiers et les décisions sur les cas d’immigration et de demandes d’asile des quatre tribunaux sont principalement des dossiers papiers et sont gérés d’une manière structurée (c’est‑à‑dire que la gestion se fait en fonction du dossier sur les cas). Il y a trois greffes pour dossiers papiers servant à la gestion des dossiers sur les cas des quatre tribunaux :

• un greffe intégré géré par la DGGSSR dans chacun des bureaux régionaux pour trois des tribunaux, soit la SI (à l’exception du Bureau régional du centre), la SAI et la SAR;
• un greffe distinct pour la SI au Bureau régional du centre, étant donné qu’il s’agit d’un emplacement distinct du Bureau régional du centre à Queen’s Plate à Toronto;
• un greffe pour la SPR, géré par la section elle‑même.

Les sections utilisent les systèmes de TI pour faciliter la gestion des cas (mais pas la gestion des dossiers sur les cas eux‑mêmes); plus précisément, elles utilisent NOVA, système qui est utilisé par les quatre tribunaux pour gérer les cas et assurer le suivi des dossiers.

2. Constatations et recommandations

2.1 Constatations découlant de la vérification

Dans l’ensemble, dans le contexte de la présente vérification, l’exposition au risque de la CISR au chapitre de la GI se trouve dans la partie supérieure de l’échelon « modéré » (veuillez‑vous reporter à l’annexe A pour une définition de la cotation du risque) :

Exposition au risque

Faible risque	Risque modéré	Risque élevé

La CISR a récemment effectué une analyse concordance‑écart de la tenue de dossiers et a commencé à corriger les lacunes relevées grâce à un plan d’action sur le cadre de GI. De plus, la GI a été renforcée au moyen d’un comité de la GI‑TI qui s’engage activement dans la planification et la prise de décisions liées à la GI, ainsi que dans l’accroissement de la capacité de la fonction générale en matière de GI. Cela étant dit, les vérificateurs ont noté que des éléments fondamentaux devant soutenir la GI à la CISR n’ont pas encore été mis en œuvre, notamment une stratégie globale de la GI et des rôles et responsabilités bien définis et bien communiqués qui soient renforcés au moyen de politiques, de procédures et d’activités de formation et de sensibilisation. Il s’agit d’éléments essentiels, particulièrement à la lumière de la nature complexe de la structure organisationnelle de la CISR. De plus, les vérificateurs ont relevé des lacunes au chapitre du contrôle pour ce qui est du suivi et de la protection des dossiers opérationnels sur papier, qui sont cruciaux à la fois en raison de leur importance pour le processus du tribunal et en raison de la nature délicate des renseignements qu’ils contiennent. Compte tenu de ce qui précède, les vérificateurs ont conclu que le risque se situe dans la partie supérieure de l’échelon « modéré ».

Dans le reste du présent document, nous présentons d’autres éléments de mise en contexte et d’autres précisions à l’appui de la constatation sommaire exposée ci‑dessus.

2.2 Points forts relevés

La vérification a permis de relever un certain nombre de bonnes pratiques en matière de GI au sein de la CISR. Voici des exemples de ces pratiques :

• la CISR a effectué une analyse concordance‑écart de la tenue de dossiers d’avril à juin 2013 et, à la lumière des lacunes relevées, 30 initiatives distinctes ont été mises en place en fonction d’un plan d’action sur le cadre de GI;
• le comité de la GI‑TI participe activement à la planification et à la prise de décisions liées à la GI. La structure de gouvernance de la GI proposée par la CISR contribuerait au perfectionnement du cadre de GI de l’organisation;
• de nouveaux postes ont récemment été créés et dotés au sein de la SGIC, y compris des postes liés à l’élaboration des politiques et à la surveillance de la conformité à ces politiques ainsi que des postes liés à la formation;
• la CISR a récemment achevé un nettoyage des dossiers sur les cas dont la période de conservation était écoulée;
• des politiques et procédures ont été élaborées pour la protection des dossiers;
• de bonnes pratiques en matière de protection des dossiers ont été observées au Bureau régional de l’est (bureau de Montréal).

