Rapport de vérification

Date du rapport :  Décembre 2011
Numéro de projet : 80590-66 ( Document (PDF, 482 Ko) )

• Sommaire exécutif
  • Principales constatations
  • Conculsion générale
  • Conformité aux normes professionnelles
• Introduction
  • Contexte
  • Objectifs de la vérification
  • Portée
  • Approche
  • Autorité
• Constatations, recommandations et réponses de la direction
• Administration des contrats de recherche pour l'utilisation de microdonnées et analyse des risques de divulgation
• Sécurité matérielle
• Sécurité des technologies de l'information
• Annexe
  • Annexe A : Critères de vérification

Sommaire exécutif

Les Centres de données de recherche (CDR) de la région des Prairies sont constitués d'un laboratoire principal situé dans la bibliothèque McKimmie, Université de Calgary (centre de données de recherche d'attache), et à l'Université de Lethbridge (succursale). Ils fournissent des services à environ 122 chercheurs qui travaillent à 51 projets en moyenne chaque mois. Les chercheurs universitaires ont accès à 191 ensembles de données différents de Statistique Canada.

Les mesures de sécurité qui sont mises en œuvre dans les CDR de la région des Prairies doivent permettre d'assurer la confidentialité des données, dans la même mesure que dans les bureaux de Statistique Canada.

Les objectifs de la vérification sont de fournir au statisticien en chef et au Comité ministériel de vérification l'assurance que les CDR de l'Université de Calgary et de l'Université de Lethbridge :

• disposent de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services.
• respectent les politiques et normes pertinentes du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services.

La vérification a été effectuée par les Services de vérification interne, en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Les rôles et responsabilités sont définis et communiqués dans les domaines suivants : contrats de recherche pour l'utilisation de microdonnées (CRM), analyse des risques de divulgation, sécurité matérielle et sécurité des technologies de l'information (TI) dans les CDR. Les pouvoirs sont officiellement délégués au niveau du programme et des opérations. Des processus et procédures sont en place pour l'analyse des risques de divulgation, et les demandes d'analyse des risques de divulgation sont administrées et évaluées avec soin par l'analyste du CDR, afin de veiller à ce que la confidentialité des données ne soit pas compromise. Des mesures de sécurité matérielle et d'accès aux TI pertinentes, ainsi que des mesures de protection de l'identification et de l'authentification, sont en place et sont appliquées pour la sauvegarde et la protection des données confidentielles de Statistique Canada. L'accès aux CDR de la région des Prairies est limité au personnel autorisé, c'est à dire les personnes réputées être employées, comme les chercheurs et le personnel de soutien des TI des universités.

La vérification a révélé que les chercheurs ont accès aux CDR et aux fichiers de microdonnées avant que la cote de sécurité soit reçue de la Sécurité ministérielle (SM) et qu'il y existe un malentendu entre le Programme des CDR et la SM concernant la procédure pour le traitement des formulaires d'autorisation de sécurité classifiés et le contrôle des cotes de sécurité. La vérification a révélé que les gains d'efficacité pourraient être maximisés grâce à l'amélioration de la gestion et de l'inventaire des données administratives sur les projets de recherche à la Division de l'accès aux microdonnées (DAM) du bureau central (BC).

L'évaluation des mesures de protection des systèmes et des communications a révélé qu'il existe des possibilités de renforcer l'environnement informatique, grâce à la désactivation de tous les ports de bus série universel (USB) des postes de travail autonomes et à la réduction du délai de fermeture automatique de session des postes de travail.

Conclusion générale

Les mesures de sécurité matérielle et d'accès aux TI, ainsi que les mesures de protection de l'identification et de l'authentification, sont conformes aux politiques et normes pertinentes du SCT et de Statistique Canada. Des processus et des procédures sont en place pour l'analyse des risques de divulgation, et les demandes d'analyse des risques de divulgation sont administrées et évaluées avec soin par l'analyste du CDR, afin de veiller à ce que la confidentialité des données ne soit pas compromise.

Les résultats de la vérification proposent des possibilités d'amélioration des pratiques et des mécanismes en place pour que la confidentialité des données soit protégée lors de la prestation des services. Les domaines à améliorer sont les suivants : 1) désactivation des ports USB et réduction du délai de fermeture automatique de session des postes de travail autonomes; 2) chercheurs autorisés à accéder aux CDR et aux fichiers de microdonnées uniquement après réception de la cote de sécurité de la SM; 3) consultation avec la SM pour clarifier la procédure pour le traitement des formulaires d'autorisation de sécurité classifiés et le contrôle des cotes de sécurité; 4) maximisation des gains d'efficacité grâce à l'amélioration de la gestion et de l'inventaire des données administratives sur les projets de recherche à la DAM du BC.

Conformité aux normes professionnelles

Cette mission de vérification est conforme aux Normes internationales pour la pratique professionnelle de l'audit interne et aux Normes de vérification internes du gouvernement du Canada. Des tests suffisants ont été effectués pour appuyer les constatations et les recommandations connexes.

