Pertinence

L'ECMS est un programme unique au Canada, qui offre des données sur des mesures directes de la santé pour soutenir la recherche, l'élaboration de politiques et la prise de décisions en matière de santé. Il est clair que le programme est pertinent pour les Canadiens et les organismes de santé, et qu'il est nécessaire à l'heure actuelle et continuera de l'être à l'avenir. Même si la majorité des répondants estiment que l'ECMS répond aux besoins actuels et nouveaux en matière de contenu, il n'y a jamais eu de plan de contenu développé pour l'ECMS.

L'ECMS s'inscrit bien dans les priorités du gouvernement fédéral et de Statistique Canada. Le gouvernement fédéral est le mieux placé pour réaliser l'ECMS, et comme le programme lui permet de s'acquitter de certaines obligations législatives particulières, l'exécution de celui-ci devient une activité légitime, appropriée et nécessaire.

Rendement – Efficacité

L'ECMS a produit les extrants escomptés et atteint le résultat immédiat attendu, soit rendre disponibles des données fiables et utilisables sur l'état de santé de référence des Canadiens et sur l'importance des contaminants de l'environnement et l'exposition à ces contaminants. On constate certains problèmes en matière d'accessibilité des données, qui risquent de nuire aux résultats à long terme s'ils ne sont pas résolus. Plus particulièrement, même si la majorité des chercheurs connaissent l'existence des données, beaucoup ne savent pas comment y accéder. Les personnes de l'extérieur interviewées corroborent ce point de vue; selon eux, le manque d'accessibilité (ou la complexité de l'accès) constitue un obstacle à l'utilisation des données. Certains informateurs clés ont souligné que les fichiers de microdonnées de l'ECMS n'étaient pas disponibles dans l'Internet, et que les chercheurs doivent s'adresser aux centres de données de recherche (CDR) pour pouvoir utiliser les fichiers de données de l'ECMS. Des chercheurs internes et externes ont soulevé diverses préoccupations concernant les CDR, notamment le manque d'information sur la façon d'accéder aux données et les délais d'approbation des demandes d'accès (qui peuvent aller jusqu'à six mois).

Les résultats de l'évaluation montrent que le grand public, les chercheurs et les utilisateurs de données connaissent l'existence des données de l'ECMS grâce aux publications fondées sur les données du cycle 1. Toutefois, certains problèmes, notamment le « rayonnement » des publications, l'absence de promotion des données de l'ECMS auprès des collectivités scientifiques ont été cités comme des facteurs ne favorisant pas la sensibilisation. Les chercheurs estiment qu'il faut améliorer la communication et la collaboration afin d'éviter d'effectuer des recherches et des analyses en double lorsque des groupes de recherche différents s'intéressent aux mêmes données.

Les résultats de l'évaluation montrent que les données de l'ECMS sont utilisées à des fins de recherche, d'élaboration de politiques et de prise de décisions – soit le résultat ultime attendu. Des chercheurs ont déjà utilisé les données de l'ECMS pour valider les données autodéclarées dans le cadre d'autres enquêtes, ainsi que pour mener des recherches visant à faire des découvertes scientifiques. En outre, les données de l'ECMS sont utilisées pour l'élaboration de politiques et la prise de décisions dans les domaines de l'activité physique, de l'exposition aux contaminants de l'environnement, des marqueurs de la nutrition et de la santé buccodentaire. Il est toutefois encore trop tôt dans le cycle de vie du programme pour constater à grande échelle le plein potentiel de l'ECMS. L'information sur les publications (études) ne fait l'objet d'un suivi qu'à l'interne et n'est pas partagée avec les intervenants externes, ce qui dans certains cas rend la collaboration et la reddition de comptes plus difficiles.

Rendement – Économie et efficience

La transition d'un financement principalement axé sur le recouvrement des coûts vers un financement de base pour l'ECMS, dans la foulée de la mise en œuvre du Plan d'action de 2008, a contribué à la stabilité de l'enquête, ce qui a eu une incidence positive sur l'ECMS. Cela a notamment permis d'améliorer la planification à long terme et d'explorer les possibilités d'accroître l'efficience opérationnelle. Les résultats de l'évaluation montrent que les ressources humaines et financières consacrées au programme sont suffisantes. Certaines parties externes ont souligné qu'il serait possible d'améliorer l'efficience et l'économie en mettant en œuvre des pratiques de recrutement plus souples et en ayant recours à des cliniques et à des infrastructures locales plutôt qu'à des cliniques mobiles. Bien que ces options méritent d'être examinées, leur faisabilité doit être évaluée en tenant compte du risque qu'elles puissent nuire à la qualité de la collecte de données.

En outre, le recours à l'infrastructure existante de l'ECMS par d'autres partenaires fédéraux permet à ces derniers d'atteindre leurs objectifs de façon efficiente tout en réduisant leur investissement en temps et en argent. En partageant leurs connaissances complémentaires, Statistique Canada, ses partenaires fédéraux et le milieu universitaire accroissent la capacité d'analyse dans le domaine de la santé.

L'ECMS est la seule enquête au Canada portant sur des mesures directes représentatives à l'échelle nationale; elle complète d'autres études canadiennes et internationales. On ne constate donc aucun élément de preuve à l'appui d'un dédoublement des efforts qui pourrait nuire à l'efficience.

Objectifs

L'ECMS joue un rôle important à l'appui du programme général du gouvernement fédéral en matière de santé.

Elle vise principalement à recueillir d'importantes données d'un genre nouveau sur l'état de santé de la population canadienne en :

• fournissant la plateforme et l'infrastructure nécessaires pour obtenir des données au moyen de mesures physiques et de laboratoire afin de répondre aux nouveaux besoins de plusieurs directions de SC et de l'ASPC, ainsi que pour réaliser des enquêtes complémentaires;
• recueillant et diffusant des données sur les mesures directes de la santé, y compris sur les contaminants de l'environnement;
• offrant l'accès aux données nationales représentatives pour favoriser la recherche au moyen de données sur les mesures directes de la santé.

Activités

L'ECMS est conçue et mise en œuvre en cycles consécutifs, chacun comprenant trois étapes : la planification, la collecte et la diffusion. Le tableau 1 présente le cycle de vie de l'ECMS. Le schéma du processus de l'ECMS est illustré à l'annexe 1.

Résultats attendus

Les activités et les extrants de l'ECMS devraient aboutir aux résultats attendus suivants, énoncés dans le cadre d'évaluation de synthèse du Plan d'action pour protéger la santé humaine des contaminants de l'environnement.

Résultat immédiat (2 à 5 ans)

Production de données fiables et utilisables à l'intention des décideurs, des chercheurs et des Canadiens à propos de l'état de santé de référence des Canadiens, de l'importance des contaminants de l'environnement et de l'exposition à ces contaminants.

Résultat intermédiaire (2 à 5 ans)

Sensibilisation accrue des utilisateurs aux données et à l'information recueillies.

Résultat ultime (5 à 10 ans)

Utilisation accrue, par les décideurs, de l'information sur les liens établis entre les contaminants et les maladies afin d'orienter les décisions en matière de pratiques de santé publique, de recherche, de réglementation stratégique et de programmes et services.

Résultat ultime (10 à 20 ans)

Réduction des risques liés aux contaminants de l'environnement pour la santé des Canadiens, particulièrement les populations vulnérables.

Graphique 1 Partenaires fédéraux du Plan d'action

Les fonds affectés à Statistique Canada s'établissaient à 54,5 millions de dollars sur cinq ans, ce qui représente 64 % du financement total prévu dans le Plan d'action. Ces fonds ont permis d'inclure dans l'ECMS des mesures supplémentaires sur l'exposition aux contaminants de l'environnement, ainsi que des mesures directes sur la santé des enfants de moins de six ans.

Le programme de l'ECMS a reçu un financement de base total de 47,7 millions de dollars pour la période allant de 2008-2009 à 2012-2013. Au total, 48,7 millions de dollars ont été affectés à l'ECMS entre 2007-2008 et 2012-2013, inclusivement. ^{Footnote 3}

L'ECMS a aussi obtenu des fonds externes de SC, de l'ASPC et d'autres entités à l'appui de demandes spéciales concernant l'exécution de tests de laboratoire et d'analyses supplémentaires qui n'étaient pas prévus dans le financement de base. Entre 2007-2008 et 2012-2013, un montant total de 37,6 millions de dollars a été affecté au titre du recouvrement externe des coûts.

En conséquence, le montant total des ressources affectées à l'ECMS faisant l'objet de la présente évaluation (c.-à-d. le financement de base plus le recouvrement externe des coûts) s'établit à 86,3 millions de dollars sur cinq ans (voir les détails au graphique 2).

Graphique 2 Total des ressources affectées à l'Enquête canadienne sur les mesures de la santé (financement de base et financement externe par recouvrement des coûts), de 2007 2008 à 2012 2013

Tableau 2 Critères d'évaluation et questions connexes

4.1.1 Réceptivité du programme

4.1.2 Harmonisation avec les priorités et les obligations du gouvernement et de Statistique Canada

4.2.1 Efficacité – Réalisation des extrants et des résultats attendus

Les résultats attendus mesurés dans le cadre de l'évaluation sont précisés dans le cadre d'évaluation de synthèse du Plan d'action pour protéger la santé humaine des contaminants de l'environnement de Statistique Canada. Le Cadre de responsabilisation de gestion axé sur les résultats établi en 2008 pour le Plan d'action comprend un échéancier pour la réalisation de chaque résultat. L'évaluation est axée sur la mesure des résultats attendus à très court terme à cause du cycle de vie de l'ECMS et du moment de l'évaluation. On constate toutefois que l'ECMS est sur la bonne voie et progresse vers les résultats attendus à moyen et à long terme.

Avant de déterminer si les résultats ont été atteints, il importe de comprendre la réalisation des extrants définis dans le Plan d'action, puisqu'il s'agit de catalyseurs qui permettront d'atteindre les résultats attendus.

4.2.2 Rendement – Efficience et économie

Les résultats de l'évaluation de l'efficience et de l'économie de l'ECMS sont fondés sur une analyse financière de la disponibilité et de l'utilisation des ressources, ainsi que sur une analyse des tendances en matière de dépenses et des écarts observés. ^{Footnote 27} Des données anecdotiques obtenues dans le cadre des interviews ont permis de déterminer les points de vue et les perceptions des informateurs clés quant à l'efficience du programme, aux approches différentes qui pourraient améliorer l'efficience et à la mesure dans laquelle l'ECMS chevauche ou complète d'autres enquêtes ou programmes existants.

Graphique 3 Financement de base, avril 2012

Graphique 4 Financement externe par recouvrement des coûts, avril 2012

Tous les écarts entre le budget de l'ECMS et les dépenses réelles, tant pour le financement de base que pour le financement par recouvrement des coûts, sont inférieurs à 4 % pour l'ensemble de la période de cinq ans. Sur le plan financier, une telle situation est le signe d'une bonne gestion des ressources. Des personnes de l'interne interviewées ont avancé que cette situation pourrait s'expliquer par la planification soignée et rigoureuse qu'exige la complexité de l'enquête.

En ce qui concerne le nombre d'ETP, le budget semble toujours sous-estimer le nombre réel requis, comme l'indique le tableau 11. En conséquence, des fonds non salariaux ont dû être réaffectés aux fonds salariaux.

Compromis coût-qualité

L'analyse des données financières concernant les dépenses de fonctionnement (p. ex. équipement et biens) révèle que ce sont les cliniques ou centres d'examen mobiles (CEM) (p. ex. équipement médical et de laboratoire et personnel formé et compétent qui se déplace avec les cliniques) qui représentent les coûts les plus importants du programme. Lorsqu'on examine les biens, on constate que l'équipement médical et de laboratoire constitue la catégorie la plus importante – le coût approximatif d'un CEM s'élève à 335 000 $, soit 35 000 $ pour la remorque et 300 000 $ pour l'équipement qu'elle contient. Il est également clair que les CEM actuellement en activité sont presque tous en fin de vie (leur valeur globale en pourcentage s'établit à 10 %). En conséquence, il pourrait être important de trouver des moyens d'optimiser les coûts et les ressources nécessaires au fonctionnement des CEM pour améliorer le rendement de l'ECMS en termes d'efficience et d'économie.

Les gestionnaires responsables du programme et certains spécialistes admettent que le coût de la collecte de mesures directes par l'entremise des CEM est élevé. Ils estiment toutefois qu'il est essentiel de contrôler l'environnement des CEM pour garantir des résultats de qualité supérieure. Même une simple incohérence dans l'environnement – par exemple, les odeurs – peut influer sur les mesures. La qualité des données revêt une importance capitale et est directement liée aux coûts élevés.

En outre, les interviews et l'examen de documents révèlent que la méthode de collecte des mesures dans les cliniques mobiles, même si elle coûte cher, est la même que celle qu'utilisent d'autres pays et d'autres enquêtes (par exemple l'enquête NHANES). Les décisions prises indiquaient que le modèle choisi visait à atteindre le même degré de rigueur et d'uniformité.

Toutefois, certains chercheurs externes, tout en reconnaissant l'importance d'un environnement contrôlé et uniformisé pour la collecte des données, croient toujours qu'il vaut la peine d'examiner d'autres solutions, par exemple le recours à des installations et à des structures locales, afin d'améliorer l'efficience sans compromettre la qualité. Ils ont aussi souligné que l'efficience et l'adaptabilité du programme pourraient être améliorées si les procédures de recrutement étaient plus souples (p. ex. recrutement de personnes n'appartenant pas à la fonction publique, dans la mesure du possible).

