Audit de la diffusion

Contexte

En tant qu'organisme statistique national, Statistique Canada doit « recueillir, compiler, analyser, dépouiller et publier » des renseignements statistiques sur l'économie et la société canadiennes, qui jouent un rôle essentiel pour appuyer la prise de décisions fondées sur des données probantes et éclairer les débats.

Le Quotidien est l'organe de diffusion officiel de Statistique Canada et appuie le mandat relatif à la publication de données statistiques sur le Canada. La diffusion officielle (DO) est régie par la Politique sur la diffusion officielle de Statistique Canada. En vertu de cette politique, chaque nouveau cycle de chaque programme statistique, qu'il soit fondé sur des données d'enquête ou sur des données administratives, et qu'il soit financé au moyen du budget des dépenses ou grâce au recouvrement des coûts, doit être diffusé dans Le Quotidien avant de pouvoir être communiqué au public. Jusqu'à la diffusion officielle, l'ensemble de données ou le produit est « protégé », conformément à la définition de la Politique du gouvernement sur la sécurité. L'exigence minimale s'appliquant à la DO est un énoncé dans Le Quotidien indiquant qu'un ensemble de données est disponible. Cette pratique fait en sorte que tous les utilisateurs possibles ont accès aux résultats et aux produits du programme statistique en même temps. Cela crée des règles du jeu équitables, qui renforcent la réputation de neutralité de Statistique Canada.

En vertu de la Politique sur la diffusion officielle, il existe certains cas où Statistique Canada peut communiquer l'information à des parties de l'extérieur, avant la DO dans Le Quotidien. Cela se produit lorsque :

• Des fonctionnaires fédéraux ont accès à un petit nombre de communiqués clés, avant leur diffusion officielle, afin de pouvoir préparer des réponses appropriées pour les ministres, étant donné que les commentaires de ces derniers peuvent influer sur les marchés financiers.
• Des ensembles de données, des produits analytiques et des produits d'information en cours d'élaboration doivent être fournis avant la DO à des représentants désignés d'organismes externes, afin qu'ils puissent valider les données.
• Des produits analytiques doivent être mis à la disposition de personnes ou d'organismes externes avant la DO, à des fins de révision institutionnelle et d'évaluation par les pairs.
• Des fichiers de microdonnées ou de données agrégées confidentielles, desquels sont tirés les ensembles, doivent être fournis à un tiers avant la DO.
• La diffusion anticipée (DA) de l'information s'applique aux programmes de collaboration (programmes à frais recouvrables, fichiers de données administratives et structure de gouvernance commune).
• Le statisticien en chef doit autoriser la diffusion de l'information avant la diffusion officielle, dans des circonstances particulières, si les avantages justifient l'exception.

La supervision de l'application de la Politique sur la diffusion officielle est du ressort de la Division des communications de Statistique Canada. Les directeurs des secteurs de programme sont chargés de s'assurer que les données protégées sont transmises de façon sécuritaire à l'extérieur de Statistique Canada et qu'elles sont couvertes par une entente de confidentialité qui exige de l'organisme destinataire qu'il se conforme aux exigences décrites dans la politique. Par ailleurs, les organisations de l'extérieur qui reçoivent les données de DA doivent accuser réception des données protégées qu'ils reçoivent, les protéger, en limiter l'accès et les détruire une fois l'examen terminé.

Objectifs de l'audit

Les objectifs de l'audit étaient de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que :

• Statistique Canada dispose de structures de gouvernance et d'un cadre de gestion des risques appropriés à l'appui de la diffusion officielle.
• Des mécanismes de contrôle efficaces sont établis et sont appliqués de façon uniforme pour veiller à ce que la diffusion anticipée des produits de Statistique Canada soit conforme à la Politique sur la diffusion officielle et à d'autres politiques et directives pertinentes de Statistique Canada.

Portée

La portée de cet audit comprenait un examen de la pertinence et de l'efficacité des contrôles de la DO. Les domaines particuliers qui ont été examinés incluent les suivants :

• pratiques de gouvernance et de contrôle à l'appui de fonctions claires de reddition de comptes, de supervision, d'examen minutieux et de remise en question;
• processus efficaces de gestion des risques pour la détermination des risques principaux de la DO, ainsi que pour l'élaboration et le contrôle de stratégies de gestion des risques; et
• processus et contrôles opérationnels en place pour assurer la confidentialité et l'intégrité des données statistiques de nature délicate, en vue de leur diffusion anticipée.

La portée des travaux d'audit comprenait une évaluation des activités de DA, du 1^er janvier 2013 au 1^er juillet 2014.

Approche et méthodologie

Les travaux d'audit comprenaient un examen exhaustif et une analyse de documents pertinents, des entrevues avec des membres clés de la haute direction et du personnel, ainsi qu'un examen de la conformité aux politiques et aux lignes directrices pertinentes.

Les travaux sur le terrain comprenaient un examen et un essai des processus et des procédures de DO en place pour assurer la protection des données statistiques de nature délicate jusqu'à leur diffusion dans Le Quotidien.

Cet audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).

Pouvoirs

Cet audit a été mené en vertu des pouvoirs compris dans le Plan d'audit et d'évaluation fondé sur les risques de Statistique Canada pour 2013-2014 à 2017-2018.