2.3 Possibilités d’amélioration

Afin d’améliorer les pratiques de la CISR en matière de gestion de l’information, les vérificateurs ont noté sept secteurs prioritaires sur lesquels il faudrait se pencher dans les meilleurs délais. Ainsi qu’il a été signalé précédemment, les vérificateurs ont tâché de relever les secteurs les plus importants pour la CISR compte tenu de son environnement actuel et futur, et à la lumière de l’information recueillie au moyen du processus de vérification, les sept secteurs suivants ont été relevés :

1. la stratégie et la planification en matière de GI (risque modéré);
2. la gouvernance et les rôles en matière de GI (risque modéré);
3. les politiques et procédures en matière de GI (risque modéré);
4. la gestion du changement et les communications (risque modéré ou élevé);
5. la gestion de dossiers (risque élevé);
6. la protection des dossiers (risque élevé);
7. la conservation et l’élimination (risque modéré).

Dans le reste du présent rapport, nous donnons des précisions additionnelles sur chacun de ces sept secteurs.

2.3.1 Constatation n^o 1 – La stratégie et la planification en matière de GI (risque modéré)

En ce qui a trait à la stratégie et à la planification en matière de GI, les vérificateurs s’attendaient à constater qu’une stratégie globale en matière de GI avait été mise en œuvre, qui formule la vision et le mandat de la GI au sein de la CISR et qui s’aligne sur les priorités organisationnelles et les principaux risques liés à la GI.

La CISR a effectué une analyse concordance‑écart de la tenue de dossiers d’avril à juin 2013 et, à la lumière des lacunes relevées, 30 initiatives distinctes ont été mises en place en fonction d’un plan d’action sur le cadre de GI. Les initiatives prioritaires qui ont été approuvées et qui devaient initialement être achevées au troisième ou au quatrième trimestre de 2013‑2014 étaient les suivantes :

• la gouvernance de la GI;
• l’inventaire des répertoires;
• l’inventaire des ressources documentaires à valeur opérationnelle^{Note 1} (RDVO);
• l’étude d’un système de gestion électronique des documents et des dossiers (SGEDD).

La DSI prévoit maintenant que l’achèvement de certaines de ces initiatives, y compris l’approbation d’une structure de gouvernance de la GI et l’inventaire des RDVO, sera repoussé au premier trimestre de 2014‑2015.

Bien que le plan d’action sur le cadre de GI donne un aperçu des initiatives clés requises pour corriger les lacunes relevées dans le cadre de GI actuel de la CISR, il ne formule pas de manière explicite la vision et le mandat de la GI au sein de la CISR; de plus, le plan d’action ne situe pas l’achèvement de ces initiatives dans le contexte d’une « feuille de route » décrivant de quelle manière ces initiatives permettront à la CISR d’avancer vers cette vision. En outre, le plan d’action sur le cadre de GI ne comporte pas de modèle global de financement et d’allocation de ressources, ni de chemin critique et de relevé des dépendances en vue de l’achèvement des initiatives qui examine comment les initiatives atténuent les risques relevés — par exemple, la conformité d’ici mars 2015 à la Directive sur la tenue de documents^{Note 2} du Conseil du Trésor.

Faute d’une stratégie bien définie en matière de GI, il existe le risque que les initiatives individuelles en matière de GI ne soient pas perçues, lancées ou surveillées dans le contexte de l’achèvement de la vision ultime de la GI pour cette organisation.

Recommandations

1. Il est recommandé que le dirigeant principal de l’information élabore une stratégie globale de GI en vue de diriger l’établissement des priorités parmi les initiatives de GI et d’aligner ces dernières. Il faudrait que la stratégie tienne compte de la vision globale et du mandat de la GI au sein de la CISR, y compris des questions telles que la gestion des RDVO en format électronique. Il faudrait que l’état d’avancement de la stratégie de la GI soit mesuré périodiquement en vue de démontrer aux cadres supérieurs l’importance des initiatives de GI qui ont été mises en œuvre.

2. Il est recommandé que le dirigeant principal de l’information s’assure que, dans le cadre de la stratégie de la GI, le plan d’action sur le cadre de la GI soit soutenu au moyen d’un modèle de financement et d’allocation de ressources plus détaillé ainsi que d’un chemin critique et d’un relevé des dépendances clairement définis pour chacune des initiatives du plan d’action.