Patrice Prud'homme
Dirigeant principal de la vérification
Services de vérification interne, Statistique Canada

Introduction

Contexte

Les décideurs doivent avoir une compréhension à jour et approfondie de la société canadienne, non seulement pour répondre aux besoins de l'heure, mais aussi pour prévoir les besoins futurs. Cela entraîne une demande croissante à l'égard des produits analytiques découlant des riches sources de données recueillies par Statistique Canada.

En 1998, dans le cadre de l'Initiative canadienne sur les statistiques sociales, on a examiné les défis auxquels fait face la collectivité des chercheurs au Canada. Dans son rapport sur l'avancement de la recherche utilisant les statistiques sociales, le groupe de travail national recommandait notamment de créer des installations de recherche pour améliorer l'accès des chercheurs universitaires aux fichiers de microdonnées de Statistique Canada.

Les CDR font partie d'une initiative de Statistique Canada, du Conseil de recherches en sciences humaines (CRSH), des Instituts de recherche en santé du Canada (IRSC) et de consortiums d'universités, en vue de renforcer la capacité du Canada dans le domaine de la recherche sociale et d'appuyer la collectivité de chercheurs stratégiques. Le CRSH est l'organisme fédéral qui assure la promotion et le soutien de la recherche universitaire et de la formation en sciences sociales et humaines. Les IRSC sont le principal organisme fédéral chargé du financement de la recherche en santé au Canada.

Au total, 24 CDR sont installés dans un environnement protégé sur les campus universitaires et permettent aux chercheurs d'accéder à des microdonnées découlant d'enquêtes sur la population et auprès des ménages. Les chercheurs n'ont pas à se rendre à Ottawa pour accéder aux microdonnées de Statistique Canada. Il existe aussi un Centre fédéral de données de recherche à Ottawa, qui permet aux chercheurs d'avoir accès aux microdonnées de ministères stratégiques fédéraux.

Le CDR de la région des Prairies a ouvert ses portes en 2001 et est situé dans l'immeuble de la bibliothèque du campus de l'Université de Calgary. Il s'agit d'un établissement de taille moyenne, ouvert à temps plein, qui comporte 14 postes de travail qui sont mis à la disposition des chercheurs pour leurs recherches, du lundi au vendredi, de 8 h 30 à 16 h 30. On y retrouve un analyste de Statistique Canada à temps plein et un à temps partiel. En octobre 2010, une succursale de CDR a été inaugurée dans l'immeuble de la bibliothèque du campus de l'Université de Lethbridge. Tous les nouveaux emplacements de CDR sont d'abord des succursales d'un centre existant et demeurent ainsi jusqu'à ce que leur niveau d'activité justifie leur transformation en centre à part entière. La succursale de CDR compte un adjoint statistique à temps partiel de Statistique Canada, qui est chargé d'assurer la sécurité pendant les heures d'ouverture, soit 12,5 heures par semaine, et travaille en collaboration avec les analystes de l'Université de Calgary, qui est le CDR d'attache.

Les CDR de la région des Prairies sont exploités en vertu des dispositions de la Loi sur la statistique et sont administrés en conformité avec toutes les règles de confidentialité. Ils ne sont accessibles qu'aux chercheurs dont les projets ont été approuvés et qui ont prêtés serment en vertu de la Loi sur la statistique, en tant que personnes réputées être employées.

Objectifs de la vérification

Les objectifs de la vérification sont de fournir au statisticien en chef et au Comité ministériel de vérification l'assurance que les CDR de l'Université de Calgary et de l'Université de Lethbridge :

• disposent de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services.
• respectent les politiques et normes pertinentes du SCT et de Statistique Canada concernant la sécurité des technologies de l'information (TI) et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services.

Portée

La portée de la présente vérification comprenait un examen des systèmes et des pratiques des CDR de la région des Prairies, à l'Université de Calgary et à l'Université de Lethbridge, dans le contexte de la protection des données, de l'utilisation des technologies et de la sécurité matérielle.

La vérification a été axée sur l'analyse des risques de divulgation et le contrôle de confidentialité des données par les employés de Statistique Canada sur place, le statut de personne réputée être employée et les exigences en matière d'autorisation de sécurité pour l'accès aux microdonnées, le processus de propositions de recherche des CDR, les contrats de recherche pour l'utilisation de microdonnées, la sécurité matérielle des emplacements de CDR, conformément aux politiques et normes pertinentes du SCT ou de Statistique Canada, et la protection des TI, conformément aux politiques et normes pertinentes du SCT et de Statistique Canada.

Approche

Le travail sur le terrain a été exécuté en deux étapes : la première étape a consisté à passer en revue et à évaluer les processus et procédures relatifs à la sécurité matérielle, à l'utilisation des technologies et à la protection des données. La deuxième étape a pris la forme de visites sur place dans les CDR de la région des Prairies, afin de vérifier les contrôles de protection des fichiers de microdonnées, y compris l'accès logique et les contrôles de sécurité informatique, et de mener des tests de conformité des centres, afin d'évaluer les mesures de sécurité matérielle en place.

Autorité

La vérification a été menée en vertu du Plan pluriannuel de vérification axé sur les risques de Statistique Canada, pour 2011–2012 et 2013–2014, approuvé au mois de mars 2011 par le Comité ministériel de vérification.