Gouvernance et gestion des risques

Un cadre robuste de gouvernance et de gestion des risques est essentiel pour veiller à ce que les documents destinés à la diffusion officielle soient protégés de façon appropriée, tant au niveau interne, à Statistique Canada, que lorsque l'information est transmise à des tiers. Les rôles, responsabilités et obligations de reddition de comptes pour la diffusion officielle devraient être clairs, communiqués et compris. Des organismes de supervision compétents et efficaces devraient être établis, et leurs rôles et responsabilités officialisés. Les employés devraient comprendre leurs obligations en vertu du Code de valeurs et d'éthique, et celui‑ci devrait être facilement accessible et expliquer la façon de procéder pour le cas où des actes répréhensibles seraient observés.

Les rôles, responsabilités et obligations de reddition de comptes des employés travaillant à la DO sont définis et communiqués.

Un des résultats attendus de la Politique sur la diffusion officielle est que des structures de gouvernance, des mécanismes et des ressources sont en place pour assurer la gestion continue et efficace des données de Statistique Canada, avant leur diffusion. La supervision de l'application de la Politique sur la diffusion officielle est du ressort de la Division des communications de Statistique Canada. Aux termes de la politique, les directeurs des secteurs de programme sont chargés de s'assurer que les données protégées sont transmises de façon sécuritaire à l'extérieur de Statistique Canada et qu'elles sont couvertes par une entente de confidentialité qui exige de l'organisme destinataire qu'il se conforme aux exigences décrites dans la politique.

Dans le cadre de l'audit, on a examiné plusieurs descriptions de poste et documents de procédures et on a déterminé qu'ils faisaient état de façon appropriée des diverses tâches liées à la préparation des documents pour la DO.

Les organismes de supervision ont des mandats clairement définis pour régir le processus de DO.

Le Comité de rédaction du Quotidien est responsable de la supervision du contenu du Quotidien et guide l'équipe qui est chargée du Quotidien en ce qui a trait aux questions stratégiques et opérationnelles liées à la publication. Un examen des comptes rendus de réunions et des entrevues avec les employés ont fait ressortir que le Comité de rédaction remplit son mandat en tant que tribune pour assurer une approche cohérente et uniforme en ce qui a trait à la rédaction et à la publication des DO. Par ailleurs, un examen du mandat et des comptes rendus de réunions a révélé que le Comité contribue à assurer une fonction de supervision, compte tenu du fait que le contenu et le format du Quotidien ont grandement évolué au cours des dernières années. Dans le cadre de l'audit, on a déterminé que la Division des communications suit un organigramme de processus étape par étape pour les diffusions dans Le Quotidien, ce qui aide les divisions spécialisées (DS) à comprendre les étapes à suivre et les approbations requises pour la rédaction d'un communiqué pour leur division.

Le Comité sur la gouvernance de l'utilisation du STEF pour la diffusion a été établi pour assurer la conformité aux exigences énoncées dans la Directive sur la transmission de renseignements protégés. Des entrevues avec les membres du Comité ont permis de noter qu'ils assurent un deuxième niveau d'examen, afin de veiller à ce qu'une demande soit faite pour la création d'un coffre-fort du STEF, mais que les contrôles principaux continuent d'être assurés par les divisions spécialisées, qui conservent la responsabilité du respect de toutes les exigences lorsque des données de DA sont communiquées à des tiers, conformément à la Politique sur la diffusion officielle. L'audit a déterminé que bien que ce comité soit en place et opérationnel, il ne comporte pas de mandat officiel ni de liste de membres, et ne publie pas les comptes rendus de ses réunions. Sans mandat officiel, l'efficacité de la supervision prévue pourrait être réduite.

Le cadre de gestion du risque organisationnel doit être mis à jour.

Les gestionnaires de Statistique Canada doivent périodiquement déterminer et évaluer les risques pour leur division, et cela se fait dans le cadre d'un exercice annuel de registre des risques. La Division des communications a déterminé des risques liés à la DO dans son registre des risques. Celui‑ci fait aussi état du caractère essentiel de la protection des données avant leur diffusion, de la restriction de l'accès aux données avant leur diffusion, tout au long du processus, ainsi que de la tenue par les gestionnaires de vérifications périodiques de la conformité, à la Division des communications, afin de veiller à ce que l'accès soit restreint.

L'audit a fait ressortir qu'en ce qui a trait à la DO, les registres des risques des divisions spécialisées examinées n'étaient pas suffisamment détaillés pour rendre compte des risques propres à la DO. De même, les plans de poursuite des activités correspondants des divisions spécialisées qui ont été évalués se situaient à un niveau trop élevé pour porter sur les risques propres aux objectifs de la DO, et ne comportaient pas de directives quant aux plans d'action à adopter si des risques liés à la DO se produisaient.

Pendant les entrevues, un certain nombre de risques ont été soulevés de façon informelle par les employés, tant au niveau de la direction qu'au niveau opérationnel, dans les divisions spécialisées. Parmi les risques soulevés figuraient les suivants : le risque pour l'actualité de la DO, du fait des échéances serrées et des petites équipes; le risque que des changements de dernière minute aux textes du Quotidien modifient le sens de la diffusion ou ne soient pas rendus de façon appropriée au moment de la traduction dans la deuxième langue officielle; le risque de diffusion non autorisée d'information avant la DO; et le risque que présentent les droits d'accès périmés dans les divisions.