Faits à l'appui des efforts des responsables du programme pour réaliser des efficiences

Les résultats des interviews témoignent des efforts des responsables du programme à l'égard de l'exercice d'une bonne gérance et de l'utilisation des ressources de façon économique. Par exemple, en choisissant d'installer les remorques sur des terrains appartenant au gouvernement fédéral ou dans des endroits publics moyennant des frais nominaux plutôt que dans des endroits privés à but lucratif afin de réduire les coûts de location et en sélectionnant des entreprises locales pour la prestation de certains services, par exemple pour l'entretien ou le soutien de la TI, plutôt que d'envoyer du personnel du bureau central. Comme ils l'ont précisé dans le cadre des interviews, les gestionnaires de programme s'efforcent de réduire les heures supplémentaires les déplacements du personnel.

En outre, à mesure que le programme a acquis de la maturité, sa structure de fonctionnement a été remaniée par des fusions. Ces initiatives ont permis de réaliser des économies en réduisant les dépenses au titre des salaires, tout en permettant la mise en place d'un contexte de gestion plus efficient. Les responsables de l'ECMS continuent de réaliser périodiquement des examens opérationnels afin de cerner les efficiences opérationnelles internes qu'il est possible de réaliser.

La stratégie pour la conformité à la PCI est périodiquement mise à jour par un processus d'examen annuel.

Pendant l'audit précédent des contrôles financiers clés, il y a eu plusieurs circonstances où le calendrier des tests n'a pas été suivi. Pour maintenir la pertinence de la stratégie, la Division de l'audit interne a recommandé que la stratégie pour la conformité à la PCI soit périodiquement mise à jour et validée par le DPF et le statisticien en chef.

L'équipe de la PCI a mis en œuvre un processus d'examen annuel. La stratégie de tests pour évaluer les contrôles compensatoires est déterminée par l'examen des processus opérationnels pour indiquer les changements prévus aux systèmes. Le processus d'examen annuel est piloté par l'équipe de la PCI; les propriétaires des processus opérationnels (PPO) sont consultés et ont la possibilité de communiquer les changements prévus aux systèmes. L'équipe de la PCI évalue alors l'incidence des changements aux systèmes sur les contrôles internes, dans le cadre du processus d'examen annuel. Une fois l'examen annuel des processus opérationnels terminé, l'équipe de la PCI prend connaissance et discute de l'incidence des changements à apporter aux systèmes, et décide s'il y a lieu d'apporter des rajustements au plan des tests.

Le Plan des tests fondés sur les risques du CIRF pour 2015-2019 remplace la stratégie pour la conformité à la PCI. Il est mis à jour annuellement, peut être rajusté selon la nécessité, et est fondé sur l'évaluation des résultats, des changements et de l'incidence des mesures correctives.

L'approche révisée de l'équipe de la PCI est un moyen efficace d'assurer la mise à jour périodique de la stratégie pour la conformité à la PCI.

Les contrôles compensatoires en place pendant une période de changements apportés à des processus ou systèmes sont pris en considération aux fins des tests, pour ce qui est de fournir une assurance continue sur le CIRF.

L'audit précédent des contrôles financiers clés a recommandé que les contrôles compensatoires en place pendant une période de changements apportés à des processus ou systèmes soient pris en considération aux fins des tests, pour ce qui est de fournir une assurance continue sur le CIRF.

En 2013-2014, l'équipe de la PCI a testé les contrôles compensatoires pour tous les processus où les tests avaient été retardés à cause de changements à apporter aux systèmes. Ces processus étaient : les immobilisations, la réconciliation des salaires pour la paie et les avantages sociaux, les dépenses de fonctionnement et les revenus.

Les résultats des tests de l'équipe de la PCI ont démontré que tous les contrôles compensatoires fonctionnaient efficacement, sauf pour ceux entourant la paie et les avantages sociaux. Ces résultats ont été communiqués aux propriétaires des processus opérationnels concernés. Par suite de l'examen et de la mise à jour de tous les processus opérationnels du CIRF par l'équipe de la PCI en 2013-2014, il n'y a pas eu d'autres tests des contrôles qui aient été reportés à cause de changements aux systèmes.

Partant du principe que les contrôles des processus doivent être maintenus et être efficaces avant et après tout changement et que, dans la plupart des cas, les contrôles des processus et les objectifs des contrôles ne changent pas, même lorsque la responsabilité ou les outils changent, l'équipe de la PCI prendra dorénavant pour approche de s'en tenir au calendrier du plan des tests et de ne pas retarder les tests. Si des contrôles clés deviennent inefficaces à cause de grands changements aux systèmes, on pourra toujours décider de retarder les tests périodiques et de tester les contrôles compensatoires. De cette façon, les tests des contrôles compensatoires seront limités aux cas où les contrôles périodiques ne sont plus efficaces.

L'approche révisée de l'équipe de la PCI fait en sorte que les contrôles compensatoires en place pendant une période de changements apportés à des processus ou systèmes seront pris en considération aux fins des tests, pour ce qui est de donner une assurance continue sur le CIRF.

La mise en œuvre de mesures correctives est validée rapidement par l'équipe de la PCI.

Par le passé, l'équipe de la PCI réunissait de l'information sur l'état de la mise en œuvre des mesures correctives en adressant des demandes aux PPO. L'équipe de la PCI utilise des modèles de suivi des mesures correctives pour suivre les progrès de la mise en œuvre des plans de mesures correctives. Tous les trimestres, les PPO sont appelés à faire le point à l'équipe de la PCI sur la situation en ce qui concerne les plans de mesures correctives afin de mettre à jour le modèle de suivi.

Les examens des processus opérationnels menés en 2013-2014, et le processus d'examen annuel décrit dans le Plan des tests fondés sur les risques du CIRF pour 2015-2019, combinés à l'évaluation des questions relatives à la PCI discutées pendant les réunions de l'équipe de la PCI sont suffisants pour réunir et documenter la preuve de la mise en œuvre de mesures correctives, et pour que l'équipe de la PCI puisse évaluer le caractère adéquat des mesures correctives dans un cycle de tests de 12 mois.

La mise en œuvre du Comité directeur de la PCI est un outil efficace de gouvernance et de surveillance, et une pratique à suivre

La nouvelle ligne directrice pour la PCI oblige à gérer les contrôles internes par une surveillance formelle et une gouvernance efficace, qui comprennent des rapports périodiques à la haute direction, à l'administrateur général et au CMV.

En 2013-2014, la Division de la divulgation financière a créé le Comité directeur de la PCI. Ce comité s'était réuni trois fois en date de janvier 2014. Les rôles et responsabilités du Comité directeur de la PCI ont été établis et approuvés à la réunion du 15 juillet 2013. Les membres du Comité directeur comprennent les DG qui surveillent les secteurs où les contrôles des processus sont inclus et testés dans le cadre de la PCI. L'objet du Comité est d'informer les membres des changements proposés à la stratégie de tests et des progrès réalisés dans divers secteurs de la PCI. Le résultat attendu de ce nouveau comité est un accroissement de la sensibilisation et de l'adhésion des PPO à l'importance de la PCI.

Les membres du Comité de la PCI reçoivent de l'information sur l'état du processus annuel de la PCI, et proposent des changements au plan des tests. On leur rappelle également pendant les réunions l'importance de l'exécution rapide des mesures correctives.

La mise en œuvre d'un Comité directeur de la PCI est un moyen efficace de faire en sorte que les problèmes soient communiqués et réglés au niveau approprié de la direction, et peut être considérée comme une pratique à suivre.

Les mesures correctives non encore appliquées pour les tests des années antérieures devraient être incluses dans l'annexe de l'année en cours

Par le passé, l'information présentée dans l'annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne en matière de rapports financiers n'expliquait pas spécifiquement la nature du travail à faire pour atteindre l'état de préparation à l'audit, relativement aux mesures correctives en instance. La Division de l'audit interne a fait une recommandation pour faire en sorte que l'annexe communique clairement les secteurs nécessitant des mesures correctives en vue d'atteindre l'état de préparation à l'audit, ainsi que les secteurs pour lesquels une assurance n'a pas été fournie pour une période donnée.

L'information présentée dans l'annexe 2012-2013 de la Déclaration de responsabilité de la direction englobant le CIRF suit le modèle inclus dans la nouvelle ligne directrice pour la PCI. Cependant, l'information concernant les mesures correctives en instance suite aux tests des années antérieures n'a pas été divulguée dans l'annexe de l'année en cours.

Le modèle proposé dans la nouvelle ligne directrice pour la PCI ne traite pas spécifiquement des cas où des faiblesses de contrôle subsistent pour des périodes de plus de 12 mois. Le corps de la ligne directrice énonce que, une fois terminée la première évaluation complète, l'annexe du Ministère doit refléter le stade de la surveillance continue; dans la section concernant l'état de l'évaluation, la ligne directrice demande de l'information sur les plans pour l'exécution des travaux d'évaluation où des mesures correctives doivent être terminées dans les années suivantes.

La pratique de faire état annuellement sur les faiblesses du contrôle qui restent à régler pour des périodes de plus de 12 mois encouragera les mesures correctives rapides et fera en sorte qu'elles continuent d'être portées à l'attention de la haute direction.

Recommandation :

Le statisticien en chef adjoint, Services intégrés (et DPF), doit s'assurer que :

• L'information concernant les mesures correctives incomplètes ou en instance qui a été divulguée dans l'annexe de la Déclaration de responsabilité de la direction englobant le CIRF des années précédentes continue d'être divulguée dans l'annexe des années ultérieures jusqu'à ce que les mesures correctives soient terminées.

Réponse de la direction :

La direction souscrit aux recommandations.

• Le directeur de la Division de la divulgation financière veillera à ce que tous les points en instance des années antérieures soient réglés rapidement, avec l'aide du Comité directeur de la PCI, pour assurer des suivis rigoureux, et dévoilera dans l'annexe les mesures correctives restant à appliquer pour les années précédentes.
  
  Livrables et échéancier : Les mesures correctives incomplètes ou en instance des années précédentes seront divulguées dans l'annexe de 2013-2014 de la Déclaration de responsabilité de la direction englobant le CIRF qui sera présentée au dirigeant principal des finances, au statisticien en chef et au Comité ministériel d'audit. Cette annexe sera publiée avec le Rapport ministériel sur le rendement et les états financiers dans le site Web de Statistique Canada, d'ici novembre 2014.

Objectif 2 : Constater le caractère adéquat/l'efficacité des activités d'examen et de surveillance menées au sein de la Direction des finances à l'appui de l'attestation du DPF pour les présentations au Cabinet.

Nouvelle ligne directrice pour l'attestation du DPF

Le Secrétariat du Conseil du Trésor a publié une nouvelle Ligne directrice sur l'attestation du DPF pour les présentations au Cabinet (la ligne directrice), qui est entrée en vigueur le 1^er janvier 2014. La ligne directrice vise à fournir un cadre et des conseils pratiques aux DPF en ce qui a trait au contrôle diligent et à l'attestation des éléments de la gestion financière contenus dans les présentations au Cabinet.

En sa qualité d'administrateur des comptes de l'organisme, le statisticien en chef est ultimement responsable de l'élaboration et de la préparation des présentations, ainsi que de l'obtention de la signature du ministre promoteur. Le DPF et les cadres supérieurs de l'organisme jouent un rôle important dans la préparation des présentations et le processus de contrôle diligent et l'attestation. Le DPF joue le double rôle de fournisseur de l'expertise financière aux programmes clients, et de source de conseils objectifs et indépendants destinés à l'administrateur général.

Le rôle de remise en question et d'attestation du DPF est fondé sur la gérance financière ministérielle ainsi que sur un rôle de conseiller stratégique objectif à l'égard des questions qui concernent, entre autres choses, la gestion des risques, l'examen des solutions financières et la limitation des coûts.

Six assertions fondamentales permettent de caractériser les éléments de l'attestation et de communiquer les conclusions de l'attestation du DPF en vue de la prise de décisions. Les assertions du DPF¹ sont les suivantes :

1. La nature et la portée de la proposition sont décrites de manière raisonnable, et les hypothèses qui ont une incidence importante sur les besoins financiers connexes ont été identifiées et sont appuyées.
2. Les risques importants ayant une incidence sur les besoins financiers, la vulnérabilité des besoins financiers à la modification des principales hypothèses et les stratégies d'atténuation des risques connexes ont été communiqués.
3. Les besoins en matière de ressources financières ont été communiqués et cadrent avec les hypothèses décrites dans la proposition, et les solutions pour limiter les coûts ont été examinées.
4. Le financement est déterminé et il est suffisant pour répondre aux besoins financiers pour la durée prévue de la proposition.
5. La proposition est conforme aux lois et politiques pertinentes en matière de gestion financière, et les pouvoirs de gestion financière nécessaires sont en place ou sont demandés dans la proposition.
6. Les principaux contrôles financiers nécessaires à la mise en œuvre et au soutien continu de la proposition sont en place.

Avant de procéder à l'attestation, les DPF doivent effectuer un contrôle diligent exhaustif et exercer une fonction de remise en question pour attester l'intégrité de l'information financière et les hypothèses présentées dans les présentations au Cabinet et au CT. La ligne directrice énonce que cet examen se fonde à tout le moins sur les six assertions énumérées plus haut et couvre un ensemble de critères et sous-critères énoncés à l'annexe B de la ligne directrice (voir l'annexe B). Un contrôle diligent objectif et indépendant doit être effectué par du personnel autre que celui qui participe directement à la préparation de la présentation, et les rapports hiérarchiques doivent être structurés de manière à réduire les risques d'influence, de subjectivité et de partisanerie.

Il doit être tenu un dossier de gestion suffisamment détaillé pour qu'un tiers puisse saisir et comprendre la portée de la diligence raisonnable et le processus d'audit des assertions, et voir comment ils appuient les conclusions et observations contenues dans la lettre d'attestation. Le Bureau du contrôleur général encourage l'utilisation d'une liste de contrôle pour documenter, pour chaque critère d'assertion, le travail d'analyse et de tests effectué par l'équipe d'attestation du DPF.