Constatations, recommandations et réponses de la direction

Champ d'enquête n^o 1 : Les Centres de données de recherche disposent de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services au Centres de données de recherche régional.

Administration des contrats de recherche pour l'utilisation de microdonnées et analyse des risques de divulgation

Administration des contrats de recherche pour l'utilisation de microdonnées

L'administration des contrats de recherche pour l'utilisation de microdonnées (CRM) c'est à dire le contrôle et la protection des données désignées conservées dans les CDR, l'établissement et le maintien de répertoires de données administratives sur les projets de recherche, et l'accès aux CDR accordé uniquement aux chercheurs détenant une cote de sécurité valide, représente une combinaison de responsabilités, de procédures et de contrôles utilisés pour gérer efficacement les CRM et assurer la confidentialité des données.

Autorité
Les CDR sont exploités en vertu des dispositions de la Loi sur la statistique et sont administrés en conformité avec toutes les règles de confidentialité. Ils ne sont accessibles qu'aux chercheurs dont les projets ont été approuvés et qui ont prêté serment en vertu de la Loi sur la statistique, en tant que personnes réputées être employées.

Rôles et responsabilités
Les rôles et responsabilités relativement à la gestion des CRM, à l'accès aux microdonnées confidentielles et à l'analyse des risques de divulgation sont définis et communiqués à tous les intervenants, dans des politiques, normes, documents de procédures et guides détaillés. Au niveau du programme, les pouvoirs sont officiellement délégués au gestionnaire du Programme des CDR dans le Manuel des pratiques de sécurité de Statistique Canada qui exige l'attestation que les formalités prescrites pour les données administratives, les propositions de recherche et les autres renseignements sont suivies, tout au long du cycle de vie du projet. La vérification a révélé que le processus d'« attestation » n'est pas défini et qu'il existe une ambiguïté à l'intérieur du Programme des CDR quant à ce qu'il signifie exactement.

Procédures de traitement des contrats
Au début d'un projet de recherche, l'analyste du CDR détermine les besoins d'accès aux données. Si l'accès à un CDR représente la voie appropriée d'accès aux données, le chercheur prépare une proposition d'accès aux données, avec l'aide de l'analyste du CDR au besoin. Cette proposition est soumise en ligne au CRSH. Elle fait l'objet d'une évaluation par les pairs, c'est à dire que la proposition est évaluée selon son mérite scientifique, et d'une révision institutionnelle par le secteur spécialisé, afin de déterminer si des données analytiques sont nécessaires et si les données peuvent appuyer le projet. Sur réception de l'avis d'approbation du projet par la Division de l'accès aux microdonnées du bureau central, l'analyste du CDR rédige le contrat que le ou les chercheurs doivent signer et invite ces derniers à une séance d'orientation et de signature du contrat. À la séance d'orientation, de la formation relative aux stratégies d'analyse des risques de divulgation, ainsi qu'aux mesures de sécurité des technologies de l'information et de sécurité matérielle, est fournie aux chercheurs. Le Guide des chercheurs, qui décrit les rôles et responsabilités des chercheurs et des analystes de CDR, dans les CDR, et le Code de valeurs et d'éthique de la fonction publique de Statistique Canada sont fournis aux chercheurs, qui signent pour en accuser réception.

La vérification a permis de vérifier la conformité aux procédures de traitement des contrats, grâce à l'examen d'un échantillon de contrats sélectionnés au hasard, soit 21 des 182 contrats (11 %) en date de décembre 2010, pour les CDR de la région des Prairies. La vérification a révélé que pour 20 contrats, la proposition de projet et une liste d'ensembles de données, le courriel d'approbation du projet et des copies signées du CRM et de ses modifications et révisions figuraient dans le dossier et étaient complets. On n'a pas pu localiser la documentation d'un contrat parce que celui ci n'avait pas été conclu dans le CDR des Prairies.

En tant que personnes réputées être employées, les chercheurs doivent faire l'objet d'une enquête de sécurité, afin d'obtenir une cote de fiabilité, en vertu des paragraphes 5(2) et 5(3) de la Loi sur la statistique, et ils doivent prêter serment ou affirmation d'office et de discrétion, en vertu du paragraphe 6(1) de la Loi sur la statistique. La vérification a permis de déterminer que les formulaires de sécurité sont remplis et que le serment ou l'affirmation d'office a été traité lorsque le ou les chercheurs signent le CRM. Les formulaires de sécurité originaux sont envoyés par messager à la DAM du BC par l'analyste du CDR, en vue d'être soumis à la SM pour traitement. Toutefois, dans notre échantillon de 21 contrats concernant 37  chercheurs, seulement 7 des 37 copies de serment signé et 13 des 37 documents d'autorisation de sécurité ont pu être localisées par la DAM du BC pour notre examen.