Dans le cadre de l'audit, on a déterminé que le processus de diffusion officielle englobe les activités de plusieurs divisions ainsi que des organisations de l'extérieur. Le cadre de gestion du risque actuellement utilisé dans l'ensemble de Statistique Canada n'oblige pas les gestionnaires à tenir compte des interdépendances entre les risques, ni à appliquer une optique intégrée à la gestion des risques. Par conséquent, des risques importants notés par les divisions spécialisées ne sont pas pris en compte dans le registre des risques de la Division des communications, ce qui pourrait limiter l'efficacité des stratégies d'atténuation possibles.

Recommandations :

Il est recommandé que le statisticien en chef adjoint, Recensement, Opérations et Communications veille à ce que :

• Soit établi un mandat officiel pour le Comité sur la gouvernance de l'utilisation du Service de transfert électronique de fichiers pour la diffusion, avec une liste de membres, incluant les rôles et responsabilités de chacun.

Réponse de la direction :

La direction souscrit à la recommandation formulée.

• Le directeur, Division de la diffusion, élaborera un document officiel incluant le mandat, la composition et les rôles et responsabilités du Comité sur la gouvernance de l'utilisation du Service de transfert électronique de fichiers pour la diffusion.
  
  Produits livrables et échéancier : Un document officiel incluant le mandat, la composition et les rôles et responsabilités du Comité sur la gouvernance de l'utilisation du Service de transfert électronique de fichiers pour la diffusion, d'ici juin 2015.

Il est recommandé que l'agent du risque ministériel veille à ce que :

• Le cadre de gestion du risque organisationnel soit mis à jour, afin de permettre l'intégration des interdépendances entre les risques dans les divisions de Statistique Canada.

Réponse de la direction :

La direction souscrit à la recommandation formulée.

• Le registre des risques et le profil de risque organisationnel sont élaborés chaque année et ont évolué, grâce aux améliorations qui sont apportées d'une année à l'autre. L'agent du risque organisationnel entreprendra un examen des processus opérationnels courants, afin de rendre compte de façon plus efficace et efficiente des risques opérationnels et stratégiques. Cet examen mènera à un cadre de risque amélioré et apportera plus de rigueur à l'élaboration du registre des risques, y compris la détermination des interdépendances qui ont des répercussions sur les résultats.
  
  Produits livrables et échéancier : Un processus opérationnel documenté pour le cadre de gestion du risque organisationnel; l'élaboration d'un cadre de risque et d'un registre des risques; et des outils à l'appui de l'élaboration du registre des risques, d'ici mars 2016.

Objectif 2 : Des mécanismes de contrôle efficaces sont établis et sont appliqués de façon uniforme pour veiller à ce que la diffusion anticipée des produits de Statistique Canada soit conforme à la Politique sur la diffusion officielle et à d'autres politiques et directives pertinentes de Statistique Canada.

Contrôle en place pour protéger les données diffusées de façon anticipée aux organismes externes

Des activités de contrôle efficaces comprennent des pratiques de sécurité des TI et d'autres activités qui permettent d'assurer une gestion efficace des relations avec les tiers, prescrivent comment les tâches connexes devraient être exécutées, empêchent les mesures inappropriées et fournissent la limite des mesures acceptables que les tiers devraient comprendre clairement et suivre.

Le système utilisé pour assurer la protection des données de la diffusion anticipée et leur envoi uniquement aux parties à l'extérieur autorisées doit être amélioré.

En vertu de la Politique sur la diffusion officielle, tous les nouveaux ensembles de données, produits analytiques et produits d'information de Statistique Canada sont diffusés par l'entremise du Quotidien, qui est l'organe de DO de Statistique Canada. Aux termes de la politique, cinq conditions doivent être respectées pour permettre la diffusion de l'information avant la DO. Les conditions dans lesquelles la DA est autorisée sont les suivantes :

• autorisation du greffier du Conseil privé, sur recommandation du statisticien en chef;
• autorisation du statisticien en chef;
• entente touchant les données en cours d'élaboration (aux fins de la validation des données);
• DA à des fins d'information^{Note de bas de page 1} (données à frais recouvrables et données administratives renvoyées à l'organisme source); et
• gouvernance commune.

Pour obtenir une autorisation du greffier du Conseil privé pour une DA, le statisticien en chef lui envoie une lettre à cet effet, au nom de Statistique Canada. Le greffier du Conseil privé renvoie une lettre à Statistique Canada autorisant les DA selon cette condition. En date de juin 2014, six ministères et organismes fédéraux disposaient d'une autorisation du greffier du Conseil privé pour la DA de diverses enquêtes essentielles à la mission et indicateurs économiques majeurs.

On n'a pas noté de dispositions pour la DA autorisées par le statisticien en chef.

La majorité des DA appartiennent à la catégorie des données en cours d'élaboration (91 demandes) et sont des DA à des fins d'information (47 demandes). Dans tous les cas, sauf la gouvernance commune (8 demandes), lorsque des organisations demandent la DA d'information, leurs demandes doivent être approuvées par les divisions spécialisées, ainsi que par le directeur général de la Division des communications.