2.3.2 Constatation n^o 2 – La gouvernance et les rôles en matière de GI (risque modéré)

En ce qui a trait à la gouvernance de la GI, les vérificateurs s’attendaient à ce qu’un cadre général décisionnel et de responsabilisation en matière de GI ait été mis en œuvre, un cadre incluant des rôles et responsabilités définis, clairs et bien communiqués.

Les bureaux régionaux sont peu au fait du rôle de la Section de la gestion de l’information consignée (SGIC), car cette dernière n’a pas officiellement défini et communiqué les services qu’elle fournit à l’organisation. Il a été noté que la SGIC a réduit ses activités de communication en raison d’un manque de personnel, même si elle a récemment ajouté de nouveaux postes liés à l’élaboration de politiques et à la conformité ainsi qu’à la formation. Il n’y a pas de postes se rapportant spécifiquement à la GI dans les bureaux régionaux, ni de personnel régional qui relève de la SGIC. Toutefois, il y a divers employés ayant des responsabilités liées à la GI dans les bureaux régionaux, notamment des employés des Services des dossiers et du courrier au sein des Services communs, ainsi que des employés ayant des responsabilités liées au Greffe. Ces employés entreprennent des activités telles que la création, le suivi et l’archivage de dossiers. Les liens entre la SGIC et les employés qui exécutent des activités liées à la GI dans les bureaux régionaux ne sont pas définis à l’heure actuelle, car la SGIC n’assure pas présentement de surveillance ou d’orientation pour les bureaux régionaux en ce qui a trait à des questions telles que la conservation et l’élimination des dossiers sur les cas. De plus, il n’y a pas de surveillance de l’adhésion à des pratiques de GI appropriées à l’échelle de la CISR. Il convient de noter que la nouvelle structure de gouvernance de la GI qui est proposée prévoit des groupes de travail de la GI au niveau fonctionnel qui seront chargés d’élaborer, de recommander et d’intégrer des stratégies de GI et de mettre en œuvre des initiatives de GI; ces groupes de travail pourront être mobilisés en vue de renforcer les liens entre la SGIC et les bureaux régionaux.

En raison de l’absence de rôles et responsabilités bien définis en matière de GI, il y a un risque accru de confusion pour ce qui est de la responsabilité à l’égard de certaines activités de GI et de surveillance inadéquate des pratiques de GI dans l’ensemble de l’organisation, ce qui augmente le risque d’un traitement inapproprié de l’information.

Aucun programme officiel de gestion des données et de qualité des données, y compris les rôles et responsabilités, n’a été mis en œuvre. Dans le contexte de la portée de la vérification, cette situation a été notée en constatant que les tribunaux utilisent NOVA pour la gestion de cas — faute de mécanismes appropriés de gouvernance de données, il y a un manque d’uniformité au niveau de l’entrée de données et des définitions de données, ce qui entraîne un risque accru que la production de rapports au moyen de NOVA, à l’appui de la prise de décision administrative, soit inefficace et inefficiente.

Recommandations

3. Il est recommandé que le dirigeant principal de l’information élabore un ensemble clairement défini de services offerts (c’est‑à‑dire un catalogue de services) pour la SGIC. Ce catalogue devrait inclure le rôle de la SGIC pour ce qui est de surveiller l’adhésion à des pratiques de GI appropriées à l’échelle de la CISR. Une fois que les services offerts par la SGIC sont définis, il faudrait établir des indicateurs de rendement clés (IRC) pour évaluer dans quelle mesure la SGIC réussit à fournir ces services.

4. Il est recommandé que le dirigeant principal de l’information s’assure que les cadres supérieurs de la CISR examinent et approuvent une structure appropriée de gouvernance de la GI et qu’il s’assure que des liens clés soient développés entre la SGIC et les bureaux régionaux grâce à des mécanismes de gouvernance appropriés.

5. Il est recommandé que le dirigeant principal de l’information et le directeur général des politiques, de la planification et des recherches établissent des rôles et responsabilités clairs en ce qui a trait à la GI et à la qualité/gestion des données à l’échelle de l’organisation.

2.3.3 Constatation n^o 3 – Les politiques et procédures en matière de GI (risque modéré)

En ce qui a trait aux politiques et à l’orientation en matière de GI, les vérificateurs s’attendaient à ce qu’un cadre stratégique, fondé sur les exigences législatives et stratégiques, ait été mis en œuvre, communiqué et passé en revue régulièrement.