Les rôles et responsabilités du processus de contrôle diligent et son indépendance doivent être clairement définis

Statistique Canada a deux initiatives de programme qui nécessitent un mémoire au Cabinet au début de chaque cycle quinquennal et des présentations au CT pour obtenir du financement. L'équipe d'audit a interviewé des membres clés du personnel au sein de la Direction des finances ainsi que des gestionnaires de programme, et examiné les organigrammes et documents de procédures de la Direction des finances afin de repérer les employés clés qui participent à la préparation des présentations au Cabinet et au CT et ceux qui travaillent à l'exécution du contrôle diligent et à la fonction de remise en question. L'équipe d'audit a aussi évalué si les rôles et responsabilités de l'équipe d'attestation du DPF et l'indépendance de cette fonction ont été clairement définis, documentés et compris.

À Statistique Canada, les agents/conseillers financiers travaillent directement à la préparation des présentations au CT. Ils sont généralement des FI-02 et FI-03 qui relèvent fonctionnellement de la Division de la planification financière  Ils donnent des conseils financiers stratégiques et un soutien aux secteurs de programme qui sont leurs clients et interviennent tôt dans le processus en fournissant une aide technique financière, tirant des renseignements historiques des systèmes financiers de l'organisme et compilant des données financières, ainsi qu'en fournissant des services de calcul des coûts aux gestionnaires de programme pour la formulation d'hypothèses financières pour les présentations au Cabinet et au CT. La consultation des agents financiers au stade de la préparation des présentations au Cabinet et au CT permet d'améliorer la qualité de la présentation et est considérée comme une bonne pratique opérationnelle.

Deux équipes au sein de la Division de la divulgation financière participent également au processus d'attestation du DPF. L'équipe de l'établissement des coûts donne des conseils aux conseillers/agents financiers sur la méthodologie de calcul des coûts et les modèles à utiliser pour assurer la conformité à la législation financière et aux politiques du CT. L'équipe de la PCI évalue de façon continue l'état de préparation à l'audit pour les contrôles internes au sein des programmes. Ces deux équipes ne travaillent pas directement à la préparation des présentations au Cabinet et au CT, et elles fournissent une perspective indépendante et objective des questions liées à la conformité de la présentation et des contrôles internes. L'audit a révélé que le soutien fourni pour la préparation des présentations au Cabinet et au CT est adéquat.

Le directeur de la Division de la planification financière assiste aux réunions de programme pendant la préparation des présentations au CT et applique de façon continue les procédures d'analyse requises. Il est ressorti des entrevues que l'analyse comparative de l'information, comme l'information financière du cycle de projet précédent et la présentation courante au CT, avait été effectuée et que des questions avaient été soulevées auprès du programme là où il y avait des différences ou des augmentations importantes. La Division de la planification financière mène ces activités pour pouvoir fournir des conseils au programme afin de l'aider à préparer de l'information pour justifier divers coûts, en prévision de questions toujours possibles de la part du CT. L'analyse menée par la Division de la planification financière est cruciale, mais l'objectivité que requiert le processus de contrôle diligent doit être renforcée.

La Direction des finances a mis au point une liste de contrôle divisée en six sections correspondant aux assertions fondamentales. Elle est à remplir par l'équipe de gestion du programme et le personnel financier qui participe directement à la préparation et à l'élaboration de la présentation. Dès lors que l'information est compilée et approuvée, la liste de contrôle est signée par divers niveaux de direction du programme, jusqu'au statisticien en chef adjoint (SCA). Les résultats de l'exercice donnent des dossiers de corroboration à utiliser par le chef, Présentations au CT, pour l'exécution d'un contrôle diligent indépendant conformément à la ligne directrice.

Dans tout le processus de présentation au CT, la Direction des finances organise des séances de rapport avec le SCA et le DPF pour passer en revue le dossier de corroboration établi pour le programme. Pendant ce processus, l'équipe de gestion du programme et les agents/conseillers financiers désignés présentent au DPF de l'information sur les hypothèses clés, les coûts, les options de financement, et d'autres détails, et le DPF, de son côté, fait la remise en question de l'information reçue.

Actuellement, on s'appuie sur les travaux accomplis par les agents financiers qui compilent l'information financière pour le programme afin de répondre aux exigences du contrôle diligent indépendant/objectif. Parce qu'ils participent directement à la compilation de l'information pour les présentations au Cabinet et au CT, cela entrave leur capacité de revoir objectivement l'information, comme l'exige la ligne directrice. Pour respecter intégralement les exigences de la nouvelle Ligne directrice sur l'attestation du DPF, il faut définir clairement les rôles et responsabilités des intervenants à l'attestation du DPF, et renforcer l'objectivité et l'indépendance du processus de contrôle diligent et de la fonction de remise en question.

Le processus de contrôle diligent n'est pas suffisamment documenté pour répondre aux exigences de la nouvelle ligne directrice

Pour évaluer si un dossier de gestion appuie le contrôle diligent effectué, selon la section 4.3.4 de la ligne directrice, l'équipe d'audit a passé en revue toute la documentation compilée par la Division de la planification financière à l'appui de l'attestation du DPF pour deux récentes initiatives de programme : un mémoire au Cabinet et une présentation au CT. Les pièces justificatives consistaient de dossiers de corroboration qui contenaient des listes de contrôle remplies par les personnes ayant travaillé à la préparation de la présentation, des rapports financiers et non financiers, et des tableaux préparés par les programmes.

L'audit a comparé la conception du modèle de liste de contrôle élaboré par la Direction des finances pour l'aligner sur les critères d'assertion inclus à l'annexe B de la ligne directrice. L'audit a révélé que la conception actuelle du modèle de liste de contrôle n'est pas totalement alignée sur les sous-critères d'assertion de l'annexe B de la ligne directrice. Il y a plusieurs questions où le lien avec les critères d'assertion n'est pas clair. Par exemple, selon l'annexe B de la ligne directrice, les critères concernant la gestion des risques devraient comprendre : Les principaux risques financiers ont été examinés; La probabilité et l'incidence des principaux risques ont été examinées; et Les réactions aux risques et les stratégies d'atténuation sont claires. À la section 2.1 du modèle de liste de contrôle de la Direction des finances, qui a trait à la gestion des risques, les questions suivantes sont des exemples de questions qui ont été incluses : Tous les principaux intervenants ont-ils été consultés? Si oui, joindre une confirmation écrite de chaque secteur; la capacité des ressources humaines a-t-elle été confirmée? Les besoins en ressources ont-ils été analysés? Il y a de l'ambigüité au niveau du lien entre ces questions et la gestion des risques dans le contexte de la nouvelle ligne directrice, et en quoi ces questions donneraient de l'information qui serait utile pour l'évaluation des critères d'assertion sur la gestion des risques.

Pendant l'examen du dossier, l'audit a révélé un certain nombre de lacunes dans la documentation recueillie pour le processus de contrôle diligent et la fonction de remise en question. Il y a eu des cas où le programme a indiqué soit que la documentation pour certaines assertions était sans objet, soit qu'elle serait disponible plus tard, soit encore que l'information était disponible mais non comprise dans le dossier. Voici des exemples précis de critères pour lesquels il n'a pas été produit de documentation pour examen : l'analyse de sensibilité financière pour les déterminants de coûts qui ont une incidence importante sur les besoins en ressources; la conformité à la législation et aux politiques sur la gestion financière; et les dépenses ou les autorisations de dépenser. Par conséquent, un certain nombre de critères d'assertion n'ont pu être évalués par les auditeurs ou ne pourraient l'être dans le cadre d'un éventuel examen indépendant.

Par ces entrevues, l'équipe d'audit a pu corroborer que le directeur de la Division de la planification financière avait soulevé des questions auprès du programme après une analyse comparative de l'information financière du cycle de projet précédent et de la nouvelle présentation au CT. Là où il existait des écarts importants entre le dernier cycle de projet et les chiffres financiers courants, le programme a reçu instruction de préparer suffisamment d'information pour justifier ces coûts. Les conclusions tirées de cette analyse ne sont pas formellement documentées dans des procès-verbaux de réunion ou comptes rendus de décisions et ne peuvent être rattachées aux résultats de l'attestation du DPF.

Par conséquent, l'équipe d'audit n'a pas pu établir quelles analyses ou quels tests ont été effectués, quelle justification des divers coûts présentés par le programme a été jugée satisfaisante, et quelles conclusions ont été tirées à l'appui de l'attestation du DPF.

Un dossier de gestion suffisant documentant le contrôle diligent et la fonction de remise en question, et permettant à un tiers de comprendre la portée de l'examen et des tests des assertions et de voir comment le DPF en est arrivé aux conclusions et observations qui se trouvent dans sa lettre d'attestation, est nécessaire pour répondre aux exigences de la ligne directrice.

Recommandations :

Le statisticien en chef adjoint, Services intégrés (et DPF), doit s'assurer que :

• Les rôles et responsabilités du personnel participant à l'attestation du DPF sont raffinés et documentés d'une manière qui répond aux exigences d'indépendance exprimées dans la ligne directrice.
• Les dossiers de gestion pour appuyer l'analyse, les conclusions et la lettre d'attestation du DPF sont établis et documentés, conformément à la section 4.3.4 de la ligne directrice.

Réponse de la direction :

La direction souscrit aux recommandations.

• Le directeur de la Division de la divulgation financière, le directeur de la Division de la planification financière, le dirigeant principal des finances adjoint (DPFA) et le DPF établiront, documenteront et communiqueront clairement les rôles et responsabilités de tous les intervenants au processus d'attestation du DPF, d'une manière conforme aux exigences d'indépendance exprimées dans la ligne directrice.
  
  Livrables et échéancier :
  • Les rôles et responsabilités de toutes les parties intervenant à un processus de présentation de document au Cabinet seront élaborés et documentés d'une manière conforme aux exigences d'indépendance exprimées dans la ligne directrice, d'ici septembre 2014.
  • Les rôles et responsabilités seront validés avec un groupe de travail formé de participants à un échantillon de récents processus de présentation de documents au Cabinet, d'ici octobre 2014.
  • La proposition finale sera examinée et approuvée par le DPFA et le DPF, d'ici novembre 2014.
  • Les rôles et responsabilités seront publiés dans le carrefour des Services intégrés, d'ici décembre 2014.
• Le directeur de la Division de la divulgation financière, le directeur de la Division de la planification financière, le DPFA et le DPF maintiendront des dossiers de gestion appuyant l'analyse, les conclusions et la lettre d'attestation du DPF.
  
  Livrables et échéancier :
  • Il sera élaboré un protocole pour la consignation de l'analyse et des conclusions des discussions avec le DPFA et le DPF, dans le cadre du processus formel d'examen et d'attestation. À mettre en œuvre pour septembre 2014.
  • Des descriptions plus explicites des documents justificatifs, inclus comme élément de preuve pour chacune des sections de la liste de contrôle, seront également incluses pour aider les tiers à mieux comprendre la profondeur de l'analyse effectuée par le DPF et son équipe. À mettre en œuvre pour décembre 2014.

Les pouvoirs sont définis

Statistique Canada exerce son mandat qui consiste à conclure des accords de partage de données statistiques avec d'autres organisations aux termes des articles 11 et 12 de la Loi sur la statistique.Les données statistiques tirées d'enquêtes sur la santé qui sont transmises au Ministère l'aident à élaborer ses politiques, à évaluer ses programmes en vue d'améliorer la santé de la population et l'efficience des services de santé, ainsi qu'à soutenir la recherche démographique et épidémiologique.

Les rôles et responsabilités liés aux exigences en matière d'élaboration, de mise en œuvre et de surveillance des APD sont énoncés dans la Directive sur le partage des données en vertu des articles 11 et 12. Cette directive précise que la Division de la gestion de l'information (DGI), de concert avec les Services juridiques, rédige les accords de partage de données à la demande des directeurs des programmes statistiques. La DGI doit également fournir le soutien nécessaire aux gestionnaires au moment de l'élaboration de nouveaux accords de partage de données ou d'accords modifiés avec les destinataires, en application de l'article 12 de la Loi sur la statistique. Les divisions spécialisées sont chargées de communiquer avec les organisations destinataires durant les négociations et la rédaction des accords.

Les responsabilités et la reddition de compte au sein de la Division de la statistique de la santé doivent être clarifiées

Statistique Canada a remplacé ses APD existants conclus avec le ministère de la Santé de la Saskatchewan (le Ministère) par des accords généraux de partage des données signés le 13 novembre 2012 et le 12 avril 2013 pour encadre la collecte et le partage de renseignements extraits de plusieurs enquêtes sur la santé.

La DSS assure la liaison entre Statistique Canada et le Ministère et assume la responsabilité de la mise en œuvre des APD. La section des Services d'accès aux données de la DSS assure la liaison entre Statistique Canada et le Ministère en ce qui concerne la négociation et la rédaction de l'accord, et supervise la transmission sécuritaire des fichiers d'enquête préparés au Ministère.

Au moment la rédaction et de la signature des nouveaux AGPD, la DSS ne savait pas que le Ministère avait transféré son groupe chargé de l'administration des entrepôts de données (qui assure la prestation de ses services d'informatique) et du regroupement de dossiers contenant des renseignements personnels sur la santé à eHealth. eHealth est une société d'État créée en 2010. La relation entre le Ministère et eHealth a été formalisée dans une entente sur les fournisseurs de services de gestion de l'information (FSGI) en avril 2011.

En novembre 2013, on a apporté une modification aux deux accords signés avec le Ministère afin d'ajouter un paragraphe additionnel (6.2.5) permettant au Ministère de partager des données avec eHealth en vertu de la Health Information Protection Act, Lois de la Saskatchewan, 1999. De 2011 à novembre 2013, le Ministère a fourni des renseignements confidentiels de Statistique Canada à eHealth, malgré le fait qu'aucune disposition dans les AGPD ne permettait un tel transfert. Le Ministère avait pris cette décision parce qu'il était tenu par la loi d'utiliser les services de eHealth pour la gestion des données et le couplage des enregistrements. eHealth assume la gestion de toutes les données sur la santé du Ministère, et en vertu de l'entente sur les FSGI, elle n'utilise pas ces données sur la santé à ses propres fins.