Un formulaire de demande de reconnaissance de structure de gouvernance commune doit être rempli dans le cadre d'un programme de collaboration officiel qui a été désigné par le Conseil exécutif de gestion dans une structure de gouvernance commune reconnue avec des organismes partenaires. Pour la période visée par l'audit, 8 reconnaissances de structure de gouvernance commune étaient en place.

Aux termes de la politique, dans le cas des demandes de DA approuvées, les partenaires de l'extérieur doivent reconnaître leurs responsabilités. À cette fin, des formulaires d'Entente de confidentialité (EC) ont été créés et doivent être signés par les destinataires. Ces formulaires visent à :

• accuser réception de l'information;
• assurer la confidentialité de l'information protégée destinée à la diffusion qui leur est confiée;
• restreindre l'accès à l'information protégée aux représentants désignés de leur organisme, pour des raisons d'ordre professionnel (selon le principe de l'accès sélectif);
• s'engager à ne pas diffuser l'information protégée destinée à la diffusion;
• détruire l'information protégée une fois que l'examen est terminé, avant la diffusion officielle.

En outre, la politique note que lorsque l'on a recours à la DA pour informer un ministre, l'information ne peut pas avoir lieu avant 17 h, HNE, le jour ouvrable précédant le jour de la publication de l'information dans Le Quotidien.

Dans le cas des DA assujetties aux conditions d'information et d'ententes sur les données en cours d'élaboration, de nouvelles EC doivent être signées tous les 15 mois. Les responsables de l'audit ont été informés par le personnel de la Division des communications qu'il n'y a pas d'exigence de renouvellement pour les DA autorisées par le greffier ou celles pour la gouvernance commune. Dans le cadre de l'audit, on a noté que les modalités des EC ont changé au fil du temps. Par conséquent, s'il n'y a pas d'exigence de renouvellement des EC avec les destinataires, ceux‑ci n'auront pas reconnu leurs nouvelles responsabilités, en cas de modification des responsabilités du répondant figurant dans les EC (c.‑à‑d. si les modalités des EC étaient modifiées), et on ne leur rappellera pas périodiquement leurs responsabilités en ce qui a trait à la protection des données statistiques de nature délicate.

La politique note que la Division des communications est responsable de tenir un registre de toutes les DA et de recueillir périodiquement de l'information concernant les résultats et les avantages de DA approuvées précédemment par les gestionnaires de programme de l'organisation. Cela vise à assurer une gestion efficace et continue des données de la diffusion anticipée de Statistique Canada, conformément à la politique. La Division des communications conserve aussi des copies des EC signées.

Dans le cadre de l'audit, on a examiné les registres de DA en place à la Division des communications pour 2012-2013 et 2013-2014, et on a déterminé qu'il existait un registre pour toutes les conditions de la DA, sauf la DA autorisée par le greffier du Conseil privé.

Même si le bureau du statisticien en chef avait une liste de tous les ministères recevant de l'information en vertu d'une autorisation du greffier, la Division des communications n'avait pas de registre pour les diffusions anticipées autorisées par le greffier du Conseil privé, conformément à la politique. Par conséquent, la gestion de la DA en vertu de cette condition n'est pas pleinement efficace. L'audit a permis de noter que, pour l'un des deux indicateurs principaux échantillonnés, des formulaires incorrects étaient signés et des EC n'avaient pas été signées par tous les destinataires désignés de l'information. Pour une division spécialisée qui fournissait des données de DA en vertu d'une autorisation du greffier du Conseil privé, il n'y avait aucune EC en place (tableau 1).

Aux termes de la Politique sur la diffusion officielle, les résultats et les avantages des diffusions anticipées approuvées précédemment doivent être documentés, afin de veiller à ce qu'il existe un avantage évident à autoriser des organisations de l'extérieur à recevoir des documents de diffusion anticipée. La politique prévoit aussi que la Division des communications recueille périodiquement ces données auprès des divisions spécialisées. Dans le cadre de l'audit, on a noté que les divisions spécialisées contactées ne documentent pas cette information et que la Division des communications ne recueille pas cette information. En l'absence de preuve documentée des avantages de l'autorisation de l'accès aux données protégées avant la diffusion officielle, il se peut que l'organisation ne soit pas en mesure de mener de façon adéquate l'exercice de risque/récompense, ce qui pourrait entraîner l'accès inutile à des diffusions anticipées, avec peu d'avantages pour l'organisation, voire pas du tout.

Au cours de la mise à jour annuelle des registres de la diffusion anticipée, la Division des communications effectue un exercice dans lequel les divisions spécialisées fournissent une justification pour la diffusion anticipée continue en vertu de la gouvernance commune, des données en cours d'élaboration et à des fins d'information. Dans le cadre de l'audit, on a noté que ces justifications se situent à un niveau élevé et comprenaient des motifs comme : le destinataire est un partenaire; le destinataire assure la validation; données fournies à des fins d'information. Les justifications se situent à un niveau élevé, et sont génériques et ne comportent pas suffisamment de renseignements pour démontrer un avantage manifeste.