La CISR n’a pas élaboré de cadre stratégique de la GI ou de procédures connexes. Dans le contexte du gouvernement fédéral, la politique et les exigences globales en matière de GI pour une organisation telle que la CISR et son personnel sont établies de manière générale au moyen d’instruments législatifs et de politique, notamment la Loi sur la Bibliothèque et les Archives du Canada et les politiques et directives du Secrétariat du Conseil du trésor. Malgré cela, un cadre stratégique de la GI qui est spécifique à la CISR est important en vue de mieux définir et de mieux soutenir les rôles et responsabilités en matière de GI au sein de l’organisation (ainsi qu’il est énoncé à la constatation n^o 2), et en vue d’encadrer les procédures plus spécifiques à l’organisation qui s’avèrent nécessaires pour assurer une application cohérente et appropriée des exigences du gouvernement fédéral en matière de GI aux besoins opérationnels spécifiques de la CISR. Il convient de noter que la SGIC a récemment ajouté un nouveau poste se rapportant à l’élaboration et à la surveillance de la conformité aux politiques.

Il a également été noté que certains manuels de gestion des cas (ceux de la SI et de la SAI) auxquels se reportent les tribunaux ne sont pas à jour, car ils font encore renvoi à des processus tels que l’entrée de données dans le système STAR, qui a été remplacé par NOVA.

Recommandations

6. Il est recommandé que le dirigeant principal de l’information élabore des politiques et procédures en matière de GI fondées sur des exigences législatives et stratégiques qui répondent à des questions telles que : la conservation des dossiers, l’élimination, la propriété du contenu dans le cycle de vie de l’information; l’inventaire du contenu géré et non géré; et l’application du cadre de gouvernance de la GI (ainsi qu’il est énoncé à la constatation n^o 2). Il faudrait que le cadre stratégique soit aligné sur la stratégie globale de la CISR en matière de GI (ainsi qu’il est énoncé à la constatation n^o 1).

7. Il est recommandé que le directeur général de la Direction générale des politiques, de la planification et de la recherche mette à jour les manuels de gestion des cas utilisés au sein de la CISR, en collaborant avec la SGIC au besoin pour déterminer les endroits où il faut établir des liens aux procédures de GI dans ces manuels.

2.3.4 Constatation n^o 4 – La gestion du changement et les communications (risque modéré ou élevé)

En ce qui a trait à la gestion du changement et aux communications, les vérificateurs s’attendaient à ce que la culture de l’organisation ait été prise en compte tout au long de l’élaboration de la stratégie et des pratiques en matière de GI, à ce qu’une stratégie de gestion du changement et des communications ait été élaborée pour appuyer la mise en œuvre de pratiques de GI appropriées, et à ce qu’un processus ait été mis en œuvre pour assurer que tous les employés reçoivent une formation appropriée au chapitre de la GI, en fonction de leur poste.

D’après le plan d’action sur le cadre de GI, la formation et la sensibilisation ainsi que les communications et la gestion du changement sont des lacunes à corriger au moyen d’initiatives spécifiques; toutefois, ces initiatives n’ont pas été établies comme des priorités et elles n’ont pas encore commencé. Il n’y a pas de stratégie ou de plan global sur la formation en matière de GI; aucun contenu standard pour les activités de sensibilisation ou de formation n’a été élaboré. La SGIC n’a pas officiellement mobilisé des initiatives actuelles liées à la GI qui nécessitent une collaboration, telles que l’inventaire des RDVO et les répertoires, à titre de possibilités de formation et de sensibilisation. Il convient de noter que la SGIC a récemment ajouté un nouveau poste lié à la formation (le titulaire consacre aussi du temps à la formation sur la TI). La nouvelle structure de gouvernance proposée pour la GI prévoit la création de groupes de travail de la GI au niveau fonctionnel qui seront chargés d’élaborer, de recommander et d’intégrer des stratégies de GI et de mettre en œuvre des initiatives de GI; de plus, ces personnes au sein de la structure de gouvernance pourront être mobilisées pour agir à titre de champions de la GI et participer aux activités de sensibilisation et de formation.