L'accès aux CDR et l'accès aux données devraient être accordés aux chercheurs par l'analyste du CDR, sur réception du courriel de la DAM du BC concernant les dates de début et de fin de l'autorisation de sécurité délivrée par la SM. Cela est conforme au document de procédures « Formalités de vérification de sécurité pour les chercheurs des CDR » préparé par la DAM et confirmé par la SM. La vérification a révélé que, dans les CDR de la région des Prairies, l'accès aux CDR et aux données commence dès qu'un chercheur a soumis les documents remplis pour l'autorisation de sécurité, et indiqué ne pas avoir de dossier criminel. La demande d'analyse des risques de divulgation, toutefois, est autorisée uniquement lorsque l'analyste du CDR reçoit un courriel de la DAM du BC concernant les dates de début et de fin de l'autorisation de sécurité délivrée par la SM. Ces directives contradictoires figurent dans une présentation intitulée Autorisation de sécurité – Cheminement des données préparée par la DAM du BC.

La vérification a aussi révélé que le document de procédures « Formalités de vérification de sécurité pour les chercheurs des CDR » n'est pas conforme aux directives et à l'interprétation de la SM concernant le traitement approprié des documents d'autorisation de sécurité classifiés et la date de contrôle appropriée des cotes de sécurité. Par conséquent, il existe un malentendu entre la DAM du BC, l'analyste du CDR et la SM. Cela augmente le risque de pratiques incorrectes et de décisions erronées. Il n'existe pas non plus de directive propre au Programme des CDR sur la période de conservation des documents d'autorisation de sécurité originaux.

Il n'existe pas de directive propre au Programme des CDR sur la période de conservation des répertoires archivés des chercheurs (c.-à-d., zippés, chiffrés et mis sur des disques compacts ou des lecteurs de disque dur externes; et les fichiers sur papier de l'analyse des risques de divulgation des chercheurs). Des données archivées remontant au moment de l'ouverture du CDR de l'Université de Calgary sont entreposées dans des classeurs fermés à clé dans la salle de serveur sécurisée et dans les classeurs fermés à clé des postes de travail.

Recommandations

Il est recommandé que le statisticien en chef adjoint, Secteur de la statistique sociale, de la santé et du travail, s'assure que :

• le « processus de certification » compris dans le Manuel des pratiques de sécurité est clarifié;
• des fichiers complets pour les CRM, y compris des copies des documents d'autorisation de sécurité et des serments signés par les personnes réputées être employées, sont conservés au BC;
• en consultation avec la SM, les éléments suivants sont clarifiés, grâce à la mise à jour du document de procédures « Formalités de vérification de sécurité pour les chercheurs des CDR », pour les éléments suivants :
  • responsabilités de l'analyste du CDR et du BC concernant le traitement des documents d'autorisation de sécurité originaux;
  • procédures concernant le moment où l'accès au CDR est accordé au chercheur et celui où un chercheur peut demander une analyse des risques de divulgation avant de sortir des données du CDR;
  • procédures concernant la date de fin devant être contrôlée par le BC pour les autorisations de sécurité des étudiants canadiens et étrangers (intégrer un « écran d'impression » dans le champ de données sur la sécurité du Système de gestion des relations avec la clientèle et mettre en évidence la « date de fin » pour le contrôle par le personnel du BC);
  • période de conservation des documents d'autorisation de sécurité originaux par le BC.
• des directives concernant la période de conservation des documents archivés et des fichiers sur papier des chercheurs sont fournies.

Réponse de la direction

La direction est d'accord avec toutes les recommandations.

• Le gestionnaire de la DAM a veillé à ce que la documentation du programme soit passée en revue, et les changements recommandés ont été apportés pour clarifier le « processus de certification ». Les changements ont été communiqués à tous les analystes travaillant dans les CDR.
• Produit livrable et échéance : Mise à jour du document de procédures « Formalités de vérification de sécurité pour les chercheurs des CDR » terminée.
• Le gestionnaire de la DAM a veillé à ce que la structure de classement soit modifiée, afin d'améliorer l'actualité de la recherche des données historiques sur papier, et à ce que toutes les données soient classées sous le nom du chercheur principal.
• Produit livrable et échéance : Structure de classement modifiée à la DAM du BC d'ici le 31 mars 2012.
• Le gestionnaire de la DAM a veillé à ce que la SM soit consultée, afin de clarifier le document de procédures « Formalités de vérification de sécurité pour les chercheurs des CDR », relativement aux aspects suivants :
  • Responsabilités de l'analyste du CDR et du BC concernant le traitement des documents d'autorisation de sécurité originaux.
  • Produit livrable et échéance : Mise à jour d'ici le 31 décembre 2011.
  • Procédures concernant le moment où l'accès au CDR est accordé à un chercheur et celui où un chercheur peut demander une analyse des risques de divulgation, en vue de sortir des données du CDR.
  • Produit livrable et échéance : Mise à jour du document de procédures terminée et compréhension par les analystes du CDR confirmée.
  • Procédures concernant la date de fin devant être contrôlée par le BC pour les autorisations de sécurité des étudiants canadiens et étrangers.
  • Produit livrable et échéance : Écran d'impression du document de procédures inclus.
  • Période de conservation des documents d'autorisation de sécurité originaux par le BC clarifiée par la SM.
  • Produit livrable et échéance : Mise à jour du « Guide des opérations internes », d'ici le 31 mars 2012.
• Le gestionnaire de la DAM a veillé à ce que les gestionnaires de CDR rencontrent la Division de la gestion de l'information pour contribuer à la directive sur l'archivage et les périodes de conservation.
•  
• Produit livrable et échéance : Plan de mise en œuvre pour l'archivage des dossiers des CDR, d'ici le 31 mars 2012.