Dans le cadre de l'audit, on a vérifié des demandes de DA et les EC correspondantes pour chacune de ces conditions, pour la période du 1^er janvier 2013 au 1^er juillet 2014, avec pour résultat, que pour 13 des 14 demandes de DA vérifiées selon les quatre conditions pour lesquelles des EC étaient en place, les divisions spécialisées faisaient signer les bons formulaires aux destinataires. Dans le cadre de l'audit, on a aussi tenté de déterminer si toutes les demandes pour des données en cours d'élaboration, à des fins d'information et pour la gouvernance commune comportaient les Ententes de confidentialité signées requises (tableau 1). Les résultats globaux des tests ont révélé que certaines des EC n'étaient pas en place. De façon plus particulière, pour chaque condition de diffusion anticipée, les tests de l'audit ont révélé ce qui suit :

• Ententes pour des données en cours d'élaboration : parmi les cinq demandes d'entente pour des données en cours d'élaboration échantillonnées, quatre comportaient le nombre requis d'Ententes de confidentialité.
• Diffusion anticipée à des fins d'information : quatre des quatre demandes échantillonnées comportaient toutes les Ententes de confidentialité requises.
• Gouvernance commune : deux des deux demandes échantillonnées comportaient toutes les Ententes de confidentialité requises.
• Diffusion anticipée en vertu d'une autorisation du greffier : parmi les deux demandes échantillonnées, ni l'une ni l'autre n'utilisait les formulaires appropriés de demande de DA, et une comportait le nombre requis d'Ententes de confidentialité.

Par ailleurs, dans le cadre de l'audit, on a noté que dans deux des EC signées en place, les destinataires de la DA avaient modifié les modalités des ententes sans l'approbation de la Division des communications.

Même si un processus est en place pour que les parties à l'extérieur reconnaissent officiellement leurs responsabilités en ce qui a trait aux données statistiques de nature délicate, le processus actuel n'est pas pleinement efficace et pourrait augmenter le risque pour la protection de l'information statistique de nature délicate.

La salle d'information à huis clos est sécuritaire.

Lorsqu'il y a une diffusion économique majeure, ou encore une diffusion du recensement ou de l'Enquête nationale auprès des ménages, les journalistes qui détiennent un laissez-passer valide de la tribune de la presse parlementaire peuvent participer à une séance à huis clos. La séance d'information à huis clos se fait dans un environnement où les journalistes peuvent accéder aux documents de la DO environ une heure avant la diffusion officielle, en vue de rédiger un article.

La salle d'information à huis clos a été rénovée pour la dernière fois en septembre 2013 et est protégée contre toutes les communications sans fil ou radio. En outre, sauf pour le téléphone qui est installé sur le bureau de contrôle du personnel des Relations avec les médias, toutes les autres lignes terrestres sont désactivées pendant la séance d'information. Pendant une séance d'information des médias, la salle est fermée à clé du début de la séance (habituellement 7 h 30) jusqu'à l'heure de diffusion officielle, soit 8 h 30. Lorsqu'une séance se déroule et que la porte de la salle est fermée, aucune communication avec des parties à l'extérieur n'est autorisée jusqu'au moment de la diffusion. Les journalistes doivent remettre tous leurs téléphones cellulaires, qui sont placés dans une boîte en plomb sécuritaire. Pendant la séance d'information, les journalistes reçoivent une copie des documents de la DO, une fois que la salle a été sécurisée, et ils rédigent leurs articles. À 8 h 30 exactement (selon l'heure du Conseil national de recherches), les portes de la salle sont déverrouillées, et les journalistes peuvent soumettre leurs articles pour publication.

Dans le cadre de l'audit, on a vérifié la salle d'information à huis clos et ses procédures de fonctionnement et on a déterminé que les éléments de sécurité de la salle étaient efficaces et permettaient d'assurer la protection de l'information.

Recommandations :

Il est recommandé que le statisticien en chef adjoint, Recensement, Opérations et Communications veille à ce que :

• La Division des communications collabore avec les divisions spécialisées pour améliorer le registre des demandes de diffusion anticipée, afin de permettre la gestion efficace des demandes et de veiller à ce que les documents de DA soient limités aux personnes autorisées seulement.
• Toutes les diffusions anticipées soient gérées par une seule entité (c.‑à‑d. la Division des communications), et les exigences s'appliquant aux Ententes de confidentialité soient uniformes, afin que des mises à jour périodiques des Ententes de confidentialité aient lieu et permettent de confirmer que les destinataires comprennent la situation et leurs responsabilités en ce qui a trait à la confidentialité de l'information protégée.
• Il y ait un avantage manifeste associé aux diffusions anticipées des données en cours d'élaboration, qui devrait être documenté par les divisions spécialisées et recueilli par la Division des communications.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

• Le directeur général, Communications, collaborera avec les directeurs des divisions spécialisées pour confirmer l'exactitude des données des registres, recueillir des copies signées des Ententes de confidentialité pour toutes les ententes de diffusion anticipée, et les intégrer au registre des ententes de diffusion anticipée et de gouvernance commune de Statistique Canada.
  
  Produits livrables et échéancier : Un registre amélioré et exact pour les demandes de diffusion anticipée, d'ici juin 2015.
• Le directeur général, Communications, s'assurera qu'un registre des diffusions anticipées autorisées par le greffier du Conseil privé est établi et mis à jour par la Division des communications.
  