Il est nécessaire de renforcer les pratiques d'administration et de gestion des accords sur le partage de données à Statistique Canada

Conformément à la Directive sur les accords de partage de données en vertu des articles 11 et 12, la section des Services d'accès aux données de la DSS tient à jour un registre de contrôle des personnes-ressources indiquant la province, les coordonnées de la personne-ressource officielle et son adresse du Système de transfert électronique de fichiers (STEF), ainsi que la date de confirmation de ces renseignements. La section tient également à jour un registre de contrôle des transmissions indiquant les noms de l'enquête et du fichier correspondant, la période de référence couverte, le mot de passe, l'emplacement, le nom du destinataire, la date d'expédition et la date de réception confirmée.

L'examen du registre de contrôle des personnes-ressources a révélé qu'on indiquait seulement un « administrateur d'entrepôt de données » en tant que personne-ressource officielle et destinataire du STEF à eHealth, avec comme suppléant un autre employé du groupe chargé de l'entrepôt de données à eHealth. Le registre ne contenait aucune date permettant de confirmer à quel moment l'information avait été actualisée.

L'examen du registre de contrôle des transmissions et des interviews menées au sein de la section des Services d'accès aux données ont révélé que même après le transfert du groupe chargé de l'administration des entrepôts de données du Ministère à eHealth en 2010, la section des Services d'accès aux données ne faisait pas de distinction entre les deux organisations et par conséquent elle a continué à transmettre des renseignements confidentiels de Statistique Canada aux deux personnes-ressources figurant dans le registre de contrôle, bien que ces dernières ne soient plus des employés du Ministère, mais plutôt des employés de eHealth. En vertu des modalités des AGPD conclus avec le Ministère, les renseignements confidentiels de Statistique Canada doivent être transmis directement à l'administrateur de données désigné du Ministère.

Il faut préciser les responsabilités de l'administrateur de données stipulées dans l'APD pour la gestion des APD de Statistique Canada

Au Ministère, la responsabilité fonctionnelle de l'administration et de la gestion des renseignements confidentiels de Statistique Canada (réception, manipulation, stockage et transmission des données) incombe au directeur de la Health Information Policy and Legislation Division, Risk and Relationship Management Branch, qui est l'administrateur de données désigné pour le Ministère.

En vertu de l'accord général, l'administrateur de données doit mettre en œuvre les trois exigences clés suivantes :

Préparer un document sur la confidentialité

Conformément à l'Annexe C de l'AGPD, l'administrateur de données doit

« préparer un document à l'intention des employés et des sous-traitants de la partie destinataire dans lequel on décrit les modalités régissant l'usage des renseignements, ainsi que les procédures à respecter pour envoyer, recevoir, manipuler et stocker les renseignements (ci-après appelés le « document sur la confidentialité ») ».

Avant d'accorder un accès à des renseignements de Statistique Canada, l'administrateur de données doit s'assurer que tous les employés et sous-traitants qui doivent accéder à ces renseignements a convenu par écrit de respecter les modalités de l'APD, en reconnaissant par leur signature qu'ils ont lu et compris les modalités de l'APD telles qu'elles sont stipulées dans le document sur la confidentialité et qu'ils s'engagent à les respecter.

L'audit a constaté qu'un document sur la confidentialité a été rédigé, mais qu'il n'a pas été signé par les employés et les sous-traitants du Ministère qui ont accès à des renseignements confidentiels de Statistique Canada.

Créer un registre des fichiers de données

Il incombe à l'administrateur de données de tenir à jour un registre de tous les fichiers de données reçus de Statistique Canada, contenant les informations suivantes : date de réception, nom du fichier et période de référence, nom de l'employé qui a reçu le fichier, nom de l'employé de Statistique Canada qui a envoyé le fichier, nom de l'employé responsable de la garde du fichier, date de destruction du fichier ou de son retour à Statistique Canada.

L'audit a constaté qu'un gabarit avait été créé pour cette fonctionnalité, toutefois il a été laissé vide et ne comportait aucune liste de tous les fichiers de données reçus de Statistique Canada.

Créer un registre des accès aux fichiers de données

Il incombe à l'administrateur de données de tenir à jour un registre de toutes les personnes auxquelles on a accordé l'accès aux fichiers de données reçus de Statistique Canada par le Ministère, contenant les informations suivantes : nom du fichier et année de référence, nom de l'employé ou du sous-traitant à qui on a accordé l'accès, justification de l'accès, nom du gestionnaire délégué qui a autorisé l'accès et date de l'autorisation, dates de début et de fin de la période pendant laquelle l'accès est autorisé.

L'audit a constaté qu'un gabarit avait été créé pour cette fonctionnalité, toutefois il a été laissé vide et ne comportait aucune liste de toutes les personnes auxquelles on a accordé un accès aux fichiers de données reçus de Statistique Canada.

De plus, on a créé un document User Guidelines for Selected Survey [Lignes directrices pour les enquêtes sélectionnées] qui rappelle les modalités des APD conclus par Statistique Canada et le Ministère en matière de partage de données, d'usage des renseignements, d'accès aux renseignements, de partage avec des tierces parties, de surveillance et de respect des modalités, cependant ce document n'a jamais été diffusé.

Un contrat conclu entre le Ministère et une organisation provinciale de recherche ne comportait pas de clause d'audit comme l'exige les modalités des APD

Les clauses touchant la surveillance sont prescrites par Statistique Canada dans les AGPD. Les AGPD stipulent que Statistique Canada sera

« en droit, s'il le juge nécessaire, d'effectuer un examen de conformité au présent accord ».

Les APD stipulent de plus que les accords que le Ministère conclut avec des tiers

« doivent comporter une clause stipulant le droit de Statistique Canada ou du Ministère (l'organisation réceptrice) de vérifier la conformité aux modalités du présent accord ».

Le Ministère a conclu des accords-cadres sur le partage des données avec les treize RSS de la Saskatchewan, et les annexes sur le partage de données qui les accompagnent comprennent une clause d'audit. Aussi, une clause d'audit est incluse dans l'entente sur les FSGI conclue avec eHealth, et eHealth a collaboré avec le Ministère et Statistique Canada pour vérifier la conformité aux modalités des AGPD. Cependant, aucune clause d'audit n'était incluse dans un contrat de recherche conclu entre le Ministère et une organisation provinciale de recherche.

Recommandations :

Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit s'assurer de ce qui suit :

• Les données de Statistique Canada sont transmises directement à l'administrateur de données du Ministère, en conformité avec les modalités des APD.

Réponse de la direction :

La direction souscrit à la recommandation formulée.

• Le directeur de la DSS confirmera l'identité et les coordonnées de l'administrateur de données désigné au ministère de la Santé de la Saskatchewan et actualisera les deux formulaires de transmission de données (qui doivent être remplis lorsque des fichiers statistiques confidentiels sont transmis à des partenaires récepteurs externes). Il s'agit du Formulaire 1 – Accusé de réception du transfert pour le directeur et du Formulaire 2 – Accusé de réception du transfert par une tierce partie.
  
  Produits livrables et échéancier : Les formulaires 1 et 2 doivent être actualisés d'ici avril 2014.

Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail doit communiquer avec le Ministère pour s'assurer de ce qui suit :

• L'administrateur de données au Ministère vérifie la conformité à toutes les exigences des APD : signature d'un document sur la confidentialité par les employés et les sous-traitants avant tout accès aux données de Statistique Canada; création et tenue à jour d'un registre des fichiers de données reçus de Statistique Canada; création et tenue à jour d'un registre de toutes les personnes auxquelles on a accordé un accès à ces fichiers de données.
• Une clause d'audit est incluse dans tous les accords et contrats conclus par le Ministère avec des tierces parties, en conformité avec les modalités des APD.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

• Le statisticien en chef adjoint enverra une lettre au ministère de la Santé de la Saskatchewan, décrivant les exigences de l'accord sur le partage de données et rappelant le rôle et les responsabilités de l'administrateur de données. De plus, la lettre exigera une copie du document sur la confidentialité du Ministère, une copie du registre rempli des fichiers de données reçus de Statistique Canada ainsi qu'une copie du registre rempli des personnes auxquelles on a accordé un accès à des fichiers de données de Statistique Canada.
  
  Produits livrables et échéancier : La lettre doit être préparée et envoyée d'ici mai 2014. Dans le cadre du processus de la DSS en matière de surveillance continue des accès, la DSS demandera au Ministère de lui fournir, tous les six mois, une copie de son registre courant des accès aux données.
• Le directeur de la DSS demandera des copies des gabarits des accords avec les tierces parties du Ministère, les examinera afin de confirmer leur conformité avec les modalités de l'accord de partage de données, et informera le Ministère de toute lacune constatée. Les données d'enquêtes sur la santé de Statistique Canada ne seront communiquées qu'une fois que le directeur de la DSS aura soigneusement examiné les gabarits proposés d'accords avec les tierces parties et sera satisfait qu'ils respectent les modalités de l'AGPD. La haute direction de Statistique Canada sera informée une fois que la conformité des gabarits aura été confirmée.
  
  Produits livrables et échéancier : La demande doit être envoyée d'ici mai 2014, et l'examen doit être exécuté immédiatement à la réception des gabarits des accords avec les tierces parties.

Il est nécessaire d'apporter des améliorations à la gestion et à la manipulation des renseignements confidentiels de Statistique Canada au Ministère et à eHealth

Au Ministère :

L'administration opérationnelle et la gestion des APD incombent au directeur de la Health Information Policy and Legislation Division, Risk and Relationship Management Branch, au Ministère – soit l'administrateur de données désigné pour les renseignements confidentiels de Statistique Canada. Un analyste principal des politiques relevant du directeur est responsable de l'administration quotidienne des APD. Les entrevues ont révélé qu'il y a eu un taux de roulement important au sein de ce groupe au cours des deux dernières années, à la fois au niveau du directeur (trois directeurs en deux ans) et à celui des analystes. De plus, l'analyste principal des politiques était en congé prolongé pendant notre audit. Le directeur exerçait les deux fonctions et a confirmé que les rôles et responsabilités associés au poste de l'analyste n'étaient pas documentés. L'absence de rôles et responsabilités clairement documentés et communiqués et le roulement important des employés accroissent le risque que des processus inefficaces et inefficients soient appliqués à la gestion des données.

À eHealth Saskatchewan :

Dans le cadre de l'audit, on a exécuté une revue générale des processus et procédures de réception, de stockage et de transmission des fichiers de données de Statistique Canada. On a constaté l'existence d'instructions détaillées en matière de réception, de stockage et de transmission des données, et que ces instructions sont mises en application par deux employés du groupe chargé de l'administration des entrepôts de données. L'audit a constaté que les employés comprennent leurs rôles et responsabilités, toutefois ces derniers n'ont pas été documentés ni communiqués.

Un examen du dossier informatique où sont conservés les fichiers de données originaux chiffrés de Statistique Canada reçus via le STEF a révélé que les fichiers de données sont téléchargés dans le système d'analyse statistique et sur les serveurs de bases de données de eHealth, et que leur ouverture nécessite un mot de passe distinct du mot de passe utilisé pour ouvrir une session sur le réseau. L'audit a constaté que le groupe chargé de l'administration des entrepôts de données tient à jour des fichiers journaux de tous les renseignements reçus de Statistique Canada et transmis à des tierces parties. Les journaux électroniques indiquent les titres des fichiers envoyés, leur destinataire, le nom et les coordonnées de la personne-ressource ainsi que la date d'envoi.

Les entrevues ont révélé que le groupe chargé de l'administration des entrepôts de données partage des renseignements sur la santé de Statistique Canada avec des destinataires internes ou externes seulement après avoir obtenu l'approbation de l'administrateur de données. Cependant, il n'y avait aucune preuve de telles approbations puisqu'elles sont obtenues de manière informelle.

Le partage de renseignements avec des tierces parties par le Ministère n'est pas toujours conforme aux exigences des APD

Le Ministère peut accorder à des tierces parties un accès à des renseignements confidentiels provenant d'enquêtes sur la santé de Statistique Canada conformément aux cinq dispositions suivantes :

1. Des chercheurs avec lesquels le Ministère sous-traite directement en vue d'obtenir un produit ou un service lié aux enquêtes dont lui seul sera le destinataire.
2. Une autre organisation qui a conclu un APD avec Statistique Canada pour la même enquête et pour les mêmes années de référence de l'enquête.
3. eHealth en vertu de la Health Information Protection Act, Lois de la Saskatchewan, 1999 aux fins de la prestation de services d'informatique et du regroupement de dossiers contenant des renseignements personnels sur la santé, à la condition que le Ministère sous-traite directement eHealth pour la prestation d'un produit ou service lié à une enquête au seul bénéfice du Ministère et en application de son mandat.

Le Ministère n'avait conclu aucun contrat avec des chercheurs ni avec aucune organisation qui avait conclu un APD avec Statistique Canada. Une entente sur les FSGI avait été conclue avec eHealth.

4. Des instituts de recherche universitaires ou provinciaux/territoriaux avec lesquels il sous-traite directement en vue d'obtenir un produit ou un service lié aux enquêtes dont il sera le seul destinataire.

L'audit a constaté que le Ministère avait conclu un contrat avec une organisation provinciale de recherche. L'audit a noté que l'une des exigences stipulées dans l'APD pour l'établissement d'un contrat avec une organisation provinciale de recherche est :

« La partie destinataire peut accorder l'accès aux renseignements à un institut ou organisation de recherche reconnu, pourvu qu'un consentement exprès écrit ait été obtenu auprès de Statistique Canada avant que l'entente contractuelle n'ait été formalisée entre la partie destinataire et l'institut ou organisation de recherche ».

Les entrevues ont révélé que le Ministère n'avait pas obtenu le consentement exprès écrit de Statistique Canada pour ce contrat.