Analyse des risques de divulgation

Les CDR sont les dépositaires des fichiers de microdonnées principaux de Statistique Canada, qui sont accessibles pour les chercheurs dont les projets sont approuvés. Des processus et des procédures efficaces et appropriées pour l'analyse des risques de divulgation devraient être en place et appliqués, afin de réduire de façon significative les risques de divulgation non désirée. Les demandes d'analyse des risques de divulgation devraient être administrées et vérifiées soigneusement par l'analyste du CDR, conformément aux protocoles établis, afin de veiller à ce que la confidentialité des données ne soit pas compromise.

L'analyse des risques de divulgation prend la forme d'un examen ou d'un contrôle de confidentialité des produits statistiques par les employés de Statistique Canada. Pour ce faire, on tente de déterminer s'il est possible d'inférer ou de déduire des données d'identification évidentes de cas individuels ou des renseignements concernant des cas individuels, à partir des produits statistiques. Il existe trois types de divulgation : divulgation d'identité; divulgation d'attribut; et divulgation par recoupement.

Rôles et responsabilités
La vérification a confirmé que l'analyste à temps plein du CDR de l'Université de Calgary s'acquitte de cette fonction pour les CDR de la région des Prairies. Il a des connaissances et de l'expérience concernant les techniques et les logiciels d'échantillonnage statistique. Le contrôle de confidentialité se fait au moyen des lignes directrices propres aux enquêtes pour 60 enquêtes dans le site Web du CDR. Les questions ou préoccupations concernant le processus de contrôle de confidentialité sont réglées par le gestionnaire régional de CDR, sur une base hebdomadaire; à la réunion annuelle des CDR; et par le Comité de la confidentialité du CDR, dont le mandat consiste à superviser à la fois les analystes de CDR et le Programme des CDR concernant l'analyse des risques de divulgation.

Les chercheurs reçoivent de la formation pendant leur séance d'orientation concernant le processus d'analyse des risques de divulgation, les diverses méthodes d'analyse et la façon de remplir le formulaire de demande de divulgation pour chaque demande de produits.

Processus et procédures
Une ébauche de document détaillé et exhaustif intitulé Guide de l'analyse des risques de divulgation à l'intention des analystes des CDR fournit à l'analyste du CDR des instructions détaillées étape par étape, ainsi que des illustrations et des diagrammes, sur la façon de procéder à une analyse des risques de divulgation. Des lignes directrices sur l'analyse des risques de divulgation pour les divers types de données et produits descriptifs ou tabulaires, ainsi que des matrices de variance-covariance et de corrélation, des graphiques, des modèles et un exemple de « formulaire de demande de divulgation » sont aussi inclus.

Une partie importante du processus consiste pour les chercheurs à remplir le « Formulaire de demande d'analyse de divulgation », dans lequel ils doivent dresser une liste de données d'échantillonnage statistique. Si l'analyste du CDR ne comprend pas une « variable », la demande est rejetée. Il est du ressort de l'analyste du CDR de s'assurer qu'il comprend ce que signifient les variables, ainsi que leur importance. Les lignes directrices de contrôle de confidentialité sont affichées dans le CDR et sont disponibles sous forme électronique à partir des postes de travail, afin de veiller à ce que les chercheurs remplissent toutes les sections pertinentes du formulaire. L'impression est acheminée à l'imprimante de réseau, qui est contrôlée par l'analyste du CDR. Du papier de couleur est utilisé pour les dossiers qui ont été approuvés et dont la sortie est autorisée. Ce contrôle permet aux analystes de vérifier visuellement ce qui sort des CDR.

La vérification a permis de conclure que des processus et procédures pour l'analyse des risques de divulgation sont en place et sont communiqués aux CDR par la DAM du BC, afin de réduire les risques de divulgation non désirée. Un échantillon de contrats sélectionnés au hasard a été vérifié en ce qui a trait à l'analyse des risques de divulgation. À cette fin, on a passé en revue le formulaire de demande de divulgation, les fichiers de produits connexes créés, ainsi que les résultats de l'analyse des risques de divulgation dans le sous répertoire de demandes d'autorisation créé par l'analyste du CDR pour examen avec le chercheur, en vue de la création et de la diffusion du produit.

La vérification a permis de déterminer que l'analyste du CDR s'assure que les données confidentielles de Statistique Canada ne sont pas compromises en administrant et en évaluant avec soin toutes les demandes d'analyse des risques de divulgation.

Champ d'enquête n^o 2 : Les Centres de données de recherche respectent les politiques et normes pertinentes du Secrétariat du Conseil du Trésor et de Statistique Canada concernant la sécurité des technologies de l'information et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services au Centres de données de recherche régional.

Sécurité matérielle

La sécurité matérielle dans le CDR doit être conforme aux politiques pertinentes du SCT, comme la Politique sur la sécurité du gouvernement et le Manuel des pratiques de sécurité de Statistique Canada. Les rôles et responsabilités doivent être définis, clairs et communiqués. Dans le contexte des CDR, la sécurité matérielle devrait inclure des contrôles concernant l'accès aux locaux, la détection des intrusions et les activités de suivi.