  Produits livrables et échéancier : Un registre des diffusions anticipées autorisées par le greffier du Conseil privé, mis à jour par la Division des communications, d'ici juin 2015.
• Le directeur général, Communications, s'assurera que la Politique sur la diffusion officielle est modifiée, afin de préciser les mises à jour périodiques pour les Ententes de confidentialité concernant des diffusions anticipées autorisées par le greffier du Conseil privé et pour les ententes en vertu de la structure de gouvernance commune. Les formulaires « Entente de confidentialité pour les diffusions anticipées autorisées par le greffier du Conseil privé » et « Entente de confidentialité pour la gouvernance commune » seront modifiés en conséquence.
  
  Produits livrables et échéancier : Une Politique sur la diffusion officielle modifiée, d'ici juin 2015.
• Le directeur général, Communications, s'assurera que la Division des communications collabore avec les divisions spécialisées pour s'assurer que les avantages associés aux ententes sur les données en cours d'élaboration (diffusions anticipées à des fins de validation) sont énoncés de façon particulière dans le registre.
  
  Produits livrables et échéancier : Documentation plus précise dans le registre des avantages des diffusions anticipées pour les données en cours d'élaboration, d'ici juin 2015.

Contrôles à Statistique Canada pour assurer la confidentialité des données diffusées de façon anticipée

Des mécanismes et des processus de contrôle efficaces appuient l'organisation pour la gestion des risques et l'atteinte des objectifs établis, en faisant en sorte que les actifs soient protégés et que les mesures et décisions de l'organisation soient conformes aux lois, politiques et directives pertinentes.

Les privilèges d'accès aux répertoires partagés nécessitent une mise à jour régulière.

Aux termes de la Directive sur la sécurité des renseignements statistiques de nature délicate et du Manuel des pratiques de sécurité, Statistique Canada considère toutes les données statistiques de nature délicate dont il est chargé et dont il assure le contrôle comme Protégées B. Ainsi, ces renseignements devraient faire l'objet d'un contrôle, afin d'être protégés contre les pertes, les vols, les compromissions et les divulgations inappropriées. À Statistique Canada, ces renseignements ne peuvent être transmis aux personnes que selon le principe de l'accès sélectif.

Les divisions spécialisées ont noté que tous les renseignements protégés sont entreposés sur des disques partagés sécuritaires. Les disques partagés sont dans le Réseau A sécuritaire et l'accès à ces disques est limité selon le principe de l'accès sélectif. L'audit a confirmé que lorsqu'un examen de l'information doit avoir lieu, un hyperlien avec l'information est communiqué au moyen d'un courriel, les versions électroniques de l'information n'étant pas envoyées.

Dans le cadre de l'audit, on a examiné les répertoires de fichiers et les autorisations connexes pour les données de diffusion anticipée de l'Enquête sur la population active (EPA), l'Enquête mensuelle sur le commerce de détail (EMCD) et la Division des communications, afin de déterminer si l'accès aux fichiers est limité uniquement à ceux qui ont besoin de savoir. Même si l'accès est restreint dans les répertoires de diffusion anticipée, l'audit a déterminé que les autorisations n'étaient pas régulièrement mises à jour et que certaines personnes autorisées à accéder à deux répertoires de diffusion anticipée des divisions spécialisées examinées ne travaillaient plus à la division.

L'application du Quotidien intelligent permet aux divisions spécialisées de télécharger des textes de diffusion anticipée du Quotidien dans une application qui formate les documents de diffusion officielle. Toutes les divisions spécialisées qui procèdent à des diffusions officielles utilisent cette application; toutefois, l'accès est limité aux utilisateurs autorisés seulement des divisions. La Division des communications gère l'accès et les autorisations liés à cette application. Dans le cadre de l'audit, on a examiné l'application du Quotidien intelligent pour s'assurer que les employés des divisions spécialisées qui sont autorisés à l'utiliser ont accès uniquement à leurs propres documents et que les données de diffusion anticipée des autres secteurs sont limitées. Dans le cadre de l'audit, on a déterminé que les employés de la Division des communications limitent l'accès et que les utilisateurs peuvent uniquement accéder à leurs propres renseignements et ne peuvent pas consulter les données des autres programmes ou divisions.

Les porte-parole auprès des médias pour les diffusions de données n'ont pas tous suivi la formation obligatoire sur les médias.

Avant de parler aux représentants des médias, les personnes désignées comme porte-parole doivent avoir suivi le cours « Face aux médias ». Cette formation est conçue pour aider le personnel de Statistique Canada à se préparer aux demandes des médias et vise à faire en sorte que les porte-parole comprennent leurs responsabilités lorsqu'ils sont désignés à ce titre.

Statistique Canada a adopté une politique pour accepter les demandes d'entrevues des médias et pour fournir des commentaires sur les enjeux de programme et l'interprétation des données et, pour chaque DO, désignera certaines personnes des divisions spécialisées comme porte-parole pour les médias ou contacts d'information. Selon la Politique sur la diffusion officielle et la Politique sur les relations avec les médias : Porte-parole et réponse aux médias, la Division des communications est chargée de fournir de la formation sur les médias aux personnes-ressources aux fins de la DO, et les directeurs des divisions spécialisées doivent s'assurer que les porte-parole désignés ont suivi la formation requise.

Il existe un plan de formation et de perfectionnement pour traiter et gérer les relations avec les médias; toutefois, dans le cadre de l'audit, on a pris un échantillon de 25 personnes qui ont été désignées comme porte-parole pour les médias au cours de la période visée par l'audit et on a déterminé que 28 % d'entre elles n'avaient pas suivi la formation requise sur les médias. Les entrevues avec les employés de la Division des communications qui assurent la formation ont permis de noter que des cours de recyclage et des entrevues simulées peuvent être organisés avec les Communications, sur une base ponctuelle, mais que ces cours informels ne sont pas considérés comme un substitut du cours officiel.