Depuis, la DVI a fourni une copie du contrat à la DSS pour examen. La DVI a été informée par la DSS qu'elle aurait donné son consentement écrit au Ministère pour le contrat existant, puisqu'il satisfait aux exigences nécessaires en matière de confidentialité et à toutes les exigences de Statistique Canada. La DVI a examiné l'un des fichiers avec l'organisation provinciale de recherche et a constaté qu'aucun identifiant personnel n'avait été partagé avec l'organisation, ce qui est conforme à l'APD.

5. Treize RSS en Saskatchewan. Cependant, les résultats des enquêtes sur la santé de Statistique Canada peuvent seulement être communiqués aux RSS si les répondants avaient été avisés que leurs réponses seraient fournies aux RSS dans leur province de résidence. Autrement, une RSS peut uniquement travailler sous contrat pour le Ministère pour produire un produit ou service lié aux enquêtes dont seul le Ministère sera le destinataire.

L'audit a constaté que le ministère de la Santé de la Saskatchewan a conclu des accords-cadres sur le partage des données avec les RSS de la Saskatchewan, pour une période de cinq ans qui peut être prolongée sur une base mensuelle, à moins que l'accord ne soit résilié. L'examen de l'accord-cadre sur le partage des données a révélé qu'il établit les conditions administratives régissant le partage de données avec les RSS.

L'une des conditions administratives de l'accord-cadre sur le partage des données stipule qu'avant que les données ne puissent être partagées avec une RSS,

« il faut soumettre par écrit une demande de données distincte au moyen d'un document nommé "annexe sur le partage de données" qui doit indiquer que l'accord a été établi conformément à l'accord-cadre sur le partage des données et qu'il entrera en vigueur seulement au moment de son exécution par le personnel autorisé des deux parties ».

Lorsque l'accès à des renseignements confidentiels de Statistique Canada doit se faire dans les locaux d'une RSS, cette dernière doit signer une annexe sur le partage de données qui reflète les modalités des APD de Statistique Canada en matière de : accès, usage et sécurité des renseignements partagés; confidentialité; partage avec une tierce partie; sécurité matérielle et sécurité des TI. Cette approche respecte les exigences des APD stipulant que

« les RSS doivent s'engager dans une entente écrite ou un contrat à respecter les modalités de l'APD conclu avec Statistique Canada, et à mettre en œuvre les mesures de sécurité nécessaires décrites à l'Annexe A de l'APD conclu avec Statistique Canada ».

L'audit a constaté qu'en 2013, six fichiers de données de Statistique Canada partagés par le Ministère ont été consultés dans les bureaux de trois RSS, toutefois aucune annexe sur le partage des données n'avait été établie ni conclue avec les RSS par le Ministère. La DVI a examiné l'un des fichiers partagés avec l'une des RSS et a constaté qu'aucun identifiant personnel n'avait été partagé, conformité avec les APD.

Recommandations :

Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail, doit communiquer avec le Ministère pour s'assurer de ce qui suit :

• Il faut documenter les rôles et responsabilités en matière de gestion et de manipulation des renseignements provenant d'enquêtes sur la santé de Statistique Canada, et les communiquer aux employés à la fois au Ministère et à eHealth.
• Le Ministère doit conserver dans ses dossiers les approbations formelles permettant à eHealth de partager des données avec des tierces parties.
• Il faut établir des annexes sur le partage de données avec les RSS, en conformité avec les exigences du Ministère en vertu de son accord-cadre sur le partage des données et des APD de Statistique Canada.
• Il faut obtenir le consentement exprès écrit auprès de Statistique Canada avant d'établir un contrat avec un institut provincial ou une organisation de recherche reconnus.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

• Le statisticien en chef adjoint enverra une lettre au ministère de la Santé de la Saskatchewan, pour obtenir la liste des employés du Ministère et de eHealth qui ont accès à des renseignements provenant d'enquêtes sur la santé de Statistique Canada, ainsi que leurs rôles et responsabilités en matière de manipulation de renseignements de Statistique Canada. Aussi, la lettre visera à obtenir le plan du Ministère pour la documentation et la communication des rôles et responsabilités en matière de gestion et de manipulation des renseignements provenant d'enquêtes sur la santé de Statistique Canada.
• On demandera au Ministère d'établir des annexes sur le partage de données avec les régions socio-sanitaires de manière à régir le partage de renseignements provenant d'enquêtes sur la santé de Statistique Canada, en conformité avec les exigences du Ministère stipulées dans son accord-cadre sur le partage des données et avec les APD de Statistique Canada, et de fournir des copies des annexes à la DSS.
• Le statisticien en chef adjoint rappellera la responsabilité pour le Ministère de conserver en dossier les approbations formelles consenties et d'obtenir le consentement exprès écrit de la DSS avant la conclusion de tout contrat avec un institut ou organisation de recherche provincial reconnu.
  
  Produits livrables et échéancier : La lettre doit être préparée et envoyée d'ici mai 2014. On demandera des copies de toutes les annexes sur le partage de données conclues avec des régions socio-sanitaires pour le partage de renseignements provenant d'enquêtes sur la santé de Statistique Canada.

L'accès matériel est sécurisé

Le groupe chargé de l'administration des entrepôts de données à eHealth est hébergé dans les mêmes installations que le Ministère. Une inspection matérielle du site du Ministère a révélé que l'accès matériel aux bureaux du Ministère est sécurisé par des portes verrouillées munies d'un lecteur de cartes où les employés doivent présenter leur carte d'accès pour entrer. Les visiteurs doivent signer le registre à la réception et sont escortés en tout temps.

Le stockage matériel des renseignements de Statistique Canada est sécurisé

Les données de Statistique Canada sont conservées dans le système de TI protégé de eHealth (serveurs d'entreposage de données). Les serveurs de eHealth sont installés dans une installation de 1 800 pieds carrés située dans un immeuble distinct dont la sécurité est assurée 24 heures sur 24, 7 jours sur 7. L'accès à la salle des serveurs sécurisée est uniquement accordé aux membres autorisés du personnel de eHealth. Aucun accès n'est accordé à des invités. Les visiteurs doivent signer le registre à la réception et sont escortés en tout temps par des personnes autorisées. Les murs, le plancher et le plafond de la salle des serveurs sont protégés par un treillis métallique, et des caméras installées dans la salle permettent de vérifier les entrées et les accès aux serveurs. Les bandes vidéo sont conservées pendant quatre-vingt-dix jours, et le directeur vérifie le journal des accès tous les mois.

L'accès réseau aux fichiers de données de Statistique Canada ne respecte pas le cadre des politiques du Ministère et de eHealth, ni les modalités des APD

Les privilèges d'accès au réseau sont obtenus via le service de dépannage de eHealth. Les employés de eHealth doivent remplir un formulaire d'obtention de compte réseau pour accéder aux réseaux et doivent obtenir l'approbation de leur gestionnaire. Le gestionnaire doit remplir un formulaire similaire lorsqu'il faut retirer les privilèges d'accès d'un employé au moment de la modification de ses fonctions ou de son licenciement.

Les modalités des APD stipulent que l'accès à des renseignements confidentiels de Statistique Canada au Ministère doit être accordé uniquement en fonction du besoin de savoir aux employés dont les responsabilités nécessitent un tel accès en vue de satisfaire aux besoins du Ministère en matière de statistiques et de recherche. De plus, l'entente sur les FSGI conclue entre le Ministère et eHealth stipule que

« eHealth peut accéder aux renseignements et les utiliser sur la base d'un besoin de savoir tel qu'autorisé expressément par le Ministère à la seule fin de remplir ses obligations en vertu de l'accord ».

L'audit a vérifié cette exigence en déterminant qui avait des privilèges d'accès au dossier dans lequel les fichiers de données de Statistique Canada sont stockés, l'objet des accès et leur fréquence. Deux employés du groupe chargé de l'administration des entrepôts de données à eHealth assument la responsabilité directe des fichiers de données de Statistique Canada, ce qui implique la réception et le stockage des données et leur transmission aux utilisateurs internes et externes. Cependant, l'accès au serveur de bases de données sur lequel les fichiers de données de Statistique Canada sont conservés était accordé aux sept employés du groupe chargé de l'administration des entrepôts de données à des fins de formation par rotation de postes et de sauvegarde.

L'article 8.1.1 du Cadre de la politique de sécurité du Ministère stipule :

« un employé d'un sous-traitant du ministère de la Santé doit signer une entente sur la confidentialité avant de pouvoir prodiguer des services au ministère de la Santé ».

Cette exigence est distincte du document sur la confidentialité stipulé dans les AGPD qui doit être rempli par l'administrateur de données avant qu'un accès ne soit accordé aux données de Statistique Canada.

L'audit a constaté que les sept employés du groupe chargé de l'administration des entrepôts de données, qui étaient des employés antérieurs du Ministère et étaient maintenant des employés de eHealth et prodiguaient des services au Ministère n'avaient pas signé d'entente sur la confidentialité avec le Ministère.

Des mesures de sécurité sont en place pour la protection de l'identification et de l'authentification, des systèmes de stockage Ti et de la transmission des données

Après des essais, l'audit a révélé que les fichiers de données sont gérés au moyen de règles de configuration des serveurs et d'accès aux répertoires chez eHealth, de manière à s'assurer que l'accès est limité aux seules personnes qui ont été autorisées. Les fichiers de données sont reçus directement de Statistique Canada via le STEF, et sont conservés sur un serveur de bases de données. Des contrôles d'accès logique sont en place au niveau des dispositifs pour tous les postes de travail, et au niveau des systèmes pour tous les serveurs de bases de données. Les données ne sont pas conservées sur des postes de travail individuels. eHealth transmet les données aux utilisateurs externes via un protocole sécurisé de transfert de fichiers, selon lequel les fichiers de données sont compressés et protégés par mots de passe avant d'être chiffrés.

Des mesures de sécurité sont en place pour la copie et la rétention des renseignements et la gestion des enregistrements

Les renseignements conservés sur les serveurs de bases de données sont sauvegardés quotidiennement sur des bandes chiffrées qui sont elles-mêmes conservées hors-site dans un immeuble sécurisé pendant trente jours avant d'être transférées dans les installations hors-site d'une entreprise privée. L'examen du Cadre de la politique de sécurité de eHealth et du Ministère a révélé que leurs politiques sur la sécurité interdisent la transmission de données par télécopieur ou par courriel, ainsi que le stockage des données sur des dispositifs transportables (CD-ROM, clé USB, disque dur, ordinateur portable). Les données ne doivent pas quitter les lieux, sauf dans les situations de transfert à des tierces parties et de transfert aux installations hors-site de l'entreprise privée, et ne doivent pas être copiées. On utiliser les services d'une entreprise privée de déchiquetage pour la destruction sécurisée des renseignements confidentiels.

Recommandations :

Le statisticien en chef adjoint (SCA) pour le Secteur de la statistique sociale, de la santé et du travail, doit communiquer avec le Ministère pour s'assurer de ce qui suit :

• L'accès aux données de Statistique Canada chez eHealth est limité à certains employés en fonction du « besoin de savoir », en conformité avec les modalités des APD et avec l'entente sur les FSGI conclue entre le Ministère et eHealth.
• Les employés d'un sous-traitant du ministère de la Santé qui prodigue des services au ministère de la Santé doit signer l'entente du Ministère sur la confidentialité, en conformité avec son Cadre de la politique de sécurité.

Réponse de la direction :

La direction souscrit aux recommandations formulées.

• Le statisticien en chef adjoint enverra une lettre au ministère de la Santé de la Saskatchewan pour lui rappeler que l'accès aux données de Statistique Canada chez eHealth doit être limité à certains employés en fonction du « besoin de savoir », en conformité avec les modalités des APD et avec l'entente sur les FSGI conclue entre le Ministère et eHealth.
• On rappellera de plus au Ministère la nécessité de faire signer l'entente sur la confidentialité par tous les sous-traitants, et on lui demandera de confirmer que tous les sous-traitants ont signé l'entente sur la confidentialité.
  
  Produits livrables et échéancier : La lettre sera préparée et envoyée d'ici mai 2014, et la confirmation que tous les sous-traitants ont bien signé l'entente sur la confidentialité doit être envoyée à la DSS d'ici juin 2014.
  
  Dans le cadre de son processus de surveillance continue des accès, la DSS demandera au Ministère de lui fournir tous les six mois la liste des employés du Ministère et de eHealth qui ont accès aux renseignements provenant d'enquêtes sur la santé de Statistique Canada, avec leurs rôles et responsabilités.

La gestion des microdonnées fiscales à Statistique Canada

L'assurance de la conformité aux conditions du PE est une responsabilité qui est partagée entre la DDF, les divisions clientes à l'étendue de Statistique Canada et les divisions fournissant des services à l'échelle de l'organisme.

Rôles et responsabilités

Les rôles et les responsabilités de chaque entité peuvent être résumés comme suit :

• La DDF est responsable de fournir aux divisions des programmes à l'étendue de Statistique Canada l'accès aux bases de données fiscales et d'encourager et de faciliter l'utilisation accrue de microdonnées fiscales. La DDF est également responsable d'assurer la sécurité des microdonnées fiscales à Statistique Canada.
• La Direction de l'informatique est responsable de la mise en œuvre de la Politique sur la sécurité informatique, de la sélection et de l'évaluation des produits de sécurité informatique en vue d'une mise en œuvre à l'échelle de l'organisme, de la sensibilisation des employés à la sécurité informatique et de la prestation de conseils aux divisions au sujet des exigences en matière de sécurité informatique du PE.
• La Division de la gestion de l'information est responsable de la protection générale des renseignements et du cadre stratégique en matière de sécurité.
• Les divisions clientes utilisant des microdonnées fiscales sont responsables et imputables de veiller à ce que les exigences en matière de sécurité physique et informatique soient respectées au sein de la division. La DDF délègue également la responsabilité de la conformité aux exigences de sécurité du PE aux directeurs des divisions. Les responsabilités suivantes sont déléguées : exigences relatives au traitement informatique et au stockage des fichiers; exigences relative au marquage, au stockage, à l'effacement et à la destruction de documents et de médias informatiques; et exigences relatives à la transmission électronique et au transport.