En plus des éléments signalés ci‑dessus, bien qu’il existe des processus informels, il n’y a pas de processus documenté officiel visant l’identification des propriétaires d’information ou le transfert de l’information d’un propriétaire à un autre (par exemple, au cas où un propriétaire quitte l’organisation ou soit muté à un autre poste).

Faute d’une stratégie pour la gestion du changement, la formation et les communications, il y a un risque accru que la CISR ne soit pas en mesure d’élaborer et d’appliquer un cadre et un programme en matière de GI qui soient appropriés. De plus, faute d’un processus formalisé de transfert des connaissances, il y a un risque accru que la CISR perde l’information importante qui pourrait contribuer à la mémoire organisationnelle de la CISR.

Recommandation

8. Il est que recommandé que le dirigeant principal de l’information accorde la priorité aux activités de planification et d’exécution des activités liées à la gestion du changement, aux communications et à la sensibilisation, étant donné qu’elles sont essentielles à l’élaboration et à l’application d’un cadre et d’un programme en matière de GI qui soient appropriés, et en vue de mobiliser les initiatives actuelles qui sont faites en collaboration (y compris les initiatives du plan d’action sur le cadre de GI, la mise au point de la structure de gouvernance de la GI, ainsi que l’initiative de transformation de la messagerie électronique.

2.3.5 Constatation n^o 5 – La gestion de dossiers (risque élevé)

En ce qui a trait à la gestion de dossiers, les vérificateurs s’attendaient à ce que des mesures de contrôle rigoureuses aient été mises en œuvre pour le suivi et la gestion des dossiers opérationnels sur papier.

Les dossiers opérationnels des quatre tribunaux sont encore en format papier et leur circulation au sein de la CISR est censée être contrôlée au moyen d’un processus de transmission (accusés de réception/remises des documents) à l’aide du système NOVA, qui est utilisé par tous les tribunaux à titre de système de gestion des cas. Lors des contrôles par sondage, près du quart des dossiers (13 sur 53) n’avaient pas été transférés à la bonne personne ou ne pouvaient pas être retracés facilement à l’aide des renseignements consignés dans NOVA. Ces lacunes sur le plan de la gestion des dossiers ont été relevées dans les contrôles par sondage menés dans chacune des quatre sections (la SPR, la SAR, la SI et la SAI).

Le processus de transmission de dossiers (accusés de réception/remises des documents) comportait des problèmes au chapitre des utilisateurs, de la technologie et du processus lui-même. Dans certains cas, on a constaté que des utilisateurs avaient négligé de faire les accusés de réception/remises d’un dossier, soit parce qu’ils avaient oublié ou parce qu’ils prévoyaient ne conserver le dossier que pour une brève période, mais avaient négligé de retourner le dossier à l’endroit où ils l’avaient récupéré originalement. En ce qui a trait à la fonctionnalité de NOVA, le processus d’accuser de réception/remise d’un dossier dans NOVA fait usage d’une zone de saisie de texte qui permet à l’utilisateur d’entrer n’importe quel texte, si bien que les entrées ne sont pas uniformes ou les endroits indiqués ne sont pas normalisés. Bien que tous les dossiers sur les cas soient munis de codes à barres, l’utilisation de lecteurs de codes à barres pour accuser réception/remise des dossiers se limite aux situations où il y a des entrées en lots — habituellement, les activités d’archivage réalisées par les Services des dossiers et du courrier. Il a été noté qu’il n’y a pas de processus officiel pour effectuer des vérifications ponctuelles, ou pour examiner les entrées NOVA et vérifier les cas où des dossiers ont été sortis pour une longue période, ou pour effectuer un suivi ou une analyse des problèmes lorsqu’il y a des dossiers dont a perdu la trace. Ce genre d’analyse pourrait s’avérer utile pour relever les « leçons apprises » et améliorer les pratiques à l’avenir.

Il a été noté que les dossiers papier peuvent contenir des documents en double (par exemple, lorsque le même document est transmis par télécopieur et par la poste) et que, faute de directives sur une telle éventualité, tous les doubles sont conservés dans le dossier.