Rôles et responsabilités
La vérification a permis de déterminer qu'au niveau du programme, les pouvoirs fonctionnels sont officiellement délégués au gestionnaire du Programme des CDR, et qu'au niveau régional, l'analyste du CDR et l'adjoint statistique sont responsables de la sécurité matérielle. L'analyste du CDR relève du gestionnaire régional de CDR. L'adjoint statistique de Lethbridge relève de l'analyste à temps plein du CDR de l'Université de Calgary. L'entente financière actuelle entre Statistique Canada et l'Université de Calgary stipule que Statistique Canada est responsable d'assurer un accès sécuritaire aux données de Statistique Canada à l'université, y compris la sécurité matérielle du centre et la sécurité électronique des données, les vérifications de sécurité et les autorisations d'accès. La SM du BC fournit des lignes directrices et des directives sur les exigences en matière de sécurité matérielle. La SM procède aux inspections de sécurité matérielle et de sécurité des TI des emplacements de CDR et fournit des recommandations au gestionnaire. Des inspections de sécurité des TI et de sécurité matérielle ont eu lieu en avril 2002 au CDR de l'Université de Calgary et en octobre 2009 au CDR de l'Université de Lethbridge, par la SM, avant que ces centres deviennent opérationnels.

Évaluation des contrôles de sécurité matérielle dans les Centres de données de recherche de la région des Prairies

Afin d'évaluer si les CDR de la région des Prairies se conforment à la Politique sur la sécurité du gouvernement du SCT et au Manuel des pratiques de sécurité de Statistique Canada, une inspection physique des CDR de la région des Prairies a été effectuée, afin de vérifier les pratiques de sécurité des locaux opérationnels situés à l'extérieur du complexe de Statistique Canada, au BC.

Contrôle de la sécurité du périmètre
Les deux CDR sont situés dans l'immeuble de la bibliothèque du campus. La vérification a révélé que les deux installations sont conformes aux exigences du SCT et de Statistique Canada en ce qui a trait à la sécurité du périmètre, pour ce qui est des « étages partagés », c'est à dire la séparation et la construction des murs, ainsi que des portes pleines en bois dotées de quincaillerie et d'accessoires robustes.

Contrôles de sécurité à l'entrée
L'accès aux deux CDR de la région des Prairies se fait par un point d'entrée unique, afin de permettre un filtrage et des contrôles efficaces par le personnel de ces CDR. Chaque porte d'entrée est équipée d'une alarme électronique en cas d'intrusion et d'un cadenas dont seuls le personnel des CDR et la sécurité du campus ont les clés. Cela est conforme aux exigences du SCT et de Statistique Canada.

Contrôles de la sécurité de l'accès
Afin de se conformer aux exigences du SCT et de Statistique Canada, un système d'accès avec carte à bande magnétique, c'est à dire une carte d'identité renfermant des données électroniques permettant d'identifier le détenteur, est en place dans les deux CDR, afin de contrôler l'accès aux installations. Le système enregistre tous les accès au CDR, et le personnel du CDR peut obtenir une copie sur papier du registre d'accès au moyen des cartes à bande magnétique auprès de la sécurité du campus, au besoin. Les visiteurs non autorisés ne peuvent pas aller au delà de la porte d'entrée des installations des CDR.

Contrôles du câblage de télécommunications et des zones à accès restreint
La vérification a confirmé que le câblage des TI passe dans les murs et les plafonds des deux CDR. Au CDR de l'Université de Calgary, il y a une salle de serveur sécurisée, qui comporte des classeurs verrouillés pour l'entreposage des disques compacts et des fichiers archivés des chercheurs, afin de protéger les données confidentielles, classifiées et protégées. L'accès au réseau B est disponible uniquement dans une salle de réunions distincte dotée d'un poste de travail. Comme le CDR de l'Université de Lethbridge est beaucoup plus petit, son serveur et son accès au réseau B sont sécurisés dans le bureau de l'adjoint statistique. Tous les postes de travail des deux CDR comportent des classeurs pouvant être fermés à clé, dont les clés sont conservées dans les bureaux de l'analyste du CDR et de l'adjoint statistique. Cela est conforme aux exigences du SCT et de Statistique Canada.

Contrôles des activités de nettoyage et d'entretien
En conformité avec les exigences du SCT et de Statistique Canada, le personnel d'entretien et de nettoyage n'a pas de carte d'accès aux CDR. Le personnel de nettoyage peut accéder uniquement au CDR pendant les heures d'ouverture normales et est escorté par le personnel du CDR. Si un accès est requis en dehors des heures normales d'activité, le personnel de nettoyage et d'entretien doit être accompagné par les responsables de la sécurité du campus.

Contrôles de la détection des intrusions et des activités de suivi
Les responsables de la sécurité du campus assurent un contrôle 24 heures par jour et 7 jours par semaine des installations de CDR. Ces responsables ont une carte d'accès et un code de sécurité pour le système d'alarme. Un système de surveillance par caméra est installé dans les deux CDR, afin d'améliorer la sécurité, et fait l'objet d'un contrôle par l'analyste à temps plein du CDR de l'Université de Calgary et par l'adjoint statistique de l'Université de Lethbridge.