Politiques et directives

Statistique Canada dispose de plusieurs politiques et directives pertinentes qui s'appliquent au traitement des microdonnées fiscales :

• Directive sur la sécurité des renseignements statistiques de nature délicate;
• Politique sur la sécurité informatique;
• Manuel des pratiques de sécurité;
• Politique d'utilisation du réseau;
• Directive sur la gestion des fichiers de microdonnées statistiques.

Gestion du risque

En vertu des politiques du Conseil du Trésor, les programmes gouvernementaux doivent cerner les risques susceptibles d'entraver la réalisation des objectifs, évaluer les contrôles existants en place et trouver des stratégies d'atténuation visant à réduire les risques.

Au niveau opérationnel, le Groupe de planification du projet des données fiscales comprend les chefs de la DDF et tient compte des risques relatifs à la protection et à la confidentialité des microdonnées fiscales, ainsi que de la conformité de la DDF au PE conclu avec l'ARC. La DDF documente ses risques au moyen du document organisationnel Registre des risques. La DDF a tenu compte des sources externes et internes des risques et documenté les détails de ses stratégies d'atténuation des risques, de ses plans d'action dans la perspective de la qualité et de l'actualité des produits livrés, ainsi que de la sécurité des microdonnées fiscales.

Exigences de sécurité

En vertu du PE, Statistique Canada doit informer les utilisateurs de microdonnées fiscales des exigences de sécurité. La DDF communique avec les divisions clientes afin de s'assurer que ces dernières comprennent leurs responsabilités relatives à la sécurité des microdonnées fiscales.

Deux documents sont distribués aux utilisateurs de microdonnées fiscales des divisions clientes avant que l'accès soit accordé : la liste de contrôle de la DDF pour l'accord d'utilisation et les pratiques exemplaires contient une liste des exigences et des pratiques en matière de sécurité pour maintenir la confidentialité des microdonnées fiscales, qui respectent et dans certains cas, dépassent les exigences indiquées dans les conditions du PE. De plus, le directeur de la DDF envoie des rappels annuels aux directeurs des divisions clientes pour leur rappeler leurs responsabilités à l'égard des données fiscales. Le Protocole en cas d'atteinte portée aux renseignements et à la protection de la vie privée de Statistique Canada définit ce qui est considéré comme une atteinte à la protection des renseignements et énonce clairement que si l'atteinte met en cause des microdonnées fiscales, le directeur de la DDF doit être prévenu. Aucun incident ne mettant en cause des microdonnées fiscales traitées par des divisions clientes n'a été signalé.

Utilisations autorisées et emplacement

Le directeur (DDF) est responsable de surveiller l'emplacement et les utilisations des données fiscales au sein de Statistique Canada.L'annexe C-1 du PE mentionne une piste de vérification qui exige la conservation des renseignements suivants : les personnes autorisées à accéder aux microdonnées fiscales et à les utiliser, la période pendant laquelle cette autorisation est accordée et l'objectif et l'identification des fichiers de microdonnées fiscales dont l'accès doit être accordé.

Afin de gérer l'accès aux microdonnées fiscales, la DDF fait la distinction entre deux types d'utilisateurs :

• Les utilisateurs principaux sont ceux qui accèdent à des fichiers de microdonnées fiscales originaux détenus par la DDF. Seuls les employés qui présentent une demande à titre d'utilisateurs principaux peuvent accéder aux fichiers fiscaux de la DDF. Le système contrôle efficacement l'accès à ces fichiers et tient à jour des listes complètes des employés autorisés à accéder aux fichiers détenus par la DDF.
• Les utilisateurs secondaires sont les employés qui accèdent aux fichiers créés et conservés à l'extérieur des serveurs de la DDF et qui contiennent des microdonnées fiscales exportées des fichiers fiscaux originaux de la DDF. L'accès aux fichiers obtenus est contrôlé par les divisions clientes au moyen de permissions d'accès aux fichiers approuvées par les directeurs des divisions, et activées par la Division des opérations des technologies de l'information (DOTI). Le PE attribue la responsabilité d'autoriser les demandes d'accès aux microdonnées fiscales détenues à la DDF au directeur de la DDF. La Directive sur la SRSND attribue la responsabilité d'autoriser l'accès aux microdonnées fiscales détenues à l'extérieur de la DDF aux directeurs des divisions. Cette situation respecte l'exigence du PE.

La DDF utilise le système organisationnel appelé SDAD pour gérer et contrôler l'accès aux fichiers de produits de la DDF. Le SDAD est utilisé par la DDF pour tenir une piste de vérification sur : les personnes autorisées à accéder aux renseignements sur les contribuables; l'identification des fichiers de données qui doivent être accessibles; l'utilisation et l'objectif prévus; et la période pendant laquelle l'autorisation est accordée. Un essai a été effectué pour vérifier l'efficacité des processus de révocation et de réaffectation lorsque des employés quittent l'organisme ou changent de division. Les résultats révèlent que les accès sont rapidement révoqués. Le SDAD est un outil efficace pour répondre aux exigences du PE à cet égard.

Production de rapports

Conformément au PE, le directeur de la DDF est responsable de produire des rapports périodiques au statisticien en chef adjoint (SCA), Secteur de l'informatique et de la méthodologie sur l'emplacement et les utilisations des données fiscales à Statistique Canada.

Comme susmentionné, la DDF utilise le SDAD pour surveiller les utilisateurs primaires et secondaires dans le cadre de son processus de reddition de comptes au SCA, en fonction de leur accès direct aux fichiers fiscaux originaux de la DDF ou de leur accès à un fichier dérivé créé à partir d'un fichier de la DDF. Le PE n'exige pas que cette distinction soit faite.

Les rapports au SCA comprennent de l'information sur les autorisations d'accès actif et sont produits tous les mois et tous les trimestres, comme suit :

• Tableau 1 : Rapport d'accès aux fichiers de données fiscales par type d'utilisation – usager primaire;
• Tableau 2 : Rapport du nombre total d'usagers uniques primaires des fichiers de données fiscales par division;
• Tableau 3 : Rapport d'accès aux fichiers de données fiscales par type d'utilisation – usager secondaire;
• Tableau 4 : Rapport du nombre total d'usagers uniques secondaires des fichiers de données fiscales par division;
• Tableau 5 : Rapport du nombre total d'usagers uniques pour les fichiers de données fiscales par division;
• Tableau 6 : Rapport des dix plus grands utilisateurs des divisions;
• Tableau 7 : Rapport des utilisateurs par divisions– le trimestre courant et précédent.

La DDF surveille efficacement l'emplacement et les utilisations des microdonnées fiscales détenues par la division et fait des comptes rendus au SCA.

Les politiques de Statistique Canada permettent aux divisions clientes de créer des fichiers supplémentaires à partir des fichiers de microdonnées fiscales originaux. La responsabilité de protéger la confidentialité de cette information a été déléguée aux utilisateurs clients. Les directeurs de ces divisions sont habilités à approuver l'accès aux microdonnées fiscales contenues dans les fichiers conservés dans leur secteur de compétence. La Directive sur la SRSND exige que les directeurs des divisions fassent « annuellement état de l'emplacement, des utilisateurs et de l'utilisation des microdonnées fiscales fournies par d'autres divisions au directeur de la DDF ». La nécessité pour les directeurs des divisions de faire des comptes rendus annuels à la DDF ne cadre pas avec les rapports mensuels et trimestriels au SCA exigés à l'heure actuelle. La direction de la DDF a confirmé que les divisions clientes n'ont pas fourni l'information requise de façon régulière ou constante, ce qui ne répond pas aux exigences de la Directive.

Bien que la DDF soit en mesure de faire des comptes rendus sur l'emplacement et les utilisations des microdonnées fiscales qu'elle détient, il existe une lacune pour ce qui est des rapports sur l'emplacement et les utilisations des microdonnées fiscales détenues à l'extérieur de la DDF. Par conséquent, un segment des emplacements et des utilisateurs des renseignements fiscaux n'est pas déclaré au SCA comme l'exige le PE.

Registres d'accès

La clause 30 du PE stipule que l'ARC et Statistique Canada doivent s'assurer de la conservation et de la prestation sur demande d'une piste de vérification pour tous les accès aux renseignements fournis en vertu du PE. Dans le contexte de la protection de la sécurité des renseignements, une « piste de vérification » se définit comme un registre chronologique se rapportant à la sécurité indiquant qui a accédé à un système informatique et quelles opérations cette personne a exécutées pendant une période donnée, ce qui apporterait des preuves documentaires d'une séquence d'activités.

D'après les entrevues réalisées auprès des employés et des gestionnaires de la DDF, ainsi que du personnel de la DOTI, des registres d'accès réels aux fichiers fiscaux de la DFF et aux fichiers connexes stockés à l'étendue de l'organisme ne sont pas conservés. La direction de la DDF a déclaré comprendre que les exigences de la piste de vérification décrites à l'annexe C-1 (c.-à-d. qui est autorisé à accéder aux renseignements sur les contribuables; l'identification des fichiers de données qui doivent être accessibles; l'utilisation et objectifs prévus; et la période pendant laquelle l'autorisation est accordée) étaient suffisantes pour répondre aux exigences de la clause 30 du PE. Le PE n'est pas clair en ce qui concerne l'objectif prévu de cette exigence, sa portée et son étendue et la période de conservation pendant laquelle les registres d'accès devraient être tenus à jour.

Le partage de microdonnées fiscales avec d'autres ministères fédéraux et organismes statistiques des territoires et des provinces

Le PE conclu avec l'ARC permet à Statistique Canada de conclure des ententes avec des CS provinciaux et des ministères et organismes du gouvernement du Canada pour l'utilisation de renseignements sur les contribuables pour leur secteur de compétence. Les CS sont des organismes qui jouent à peu près le même rôle que Statistique Canada pour ce qui est de la collecte et de la prestation de produits statistiques à l'échelon provincial et sont assujettis à des lois provinciales similaires à la Loi sur la statistique. Ces organismes sont préapprouvés par l'ARC en vertu de la clause 11 du PE. Statistique Canada a conclu des ententes avec huit (8) CS. Les procédures pour obtenir des permissions et des registres d'autorisation des directeurs sont en place pour le transfert d'information aux CS et à trois ministères et organismes du gouvernement fédéral. L'autorisation est documentée et étayée officiellement dans les ordonnances de divulgation signées par le statisticien en chef.

Un échantillon de trois ententes a été sélectionné au hasard et passé en revue pour déterminer si les dispositions du PE concernant l'utilisation et la protection de ce genre de renseignement sont respectées. Les résultats ont révélé que dans chaque cas, l'entente établissait les modalités relatives à l'utilisation, à la divulgation, à la conservation et à la destruction de renseignements fiscaux conformément aux conditions stipulées dans le PE. L'exigence relative à la déclaration d'incidents de sécurité suspectés ou avérés mettant en cause des microdonnées fiscales fait partie des ententes écrites avec des organismes externes auxquels Statistique Canada fournit les renseignements confidentiels ou sur les contribuables obtenus en vertu du PE. Aucun incident mettant en cause des clients externes n'a été signalé.

Recommandations :

Le SCA du Secteur des études analytiques, de la méthodologie et de l'infrastructure, doit veiller à l'exécution des tâches suivantes :

• Mettre en place des mécanismes pour s'assurer que le SCA est informé de l'emplacement et des utilisations des renseignements fiscaux détenus dans les divisions clientes à l'étendue de Statistique Canada.
• Demander des précisions à l'ARC quant à la portée et à l'étendue d'une piste de vérification de tous les accès à l'information fournie en vertu du PE, et prendre des mesures appropriées pour mettre en œuvre l'exigence.

Réponse de la direction :

La direction accepte les recommandations.

• Le directeur de la DDF mettra en œuvre un processus de production de rapports pour veiller à ce que les utilisations et les utilisateurs secondaires des renseignements fiscaux soient fournis à la DDF et surveillés par cette dernière. Les renseignements pertinents seront intégrés aux rapports réguliers au SCA sur l'utilisation des données fiscales.
  
  Résultats attendus et calendrier : Système de demande d'accès de l'organisme (SDAO). Mise en œuvre prévue d'ici à juin 2014.
• Le directeur de la DDF discutera avec l'ARC et lui demandera des précisions.
  
  Résultats attendus et calendrier : Confirmation de l'intention de la clause 30 du PE en ce qui concerne les exigences d'information. Nota : Au cas où les précisions donneraient lieu à des exigences d'information différentes, un plan d'action pour la mise en œuvre sera élaboré pour assurer la conformité. Risques – coûts, collaboration de Services partagés Canada (SPC). Discussion à venir d'ici à décembre 2013. Mise en œuvre d'ici à septembre 2014.

Objectif 2 : Les renseignements sont utilisés, divulgués, conservés et détruits conformément aux modalités et aux conditions décrites dans le PE.

Respect des lignes directrices de la DDF et du PE

La liste de contrôle des pratiques exemplaires de la DDF comporte 11 éléments, qui ont trait à la sécurité physique et informatique. L'équipe de l'audit a passé en revue plusieurs pratiques et outils de sécurité essentiels en place pour ce qui est de l'utilisation, de la divulgation, du stockage et de la destruction des microdonnées fiscales. Les 33 employés répondaient aux exigences suivantes, ce qui répond aux exigences du PE ou les dépasse :

• Utilisation d'armoires de rangement sécurisées prévues par la Sécurité du Bureau;
• Accès à des imprimantes qui répondent aux exigences de confidentialité;
• Utilisation de déchiqueteuses approuvées prévues par la Sécurité du Bureau;
• Verrouillage de l'accès à l'ordinateur avant de quitter son poste de travail.