L’archivage et l’élimination des dossiers opérationnels sont gérés par l’entremise des Services des dossiers et du courrier des Services communs au sein de chacun des bureaux régionaux, y compris la relation avec Recall (le fournisseur de services externe qui assure des services d’archivage à l’externe). Au Bureau régional du centre, les renseignements liés à l’archivage (numéro de casier Recall, date de destruction, etc.) sont entrés dans NOVA et peuvent être retracés à l’aide d’une feuille de calcul Excel — toutefois, il a été noté que la feuille de calcul n’est pas mise à jour de manière régulière. Ainsi, il est difficile de comprendre quels dossiers ont été transmis à Recall sans accéder à chaque dossier individuel dans NOVA. Au Bureau régional de l’est, une feuille de calcul Excel sert à saisir les renseignements d’archivage, mais ces renseignements ne sont pas entrés dans NOVA. Il y a un risque que, si quelque chose devait arriver à la feuille de calcul, il soit difficile de déterminer de manière efficace quels dossiers ont été transmis à Recall. De plus, les pratiques actuelles font en sorte qu’il est difficile de faire des rapprochements et des prévisions relativement au volume total de dossiers qui ont été transmis et qui seront stockés par Recall.

Enfin, il a été noté que, bien que certains dossiers transférés à Recall aient atteint leur date d’élimination après un délai de 10 ans, ces dossiers n’ont pas encore été éliminés, car le personnel a indiqué qu’il n’y a pas de processus officiel à cet égard et qu’il y a de l’incertitude en ce qui a trait à qui est autorisé à approuver l’élimination.

Recommandations

9. Il est recommandé que le directeur général du Greffe et des services de soutien régionaux et le directeur général des Services intégrés relèvent les améliorations à apporter au processus de gestion des dossiers et les mettent en œuvre en vue d’assurer l’exactitude du lieu de classement et l’uniformité du traitement des dossiers (en tenant compte des constatations exposées ci‑dessus).

10. Il est que recommandé que le dirigeant principal de l’information élabore une politique et des procédures visant la conservation et l’élimination des dossiers (dans le contexte du cadre stratégique global en matière de GI, esquissé à la recommandation n^o 6).

2.3.6 Constatation n^o 6 – Protection des dossiers à risque élevé

En ce qui concerne la protection des dossiers, les vérificateurs s’attendaient à ce que les mesures de protection mises en place pour protéger les dossiers papier correspondent à leur degré de sensibilité et aux exigences du gouvernement du Canada.

Les Services de sécurité de la CISR ont élaboré des politiques de sécurité organisationnelles et du matériel de formation, y compris la politique et les procédures en matière de classification et de protection de l’information qui définissent les mesures appropriées pour la protection de l’information protégée et classifiée, conformément aux exigences du Secrétariat du Conseil du Trésor et de la Gendarmerie royale du Canada. Selon la CISR, il a été déterminé que les dossiers opérationnels seraient classés « Protégé B^{Note 3} ». Des problèmes associés à la protection des dossiers ont été relevés lors des visites sur les lieux effectuées aux fins de la vérification. Certaines salles de dossiers (SAI et SAR au Bureau régional du centre) qui ne sont pas dotés en personnel sont ouvertes à tous les employés ayant une carte d’accès de la CISR et ne disposent pas de protocoles de sécurité supplémentaires. En outre, les vérificateurs ont relevé des cas où les dossiers n’étaient pas protégés conformément aux exigences applicables aux dossiers portant la mention Protégé B^{Note 4} une fois à l’extérieur de la zone opérationnelle de la CISR. Au Bureau régional du centre, des chariots à courrier ouverts sont utilisés pour déplacer les dossiers dans des lieux publics, d’une zone opérationnelle à l’autre, à l’intérieur du même édifice. Les vérificateurs ont également relevé que les membres du personnel transportent les dossiers d’une manière non protégée (c.‑à‑d. non conforme) dans ces mêmes lieux publics. Au Bureau régional de l’est, les employés utilisent des sachets scellés pour transporter les dossiers.

En outre, il a été relevé que des classeurs approuvés pour le stockage de l’information protégée ont été fournis aux bureaux régionaux, mais qu’ils ne sont pas toujours utilisés ou, lorsqu’ils le sont, ils ne peuvent être fermés ou verrouillés après les heures d’ouverture.