Les CDR ne peuvent être laissés sans surveillance. Si l'analyste du CDR doit quitter le CDR pendant les heures régulières, les chercheurs doivent aussi le faire, la porte doit être fermée à clé et une affiche doit être placée sur la porte.

À partir de l'inspection physique des CDR de la région des Prairies, la vérification a permis de déterminer que des mesures pertinentes de sécurité matérielle sont en place et sont appliquées pour la sauvegarde et la protection des données confidentielles de Statistique Canada et que l'accès aux CDR de la région des Prairies est limité au personnel autorisé, c'est à dire les personnes réputées être employées, comme les chercheurs et le personnel de soutien des TI des universités.

Sécurité des technologies de l'information

La sécurité des technologies de l'information dans les CDR doit être conforme aux politiques pertinentes du SCT, comme les Normes de sécurité opérationnelle : Gestion de la sécurité des technologies de l'information et le Manuel des pratiques de sécurité de Statistique Canada. Les rôles et responsabilités doivent être définis, clairs et communiqués. Dans le contexte des CDR, la sécurité des TI devrait inclure la protection des systèmes et des communications : des contrôles de sécurité qui appuient la protection du système d'information proprement dit, ainsi que les communications avec ce système; le contrôle de l'accès : des contrôles de sécurité qui permettent d'accorder ou de refuser aux utilisateurs l'accès aux ressources d'un système d'information; et l'identification et l'authentification : des contrôles de sécurité qui appuient l'identification des utilisateurs et l'authentification de ces utilisateurs lorsqu'ils tentent d'accéder au système d'information.

Rôles et responsabilités
La vérification a révélé que la structure de responsabilisation de la sécurité des TI dans les CDR de la région des Prairies est la même que pour la sécurité matérielle.

Mesures de protection du système et des communications
L'environnement informatique à l'intérieur des CDR est constitué de postes de travail autonomes devant être utilisés par les chercheurs. Ces postes ne sont pas reliés à Internet. L'accès Internet est disponible uniquement pour les employés du CDR et à partir du poste de travail situé dans la salle de réunions du CDR de l'Université de Calgary. Les postes de travail utilisent le système d'exploitation courant de Statistique Canada, ainsi que la configuration de logiciel de bureau et des logiciels statistiques approuvés, comme SPSS, Stata ou SAS. La vérification a révélé que les logiciels particuliers demandés par les chercheurs sont installés par l'analyste du CDR, après approbation par la Division des services de technologie informatique du BC. Cela est autorisé par le Programme des CDR.

Au CDR de l'Université de Calgary, les ports USB de 11 des 14 postes de travail étaient activés, ce qui augmente de façon significative le risque de retrait non détecté de microdonnées confidentielles de Statistique Canada au moyen d'une clé USB. La vérification a permis de déterminer qu'il n'y a pas eu de violations de la sécurité ou d'incidents déclarés concernant le retrait non autorisé de microdonnées confidentielles au CDR. La fermeture automatique de session des postes de travail était fixée à 45 minutes ou ne fonctionnait pas de façon uniforme, ce qui augmente le risque d'accès non autorisé à des microdonnées confidentielles de Statistique Canada ou à des postes de travail sans surveillance.

Un télécopieur se trouve dans la salle de réunions du CDR de l'Université de Calgary et est mis à la disposition des chercheurs, ce qui augmente le risque de transmission non détectée ou non autorisée de données confidentielles de Statistique Canada par les chercheurs.

Mesures de protection de l'accès, de l'identification et de l'authentification
Un échantillon de contrats sélectionnés au hasard comprenant 26 des 182 contrats (14 %) en date de décembre 2010, pour les CDR de la région des Prairies, ont fait l'objet d'une vérification au chapitre des contrôles de l'accès, de l'identification et de l'authentification. À cette fin, on a passé en revue le contenu du répertoire de l'échantillon par rapport au fichier principal, afin de s'assurer que tous les noms de fichiers faisaient partie des ensembles de données originaux; on a passé en revue le registre des événements, en vue de déterminer les numéros d'identification d'utilisateurs supprimés de l'échantillon, pour s'assurer qu'ils n'avaient pas accès; et on a passé en revue le répertoire actif des noms d'utilisateurs et des autorisations d'ensembles de données, pour s'assurer qu'ils touchaient uniquement des contrats actifs dans notre échantillon.

Les tests de vérification ont révélé que l'accès aux systèmes, aux fichiers de microdonnées et aux programmes est limité aux chercheurs qui ont des contrats actifs. Au total, sept des contrats terminés récemment ont été vérifiés dans le registre des événements, afin de s'assurer qu'il n'y avait pas eu d'accès aux fichiers de microdonnées connexes depuis la date d'achèvement. Les résultats ont révélé qu'aucun accès n'a eu lieu. La vérification a confirmé que les fichiers de microdonnées ne sont pas retirés du serveur une fois que sont terminés tous les contrats connexes reposant sur ces fichiers. Cette pratique est appuyée par le Programme des CDR, afin de permettre à ces derniers de maintenir une bibliothèque locale de tous les fichiers auxquels on accède dans les CDR.