Des entrevues ont également été réalisées avec le personnel de la Technologie de l'information (TI) affecté au soutien de la DFF, l'équipe de la Sécurité des TI, les employés du réseau à SPC en affectation à Statistique Canada, l'équipe du SDAD et les directeurs de quatre (4) divisions clientes. Les exigences suivantes se rapportant à l'infrastructure de TI de Statistique Canada répondaient aux exigences du PE :

• Les serveurs renfermant des microdonnées fiscales délicates sont limités à un réseau fermé sécurisé (réseau A);
• Les serveurs n'ont pas de capacités de communication sans fil;
• Les serveurs sont conservés dans le centre de données sécurisé et sont gérés par l'équipe des TI/SPC;
• La politique de Statistique Canada sur les mots de passe s'applique au niveau du réseau. Les configurations relatives à la durée de vie des mots de passe et aux normes ont été mises à l'essai, et les mesures de contrôle en place répondent aux exigences du PE;
• Les pratiques pour l'utilisation du protocole de TEF répondent aux exigences du PE;
• Le logiciel Entrust est utilisé pour le préchiffrement des fichiers avant l'envoi par TEF;
• Les postes de travail sont livrés sans capacité sans fil et, lorsqu'il y a lieu, les capacités de communication sans fil des ordinateurs portatifs sont désactivées. Les ordinateurs portatifs pouvant être empruntés dans la réserve commune ont l'accès sans fil, mais ne peuvent pas se connecter au réseau A.

L'audit a conclu que dans certains cas, l'utilisation de dossiers partagés pour diffuser des données fiscales à d'autres employés n'était pas bien contrôlée et permettait l'accès non autorisé aux microdonnées fiscales.

Les employés des divisions clientes utilisent des dossiers partagés pour partager des microdonnées fiscales et y accéder. Cette pratique est conforme aux ententes d'utilisation de la DDF, à condition que ces dossiers partagés soient réservés aux utilisateurs autorisés seulement, avant d'être déclarés à la DDF. Dans ses ententes avec les divisions clientes, cette pratique est recommandée pour partager des fichiers renfermant des microdonnées fiscales, comme solution de rechange à l'utilisation de support de stockage amovible avec chiffrement.

L'équipe de l'audit a sélectionné deux fichiers créés par une division cliente et testé l'efficacité d'utiliser des dossiers partagés pour diffuser des microdonnées fiscales à d'autres employés de la division et à d'autres divisions. Les résultats ont permis de constater que ces deux dossiers n'étaient pas limités aux utilisateurs autorisés seulement. Bon nombre des employés ayant accès à ces deux dossiers partagés n'étaient pas indiqués dans les listes de la DDF des utilisateurs secondaires autorisés. Les fichiers renfermant des microdonnées fiscales étaient stockés dans les dossiers partagés existants à la division, au lieu d'être conservés dans des dossiers partagés créés spécifiquement pour les utilisateurs autorisés des microdonnées fiscales.

Bien que cette pratique fasse en sorte que les microdonnées fiscales restent dans un réseau fermé sécurisé et sont limitées aux employés de Statistique Canada en tout temps, le stockage de microdonnées fiscales dans des dossiers partagés accessibles à tous les employés d'une division ne limite pas l'accès aux utilisateurs autorisés seulement en cas de besoin absolu, comme l'exige le PE.

Des vulnérabilités ont également été relevées pendant l'audit et pourraient présenter un risque pour la confidentialité des microdonnées fiscales :

Ports USB actifs

L'équipe de l'audit a cerné des vulnérabilités relatives à la protection des microdonnées fiscales associées aux ports USB actifs sur les ordinateurs des utilisateurs de microdonnées fiscales.

Bon nombre d'employés ont indiqué qu'ils apportent des clés USB personnelles au travail et qu'ils transfèrent parfois de la musique, des photos et d'autres renseignements personnels à leur ordinateur de bureau. Un petit nombre d'utilisateurs ont déclaré utiliser les clés USB fournies par la division pour transporter des présentations électroniques, en précisant toutefois qu'aucunes microdonnées fiscales ne sont stockées dans ces clés. Certains utilisateurs ont également dit brancher leur téléphone cellulaire au port USB de leur ordinateur pour le charger. Ces appareils ont une grande capacité de stockage électronique et pourraient permettre aux utilisateurs d'y stocker des renseignements confidentiels. Les téléphones intelligents ont également un accès au réseau public sans fil, qui pourrait être activé pendant l'utilisation sur le réseau A.

Dans un environnement de travail électronique, où la gestion de gros ensembles de données est essentielle, l'accès à des ports USB actifs ouvre la porte à l'enlèvement de renseignements confidentiels des locaux de Statistique Canada, d'une manière intraçable et indétectable.

Dès que les renseignements confidentiels quittent le réseau fermé de Statistique Canada, ils ne peuvent plus être protégés. La Direction de l'informatique est en train d'examiner des solutions potentielles pour éliminer les risques associés aux ports USB actifs.

Période de conservation et destruction des microdonnées fiscales

Le PE exige la destruction des microdonnées fiscales qui ne sont plus nécessaires. Cependant, le PE ne précise pas de lignes directrices en ce qui concerne la façon de déterminer l'utilité des microdonnées. En fait, les microdonnées fiscales pourraient être conservées indéfiniment, puisqu'elles pourraient être utiles pour des études à venir.

La Directive sur la gestion des fichiers de microdonnées statistiques s'applique à tous les fichiers qui renferment des renseignements délicats, y compris les microdonnées fiscales. D'après la Directive, les fichiers de microdonnées fiscales tombent dans la catégorie des fichiers administratifs, qui ont une période de conservation de cinq ans. En avril 2013, la DDF a présenté une proposition pour demander une exemption de la conservation des fichiers de microdonnées fiscales, comme stipulé dans la Directive. La DDF a proposé que les fichiers fiscaux reçus de l'ARC soient considérés comme des fichiers de collecte, et dans certains cas, comme des fichiers principaux, ce qui pourrait prolonger leur période de conservation pour une période indéterminée.

La DDF reconnaît qu'il y a lieu de déterminer les périodes de conservation et les procédures de destruction des fichiers de microdonnées fiscales.

Recommandations :

Le SCA du Secteur des études analytiques, de la méthodologie et de l'infrastructure, doit veiller à l'exécution des tâches suivantes :

• Les dossiers partagés utilisés par les divisions clientes pour diffuser des microdonnées fiscales à d'autres employés de Statistique Canada sont réservés aux utilisateurs autorisés selon le principe du besoin de connaître et déclarés à la DDF;
• Les risques associés aux ports USB actifs sur les ordinateurs des utilisateurs de microdonnées fiscales sont considérés et gérés;
• Statistique Canada établit des périodes de conservation claires pour les fichiers qui contiennent des microdonnées fiscales.

Réponse de la direction :

La direction accepte les recommandations.

• Le directeur de la DDF mettra en œuvre un processus de production de rapports pour s'assurer que les utilisations et les utilisateurs secondaires des renseignements fiscaux seront fournis à la DDF et surveillés par cette dernière. Les renseignements pertinents seront intégrés aux rapports réguliers présentés au SCA. Le processus d'accès doit répondre au principe du besoin de connaître, selon la définition des rôles.
  
  Réalisations attendues et calendrier : La production de rapports sera incluse dans les conditions d'utilisation des données fiscales. Mise en œuvre prévue d'ici à janvier 2014. Système de demande d'accès de l'organisme (SDAO). Mise en œuvre prévue d'ici à septembre 2014.
• Le directeur de la DDF élaborera les conditions d'utilisation des données fiscales dans le contexte des pratiques de sécurité de l'organisme en ce qui concerne les appareils de stockage portatifs communiquées clairement aux programmes au moyen des données fiscales.
  
  Réalisations attendues et calendrier : Les lignes directrices révisées à l'intention des divisions utilisatrices de données incluront les conditions d'utilisation et l'attestation du directeur. Mise en œuvre prévue d'ici à janvier 2014.
• Le directeur de la DDF et du Secrétariat des données administratives (SDA) et le directeur de la Division de la gestion de l'information veilleront à ce que la Directive sur la gestion des fichiers de microdonnées statistiques soit révisée de manière à fournir des lignes directrices claires sur le traitement de tous les fichiers de données administratives.
  
  Réalisations attendues et calendrier : Mise à jour de la Directive sur la gestion des fichiers de microdonnées statistiques. Mise en œuvre prévue d'ici à juin 2014.

Orientation stratégique et supervision

Il existe un cadre de supervision et d'orientation stratégique en rapport à la gestion et au traitement des APD à l'échelle des opérations et à l'échelle de Statistique Canada.

L'orientation et la supervision générales sont assurées par le Comité de coordination de la sécurité. Celui-ci examine l'ensemble des propositions de transmissions électroniques avant leur approbation finale par le Comité des politiques. Le nouveau Comité de gouvernance sur la diffusion par transfert de fichiers électroniques, créé par la Division de la diffusion à l'été 2012, offre une orientation stratégique au niveau opérationnel. Ce comité a pour mandat d'établir des normes uniformes pour l'ensemble des données confidentielles d'entrée et de sortie et d'approuver la diffusion des données d'enquête régies par un APD. Il est actif dans l'approbation de la publication des données d'enquête depuis 2012.

Rôles et responsabilités

Division de la gestion de l'information et autres intervenants

La responsabilité principale de la mise en œuvre de la Directive revient au directeur de la Division de la gestion de l'information (DGI). Les responsabilités des autres intervenants figurent également dans la Directive, comme celles des directeurs des programmes statistiques, des gestionnaires de la sécurité physique et informatique, des statisticiens en chef adjoints, du statisticien en chef, du dirigeant principal de la vérification, et des chefs des organisations qui reçoivent des données de la part de Statistique Canada en vertu d'un APD. La fonction de surveillance doit être partagée entre la DGI et les gestionnaires des programmes statistiques.

L'audit a révélé que, bien qu'un grand nombre de responsabilités décrites dans la Directive aient été mises en œuvre par la DGI, il y a certains articles qui n'ont pas encore été mis en place ni appliqués. L'actuelle base de données de la DGI, les Services d'accès et de contrôle des données (SACD), a des fonctions limitées de capacité, de configuration et de rapports pour maintenir les renseignements que doivent obligatoirement fournir les divisions sur le statut des APD et les données partagées en vertu d'un APD. Le défaut de mettre en œuvre et d'appliquer les exigences stipulées dans la Directive augmente le risque que ne soient pas atteints les objectifs de la Directive et les résultats attendus.

Programmes statistiques

Les rôles et responsabilités de la mise en œuvre et de la gestion opérationnelles des accords de partage de données en vertu des articles 11 et 12 reviennent aux directeurs des programmes statistiques. L'article 6.2 et les annexes B et C de la Directive décrivent en détail les exigences et les processus que doivent observer le directeur et le gestionnaire opérationnel d'un programme statistique. Par conséquent, chaque directeur est responsable de veiller à ce que sa division se conforme aux exigences de la Directive. En établissant les rôles et responsabilités à l'égard de la préparation des renseignements statistiques, Statistique Canada, par ses Lignes directrices concernant la qualité, recommande que la certification ou la validation soient séparées, de sorte que la validation soit effectuée par les personnes qui n'ont pas pris part à la production ni à la préparation des données.

On a observé lors des entrevues que chaque division s'est dotée d'une structure selon sa taille et son volume d'activité d'APD. Dans les divisions où l'on observait peu d'activité d'APD, seulement une ou deux personnes effectuent l'ensemble des tâches liées à la gestion des APD et à la diffusion et à la transmission des données, tandis que les divisions où l'on remarque un volume élevé d'activité d'APD font appel à plusieurs employés. Certaines divisions où l'on observe un volume élevé d'activité d'APD misent sur un processus décentralisé où chaque unité exerce elle-même ses fonctions de gestion, de diffusion et de transmission des données, tandis que d'autres divisions ont choisi de centraliser ces fonctions à l'intérieur de la division par souci d'efficacité et d'uniformité.

L'audit a révélé que peu importe la taille ou la structure de la division, ou le volume d'activité d'APD, les rôles des employés qui prennent part aux APD ont évolué au fil du temps, plutôt que d'être formellement définis, et que ces rôles sont en majeure partie bien exécutés. Cependant, on remarque une absence de séparation de fonctions incompatibles dans certaines divisions. Qu'une division ait centralisé ou décentralisé ses fonctions d'APD, il y a des cas où le même employé préparait et transmettait un fichier partagé sans vérification ni approbation indépendante. La séparation des tâches est un contrôle interne clé pour prévenir les erreurs non intentionnelles et veiller à la détection rapide des erreurs susceptibles de se produire.

Technologie de l'information

La principale responsabilité du groupe de la TI relativement à la gestion des APD est la transmission sécurisée des données par voie de transfert de fichiers électroniques, le mécanisme général utilisé par Statistique Canada pour transmettre des renseignements protégés. Les exigences des utilisateurs par rapport à ce mécanisme sont décrites dans un guide intitulé Système de transfert de fichiers électroniques— Guide de l'utilisateur interne de StatCan (le Guide). En raison de la nature technique du guide, celui-ci n'est pas maintenu dans le site intranet et est distribué principalement aux divisions qui ont reçu la formation sur le transfert de fichiers électroniques. En raison des contraintes de temps et d'une augmentation de la demande de transferts de fichiers électroniques, ce ne sont pas toutes les divisions qui ont reçu cette formation.

L'audit a révélé que, bien que les rôles et responsabilités des utilisateurs du système de transfert de fichiers électroniques soient décrits dans le Guide, ceux de la Division des systèmes de collecte (DSC), de la Division de la planification et de la gestion de la collecte (DPGC) et de la Division des opérations de la technologie de l'information (DOTI) ont besoin d'éclaircissements. Les entrevues ont révélé qu'il existe à Statistique Canada un manque de clarté sur la responsabilité opérationnelle officielle du système de transfert de fichiers électroniques, notamment la fonction de formation. Au cours des deux dernières années, certains services ont été transférés de la DSC à la DPGC, et d'autres, comme la prestation des services et la formation, que l'on planifiait transférer, ne l'ont pas encore été.