D’après des entrevues menées, les Services de sécurité ont indiqué que des constatations analogues ont été formulées dans le cadre d’une évaluation des risques et des menaces effectuée auparavant. À la suite d’une demande d’information, il semble que les employés qui peuvent apporter des dossiers à la maison appliquent de bonnes pratiques, mais les vérificateurs n’ont trouvé aucun élément probant confirmant l’existence d’une politique ou de procédures officielles à cet égard ou encore, confirmant une surveillance du respect des pratiques appropriées lorsque des dossiers sont apportés à la maison par le personnel de la CISR.

En ce qui concerne la protection des dossiers archivés, les vérificateurs n’ont trouvé aucun élément probant confirmant que des garanties ont été demandées par la CISR concernant les mécanismes de contrôle utilisés par Recall pour protéger les dossiers confiés à la garde de cette dernière. Même s’il est probable que de telles garanties aient été demandées au départ par TPSGC, il est important que la CISR, en tant que partie exerçant un contrôle sur ses dossiers, veille à ce que cette demande ait été faite.

Recommandations

11. Il est recommandé que le directeur général, Greffe et services de soutien régionaux, et que le directeur général, Direction générale des services intégrés, comblent les lacunes actuelles du cadre de contrôle pour le stockage et le transport des dossiers (compte tenu des constatations mentionnées ci‑dessus).

12. Il est recommandé que le directeur général, Direction générale des services intégrés, et le directeur général, Direction générale des politiques, de la planification et des recherches, élaborent une politique et des procédures officielles concernant le travail sur des dossiers effectué à domicile.

13. Il est recommandé que le dirigeant principal de l’information rende des comptes au sujet de la clarification de la relation avec Recall, ce qui pourrait comprendre de veiller à ce qu’il y ait une certitude liée au contrôle des mesures de protection de la vie privéeet de contrôle de sécurité.

2.3.7 Conservation et élimination (risque modéré)

Les vérificateurs s’attendaient à ce que les échéances de conservation et d’élimination soient déterminées pour tous les dossiers opérationnels en fonction des exigences juridiques et opérationnelles.

Les dossiers de la SPR, de la SAI et de la SI sont visés par uneautorisation de disposer des documents^{Note 5} (ADD) de 10 ans, et certains d’entre eux sont conservés pendant 50 ans à des fins archivistiques ou historiques. La CISR envisage actuellement de réduire de 10 à 7 ans et de 50 à 18 ans la période de conservation des dossiers opérationnels. Selon la CISR, la période de conservation de 7 ans repose sur les exigences administratives usuelles et la période de conservation de 18 ans, sur les discussions qui ont eu lieu avec les bureaux régionaux en 2010 qui précisaient qu’aucune demande ministérielle ou interministérielle d’accès à l’information et à la protection des renseignements personnels (AIPRP) n’avait été faite. Il convient de souligner qu’une ADD n’a pas encore été approuvée pour la SAR, parce que la CISR affirme qu’elle préfère d’abord définir les nouvelles périodes de conservation des dossiers opérationnels.

Il est possible de faire preuve de diligence supplémentaire à l’égard des exigences en matière de conservation, notamment en examinant les précédents établis pour des ministères fédéraux comparables et des entités comparables dans d’autres ressorts et en tenant compte du délai dans lequel les appels peuvent être faits, etc. En outre, il est courant qu’une analyse juridique de ce type de décision soit demandée, ainsi qu’un soutien juridique.

Recommandations

14. Il est recommandé que le dirigeant principal de l’information fasse preuve de diligence supplémentaire à l’égard des exigences en matière de conservation des dossiers; qu’il procède également à une analyse officielle des exigences, à un examen des précédents établis avec des organisations et administrations analogues ainsi qu’à une analyse juridique plus poussée, et qu’il apporte un soutien juridique supplémentaire.

15. Il est recommandé que le dirigeant principal de l’information obtienne une ADD de Bibliothèque et Archives Canada pour les nouvelles exigences en matière de conservation, notamment pour les dossiers de la SAR.

Annexe A – Définitions du risque

Les définitions suivantes ont été utilisées pour évaluer le risque associé aux observations et aux constatations générales en vue de faciliter l’établissement des priorités de la direction en matière de plans d’action et de fournir une évaluation globale de l’exposition au risque des processus, des mesures de contrôle et des systèmes examinés.

Annexe B – Plan d’action de la direction