Lorsque les porte-parole auprès des médias n'ont pas suivi la formation formelle requise sur les médias, cela augmente le risque que les employés ne comprennent pas leurs rôles et responsabilités en ce qui a trait à la fonction de porte-parole officiel de Statistique Canada.

Le contrôle du transfert de l'information du réseau sécuritaire au réseau public fait en sorte que les défectuosités des TI sont traitées au moment opportun.

L'infrastructure des TI qui est utilisée pour préparer et organiser les documents de DO relève de Services partagés Canada. Parallèlement, les employés de Statistique Canada doivent s'assurer que les documents de DO (Le Quotidien) sont diffusés au moment de la DO, soit 8 h 30 HNE (heure normale de l'Est). Étant donné que l'infrastructure des TI ne relève plus de Statistique Canada, les employés de la Division des systèmes d'administration et de diffusion (DSAD) contrôlent le processus de diffusion pour chaque jour de diffusion, à partir de 7 h jusqu'à la DO, à 8 h 30.

L'environnement des TI est complexe, étant donné qu'il y a plusieurs serveurs et que le transfert d'information doit se faire au moment opportun. En outre, certains serveurs transfèrent l'information entre la zone protégée et la zone d'accès public, là où les renseignements deviennent disponibles pour le public au moment de la DO, soit à 8 h 30.

Le personnel de la DSAD a élaboré une série de protocoles et d'avis automatisés pour chaque transfert de données, afin de veiller à ce que les employés soient au courant de toutes les défectuosités du processus et qu'ils sachent où la défectuosité s'est produite. Le protocole indique aussi à chaque étape les interventions manuelles qui doivent être lancées en cas de défectuosité des TI. Ces protocoles sont évolutifs et sont mis à jour lorsque des changements sont apportés à l'infrastructure des TI.

La DSAD a un horaire des employés responsables de veiller à ce qu'un contrôle approprié ait toujours lieu. En outre, le chef chargé du contrôle du transfert de l'information a souligné qu'il y a toujours deux personnes présentes sur place. Il a été noté qu'il s'agit d'un contrôle important. Si une défectuosité se produit, une personne peut se concentrer sur le lancement de contrôles manuels et l'autre peut s'assurer de communiquer le problème à la direction, à la division spécialisée et au personnel de Services partagés.

Dans le cadre de l'audit, on a observé le contrôle du transfert de l'information et on a déterminé que le processus énoncé dans le protocole est suivi, que des avis automatisés sont produits, conformément à la description, et que le contrôleur de la DSAD vérifie si les données correctes ont été transférées, ce qui constitue une méthode efficace pour atténuer les risques d'une défectuosité des TI.

Les pratiques de passation de marchés pour l'acquisition de services de traduction doivent être raffermies.

Tous les documents de diffusion officielle sont publiés dans les deux langues officielles. Statistique Canada donne à contrat les services de traduction à des traducteurs professionnels. Les politiques de sécurité et de passation des marchés du gouvernement du Canada prévoient que, lorsque des données protégées sont accessibles à des parties à l'extérieur de l'organisation, plusieurs mesures de sécurité sont requises. Il faut notamment s'assurer que les personnes qui ont accès aux données protégées ont la cote de sécurité appropriée et que les capacités de protection de l'installation et des documents correspondent au niveau de sécurité de l'information reçue. Dans le cadre du processus d'approvisionnement, les ministères envoient la Liste de vérification des exigences relatives à la sécurité (LVERS) à Travaux publics et Services gouvernementaux Canada (TPSGC) aux fins de confirmation. La LVERS fait état de la classification de l'information à traiter et TPSGC confirme que l'entrepreneur proposé détient les cotes de sécurité appropriées correspondant au niveau de sécurité de l'information à laquelle il aura accès. TPSGC mène aussi des inspections de sécurité des documents et des installations, dans le cas de celles qui traiteront des données protégées du gouvernement du Canada. En outre, la Politique sur les marchés du gouvernement du Canada souligne que : « la politique gouvernementale en matière de sécurité s'applique aux marchés de la même façon qu'aux opérations internes ».

Dans le cadre de l'audit, on a examiné les contrats de traduction, afin de déterminer s'ils comportaient des exigences de sécurité appropriées et si les entrepreneurs avaient les autorisations de sécurité appropriées. Une vérification a permis de déterminer que 28 % des contrats de traduction échantillonnés (10 sur 36) ne comportaient pas d'exigences en matière de sécurité. Par conséquent, aucun renseignement protégé ou secret ne devrait être traduit en vertu de ces contrats. Dans le cadre de l'audit, on a noté que dans 66 % (6 sur 9) des contrats sous-échantillonnés qui ne comportaient pas d'exigences en matière de sécurité, des données protégées ont été fournies à des entrepreneurs qui n'avaient pas les dispositifs appropriés de protection des installations et des documents ou, dans certains cas, de cote de sécurité personnelle.