Le manque de clarté entourant le processus de transferts de fichiers électroniques s'est traduit par un modèle incohérent pour les programmes statistiques. Certains ne sont pas encore configurés pour le transfert de fichiers électroniques, et d'autres sont préoccupés par la nature chronophage et la complexité du processus de configuration du système. Au moment de l'audit, la DSC et la DPGC prévoyaient se réunir pour déterminer la marche à suivre. Un manque de clarté sur la propriété opérationnelle du service de transfert électronique fait en sorte que les utilisateurs ne comprennent pas parfaitement leurs tâches, si bien que les processus sont appliqués de façon inefficace et inefficiente.

Lignes directrices concernant la gestion des accords de partage de données

À Statistique Canada, les lignes directrices et l'orientation sur le traitement et la gestion des accords de partage de données sont contenues dans plusieurs textes législatifs et instruments de politique. Il s'agit des suivants :

• La Directive concernant le partage de données en vertu des articles 11 et 12, qui propose des lignes directrices sur l'élaboration, la mise en œuvre, la gestion et la surveillance des accords de partage de données.
• La Loi sur la statistique, la Loi sur la protection des renseignements personnels, la Politique sur les évaluations des facteurs relatifs à la vie privée, la Politique d'information des répondants aux enquêtes, la Politique sur la sécurité des renseignements statistiques de nature délicate, la Politique sur la sécurité informatique, la Politique sur la diffusion des microdonnées, la Politique sur la révélation discrétionnaire, et le Manuel des pratiques de sécurité, qui proposent des lignes directrices sur la confidentialité des APD, et les exigences de diffusion et de transmission.
• La Politique sur la diffusion officielle indique le moment où les renseignements peuvent être rendus publics et dans quelles conditions, par rapport à la date précisée dans Le Quotidien, le véhicule officiel de diffusion des données de Statistique Canada, de même que les circonstances dans lesquelles les renseignements peuvent être publiés avant la date de diffusion officielle dans Le Quotidien.

L'audit a révélé que les utilisateurs ont du mal à suivre et à rassembler les renseignements contenus dans les nombreux instruments de politique. Parfois, les consignes données dans les nombreux instruments de politique se chevauchent, sans que rien n'indique clairement quel instrument a préséance sur les autres. Cette situation, combinée au manque de clarté découlant de la terminologie juridique et non définie, crée des inefficacités opérationnelles, car les utilisateurs font souvent appel aux divisions spécialisées pour obtenir des précisions, comme la DGI, la TI, les Communications et la Diffusion. Par exemple, un examen de la Directive daté du 15 mai 2013 a révélé qu'il n'y avait pas de section sur les modifications récentes attribuables à la mise en œuvre le 1er avril 2013 de deux nouveaux formulaires : le formulaire 1 — Confirmation de transfert par les directeurs, qui doit être signé par le directeur d'un programme statistique chaque fois que des renseignements doivent être communiqués avec un partenaire, et le formulaire 2 — Confirmation de transfert par les partenaires externes, qui doit être signé par le partenaire et renvoyé à Statistique Canada dès la réception des données partagées. Les entrevues ont révélé que les utilisateurs n'avaient été mis au courant que récemment des nouveaux formulaires, et la plupart d'entre eux ont indiqué qu'ils avaient communiqué ou qu'ils entendaient communiquer avec la DGI pour obtenir des précisions et de plus amples renseignements sur les nouvelles exigences.

On connaît la Directive et la Politique sur la diffusion officielle, mais on n'est pas familier avec la totalité de leur contenu. Les utilisateurs s'inquiètent de la formation limitée sur le processus d'APD et sur les exigences de la Directive et de la Politique sur la diffusion officielle. La DGI a donné une formation pilote sur les contrôles de la divulgation des renseignements confidentiels à l'été 2013 à certains groupes (à l'échelle des directeurs), et prévoit offrir cette formation aux divisions à compter de l'automne 2013. La Division des communications a aussi programmé des séances d'information en octobre 2013 pour le personnel de Statistique Canada sur la mise à jour de la Politique sur la diffusion officielle.

Procédures et processus documentés pour la gestion des APD

Chaque division s'est dotée, selon ses besoins respectifs, de pratiques qui, pour la plupart, fonctionnent bien. Pour certaines divisions, la transmission de données au moyen d'un APD est peu fréquente, par exemple, une fois par année, une fois par deux ans, voire une fois par dix ans. Dans ces cas, les cadres et les membres du personnel ont indiqué qu'ils se fiaient normalement beaucoup à la DGI et/ou à la TI pour les aider à franchir les étapes nécessaires. Les autres divisions transmettent des données régulièrement, notamment chaque trimestre, chaque mois, voire chaque semaine. Généralement, ces employés, surtout ceux qui occupent leur poste depuis de nombreuses années, ont indiqué qu'ils connaissent passablement bien le processus, si bien qu'ils n'auraient pas besoin d'un processus documenté.

La Division de la fabrication et de l'énergie (DFE), qui mise sur un volume important d'APD, s'est dotée de procédures et de processus minutieusement documentés. Elle a centralisé la section de la diffusion pour créer une capacité permanente à l'aide d'employés formés et d'expérience. Elle a créé un document Excel stocké sur un lecteur partagé dans lequel on décrit les procédures spécifiques de partage de données de différents types selon plusieurs formes d'APD. Ce mécanisme aide l'expert en la matière à consulter facilement les procédures et à informer dès le départ le partenaire de ce qui peut être partagé ou non, donc à promouvoir une meilleure relation avec le partenaire.

Une feuille de travail récapitulative décrit les règles et les exigences pour chaque type d'APD (c.-à-d. les articles 11, 12, 12+) et les travaux en cours (TEC) ou les autres publications anticipées. On y trouve également des hyperliens vers d'autres feuilles de travail, dans lesquelles on décrit les règles propres à chaque situation.

On utilise des feuilles de travail séparées pour maintenir un inventaire des APD pour les enquêtes de la DFE par année, et un inventaire des TEC de la DFE par année et en cours, ou pour un statut ponctuel. Une liste de contrôle appelée Liste de contrôle pour les demandes de chiffrement doit être remplie par l'analyste avant d'être soumise à la section de la diffusion pour demander le chiffrement et le transfert de fichiers électroniques de données au partenaire. La section de la diffusion traite le transfert et maintient un journal de chiffrement de données pour répondre aux exigences de la Directive. Un document, Procédures — transmission des fichiers, présente les étapes détaillées de préparation d'un fichier à transmettre, accompagné de copies d'écran d'Entrust pour le chiffrement et la protection par mot de passe des fichiers, de même que les étapes à suivre pour préparer et partager des fichiers de données par voie électronique ou sur CD.

Des procédures et processus documentés clairement aideraient les programmes statistiques à établir des pratiques uniformes pour la gestion des APD et la diffusion et la transmission de données confidentielles. Les processus documentés sont particulièrement utiles lorsqu'il y a du roulement personnel et réduiraient le recours accru des divisions à la TI et à la DGI lorsque les transmissions de données sont peu nombreuses et espacées, ce qui rendrait les processus plus efficients. Les responsables des programmes statistiques pour lesquels on n'a pas documenté de processus pourraient envisager d'élaborer les leurs en mettant à profit et en adaptant les procédures et processus documentés de la DFE pour répondre aux pratiques et aux besoins respectifs de leur programme.

Activités de surveillance

La Section des ententes statistiques, des dispositions législatives et de l'octroi de licences (ESDLOL) de la DGI a la responsabilité fonctionnelle de la gestion des APD en vertu des articles 11 et 12 de la Loi sur la statistique et doit tenir compte des autorisations légales données par le statisticien en chef pour la collecte et la diffusion des renseignements confidentiels. Les secteurs de programmes statistiques se fient à l'ESDLOL pour maintenir un inventaire de leurs accords de partage de données et leur fournir les renseignements dont ils ont besoin pour gérer leurs responsabilités vis-à-vis des APD.

L'ESDLOL utilise la base de données des Services d'accès et de contrôle des données (SACD) pour maintenir un inventaire de l'ensemble des accords de partage de données actuellement valides signés par Statistique Canada en vertu des articles 11 et 12.

Dans le cadre de l'audit, on a remarqué qu'il n'y avait pas d'inventaire des APD valides en vertu des articles 11 et 12 signés par Statistique Canada à un moment bien précis dans le temps et qu'il n'y a pas d'analyse ni de comparaison continue des renseignements contenus dans la base de données avec les APD actuels. La DGI a reçu l'approbation pour le renouvellement de la base de données des SACD dans le cadre du processus de planification à long terme de Statistique Canada. L'initiative de renouvellement s'amorcera en avril 2014.

L'annexe C de la Directive sur la surveillance des accords de partage de données présente les grandes lignes des responsabilités liées à la surveillance de la conformité aux APD pour veiller à ce qu'une diligence raisonnable soit exercée et à ce que les exigences légales soient respectées, en particulier à l'égard de la protection de la confidentialité et des renseignements donnés par les répondants. La Directive stipule que la DGI et les responsables des programmes statistiques se partagent la responsabilité de la surveillance des APD. La section 6.1.10 et l'annexe B présentent les étapes à suivre pour la modification, le renouvellement ou la clôture d'un APD actuel en vertu de l'article 12, de même que les responsabilités relatives à la surveillance des limitations de la durée des APD, et informe les gestionnaires de programme sur les accords dont la date de clôture approche (au moins tous les six mois).

L'audit a révélé que 317 APD sur 495 (64 %) en vertu de l'article 12 ne sont pas actifs, mais que les données partagées en vertu de ces APD appartiennent toujours aux partenaires, et qu'ils ne sont pas considérés comme « actifs » du point de vue juridique. Ces modèles d'APD n'avaient pas de date de clôture définie, comparativement aux APD s'appuyant sur le nouveau modèle (en date de 2010), pour lesquels on précise une période de clôture au bout de six ans. La majorité de ces APD appartiennent à deux divisions. Les entrevues avec les directeurs de ces divisions ont révélé que ceux-ci n'étaient pas au courant du grand nombre d'anciens APD dans leur division, ni du statut de ces APD, et ne pouvaient pas dire clairement quelles étaient les attentes à leur égard quant à la gestion et l'examen continu du statut des APD, ni à la façon de procéder pour exécuter cette tâche.

L'audit a permis de conclure qu'il existe un manque de surveillance et d'analyse continue du statut des APD. Cette situation augmente le risque d'incapacité de déceler les cas d'atteinte à la vie privée imputables aux exigences stratégiques et législatives des APD et le risque de défaut de mettre en œuvre des mesures correctives rapides et efficaces.

Recommandations

Le statisticien en chef adjoint, Secteur des études analytiques, de la méthodologie et de l'infrastructure, doit s'assurer que :

• la séparation des tâches liées à la préparation et à l'approbation des données à transmettre est effectuée, lorsque c'est possible;
• les instruments de gouvernance liés à la gestion et à l'application des APD font l'objet de recoupements et indiquent quelle politique prévaut sur une autre en cas de chevauchement, par souci de compréhension uniforme et d'application efficace des exigences des APD;
• la pertinence continue de l'inventaire actuel des APD en vertu de l'article 12 fait l'objet d'une évaluation, et les exigences de la Directive relatives au partage de renseignements, à la surveillance et à l'examen continu du statut des APD se font régulièrement et conformément à la Directive concernant le partage de données en vertu des articles 11 et 12.

Réponse de la direction

La direction accepte les recommandations.

• Le directeur de la DGI fournira des lignes directrices et des exigences pour les programmes de partage de données sur la gestion des APD, y compris la séparation des tâches lorsque cela est possible, dans le contexte de la gestion des accords de partage de données. Les directeurs des programmes d'APD seront responsables de veiller à la mise en œuvre.
  
  Produits livrables et échéancier : On préparera une trousse d'APD d'ici mars 2014.
• Le directeur de la DGI procédera à un examen des instruments de gouvernance utiles pour veiller à la clarté de la formulation et établir des précédents au besoin.
  
  Produits livrables et échéancier : Des mises à jour de la suite de politiques de Statistique Canada et de la trousse d'APD seront produites d'ici décembre 2014.
• Le directeur de la DGI établira et mettra en place un processus d'examen régulier et continu des APD en vertu de l'article 12 et mettra en œuvre des modifications au système d'accès et de contrôle des données (SACD) pour faciliter l'examen, la surveillance et l'évaluation.
  
  Produits livrables et échéancier : Mettre en œuvre un processus d'examen régulier et continu des APD en vertu de l'article 12 d'ici janvier 2014. Mettre en œuvre des modifications au système d'accès et de contrôle des données (SACD) d'ici décembre 2015.

Recommandation

Le statisticien en chef adjoint, Opérations et communications, doit s'assurer que :

• la gouvernance relative au système de transfert de fichiers électroniques est clarifiée.

Réponse de la direction

La direction accepte la recommandation.

• La Directive sur la transmission de renseignements protégés sera renforcée et communiquée aux gestionnaires de l'ensemble des organisations par le directeur de la Division de la diffusion et le directeur de la DGI.
  
  Produits livrables et échéancier : Mise à jour de la Directive sur la transmission de renseignements protégés d'ici le 31 décembre 2013.
• Toutes les exemptions de l'utilisation du système de transfert de fichiers électroniques seront désormais approuvées par le Comité de coordination de la sécurité.
  
  Produits livrables et échéancier : LeComité de coordination de la sécurité élaborera une stratégie de communication pour informer les gestionnaires de StatCan des modifications à la Directive sur la transmission de renseignements protégés et du processus de demande d'exemption. Cette tâche sera effectuée d'ici janvier 2014.

Objectif 2 : Les accords de partage de données à Statistique Canada font l'objet d'une gestion interne garantissant leur conformité aux politiques du SCT, aux politiques de Statistique Canada, ainsi qu'aux exigences législatives.