Les responsables de projet sont chargés de fixer les modalités des contrats, y compris la LVERS au besoin. Dans le cadre des entrevues avec les responsables des contrats et la Sécurité du Bureau, on a noté qu'ils n'assuraient pas de fonction de remise en question auprès des responsables des projets concernant la nécessité d'inclure des exigences en matière de sécurité dans les contrats.

Dans le cadre de l'audit, on a noté plusieurs autres faiblesses et incohérences. Certains contrats de traduction, mais pas tous, exigent que les personnes qui ont accès à des données protégées signent une entente sur les valeurs et l'éthique et prêtent serment de discrétion. Il n'y avait pas de preuve de l'un ou l'autre de ces documents dans les contrats échantillonnés. Pour certains contrats de traduction, le responsable de projet a souligné que les entrepreneurs doivent signer un « énoncé de sécurité », plutôt que d'obtenir une cote de sécurité. Le document d'« énoncé de sécurité » a été élaboré à l'interne à Statistique Canada, avec la collaboration de la Sécurité du Bureau, pour compenser l'absence d'exigences en matière de sécurité dans certains contrats. Il n'y avait pas de preuve de l'un ou l'autre de ces documents dans les contrats échantillonnés.

Dans le cadre de l'audit, on a déterminé des faiblesses importantes au chapitre du contrôle pour l'acquisition des services de traduction, et on a trouvé plusieurs cas de non-conformité, qui augmentent considérablement le risque pour la confidentialité de l'information statistique de nature délicate.

Recommandations :

Il est recommandé que le statisticien en chef adjoint, Recensement, Opérations et Communications veille à ce que :

• Les divisions spécialisées et le personnel des relations avec les médias s'assurent que les personnes-ressources auprès des médias chargées de la diffusion officielle ont reçu la formation sur les médias et connaissent leurs rôles et responsabilités en vertu de la Politique sur les relations avec les médias : Porte-parole et réponse aux médias, avant la diffusion.
• Les contrats d'acquisition de services de traduction comprennent des exigences de sécurité correspondant au niveau de sécurité de l'information à laquelle les entrepreneurs auront accès.

La direction souscrit aux recommandations formulées.

Réponse de la direction :

• Le directeur général, Communications, en collaboration avec les directeurs des divisions spécialisées, s'assurera que tous les porte-parole suivent la formation officielle sur les médias avant de s'adresser aux médias. À cette fin, on utilisera :
  • des courriels trimestriels envoyés aux directeurs par le directeur général, Communications, avec des suivis au besoin;
  • des séances de formation sur les médias fournies par la Division des communications, tout au long de l'année;
  • le soutien de la formation obligatoire confirmé par le Comité de l'apprentissage et du perfectionnement.
  Dans les cas où un porte-parole ne suit pas la formation requise, le directeur de la division spécialisée agira comme porte-parole.
  
  Produits livrables et échéancier : Tous les porte-parole auront suivi de la formation officielle sur les médias avant de parler aux médias, d'ici juillet 2015.
• La direction souscrit à la recommandation formulée et reconnaît que l'autorisation de sécurité de certains de ses fournisseurs de services de traduction a été délivrée par la Sécurité du Bureau et non pas par TPSGC, alors que cela aurait dû être le cas. Même s'il s'agit d'un écart par rapport aux procédures, l'audit n'a pas déterminé de cas particulier où l'information envoyée pour la traduction a été utilisée de façon inappropriée.
  
  Une fois la situation connue, deux mécanismes ont été établis pour y remédier :
  • les documents Protégés B sont envoyés aux fournisseurs qui ont la cote de sécurité requise;
  • on a établi un processus pour confirmer la cote de sécurité des fournisseurs de services, à la Division des communications.
  Les demandes de propositions (DP) pour la sélection de fournisseurs pour 2015-2016 comprendront les exigences de sécurité appropriées. Les clauses de sécurité requises (reçues de TPSGC) seront incluses dans tous les contrats.
  
  Produits livrables et échéancier : Les mécanismes visant à faire en sorte que les fournisseurs de services de traduction aient les cotes de sécurité requises ont été mis en œuvre le 5 décembre 2014, et les DP pour sélectionner les fournisseurs pour 2015-2016 comprendront les exigences de sécurité appropriées, d'ici avril 2015.

Il est recommandé que le statisticien en chef adjoint, Services intégrés (et DPF), veille à ce que :

• Les privilèges d'accès aux répertoires partagés comprenant des renseignements protégés soient mis à jour de façon régulière, afin que seules les personnes ayant besoin de savoir accèdent à l'information.

Réponse de la direction :

• La direction souscrit à la recommandation formulée.
  
  Un rappel soulignant l'importance et la nécessité de passer en revue et de mettre à jour les privilèges d'accès aux répertoires partagés comprenant des renseignements protégés sera envoyé par le dirigeant principal de l'information (DPI) à tous les cadres. On explorera aussi des options pour automatiser la gestion des privilèges d'accès.
  
  Produits livrables et échéancier : Un rappel générique sera transmis par le DPI chaque année, à partir de maintenant. Un groupe de travail sera établi, de concert avec le projet Examen et automatisation des processus administratifs (EAPA), afin d'explorer des options pour automatiser la gestion des privilèges d'accès. Une recommandation sera soumise au Comité de gestion de l'information, d'ici septembre 2015.

Annexe A : Critères d'audit

Annexe B : Sigles