Les procédures précisent que des comptes d'utilisateurs devraient être créés uniquement lorsqu'un contrat est approuvé et devient actif; l'accès devrait être supprimé si le compte est inactif. La création de comptes d'utilisateur et l'octroi de l'accès aux fichiers de microdonnées étaient étayés par des contrats actifs approuvés dans tous les contrats échantillonnés. Les mots de passe respectent les normes de Statistique Canada, mais demeurent les mêmes pour toute la durée du contrat, qui peut aller d'un an à plusieurs années. Le Manuel des pratiques de sécurité de Statistique Canada exige que les mots de passe soient valides pendant 90 jours au maximum.

L'analyste du CDR détient les privilèges administratifs. De ce fait, il est chargé de créer un répertoire pour chaque projet approuvé, ainsi qu'un compte d'utilisateur et un mot de passe connexes pour chaque chercheur, en vue d'un accès à lecture seule au répertoire. Par conséquent, les chercheurs ne peuvent pas : accéder aux fichiers de microdonnées pour lesquels ils n'ont pas un projet approuvé; consulter le contenu des ensembles de données qui ne sont pas précisés dans leur proposition; et transférer des fichiers (documents, ensembles de données, syntaxe ou produit) d'un projet de recherche à un autre. Une fois qu'un compte d'utilisateur est créé, l'analyste du CDR informe les responsables de la sécurité du campus universitaire d'émettre une carte d'identité de membre du corps professoral/d'étudiant, ce qui permet d'accéder au CDR.

La vérification a permis de déterminer que des mesures de sécurité des TI pertinentes sont en place et sont appliquées pour la sauvegarde et la protection des données confidentielles de Statistique Canada. Des mesures de protection de l'accès, de l'identification et de l'authentification sont en place dans les CDR et fonctionnent comme prévu.

Recommandations

Il est recommandé que le statisticien en chef adjoint, Secteur de la statistique sociale, de la santé et du travail, s'assure que :

• les mots de passe et les délais de fermeture automatique de session des postes de travail respectent le Manuel des pratiques de sécurité de Statistique Canada;
• les ports USB des postes de travail sont désactivés;
• le télécopieur soit enlevé de la salle de réunions des chercheurs du CDR de l'Université de Calgary.

Réponse de la direction

La direction est d'accord avec toutes les recommandations.

• Le gestionnaire de la DAM a soumis les normes relatives aux mots de passe et à la fermeture automatique de session des postes de travail au Comité de la technologie du CDR, afin qu'il les intègre dans le processus d'authentification centralisé qui est actuellement mis en place.
• Produit livrable et échéance : Prototype d'authentification centralisée, d'ici le 31 mars 2012, et adoption par les CDR, tout au long de 2012–2013.
• Le gestionnaire de la DAM a veillé à ce que tous les ports USB soient désactivés à nouveau et à ce qu'une liste de contrôle mensuelle soit préparée par le Comité de la technologie à l'intention des analystes, afin de vérifier les pratiques de sécurité en vigueur.
• Produit livrable et échéance : Liste de contrôle mensuelle. Terminée.
• Le gestionnaire de la DAM a veillé à ce que le télécopieur soit installé dans le bureau de l'analyste.
• Produit livrable et échéance : Terminée.

Annexe

Annexe A : Critères de vérification

Champ d’enquête/Contrôle clé	Critère
Les Centres de données de recherche disposent de pratiques et de mécanismes efficaces, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services au Centres de données de recherche régional.
Responsabilisation	Les responsabilités sont officiellement définies et communiquées. Les pouvoirs sont officiellement délégués et correspondent aux responsabilités des personnes, et les fonctions incompatibles ne sont pas combinées.
Gestion des risques	Les risques sont déterminés et tiennent compte des environnements interne et externe du Programme des CDR. Des processus et des lignes directrices officiels existent pour évaluer les contrôles et gérer les risques déterminés.
Valeurs de la fonction publique	Les employés attestent qu’ils se conforment aux valeurs, à l’éthique et au code de conduite de Statistique Canada.
Résultats et rendement	La responsabilité du contrôle est claire et communiquée et les résultats sont communiqués aux niveaux d’autorisation requis. Le contrôle actif est manifeste.
Les Centres de données de recherche respectent les politiques et normes pertinentes du Secrétariat du Conseil du Trésor et de Statistique Canada concernant la sécurité des technologies de l’information et la sécurité matérielle, afin de veiller à ce que la confidentialité des données soit protégée lors de la prestation des services au Centres de données de recherche régional.
Responsabilisation	Les pouvoirs fonctionnels de la sécurité des TI et de la sécurité matérielle, dans le contexte du programme des CDR, font l’objet d’une approbation appropriée et sont exercés par les chefs fonctionnels. La structure d’organisation comporte des voies de communications et des rapports clairs et efficaces.
Gestion des risques	Il existe des évaluations de contrôle de la sécurité de TI et de la sécurité matérielle, auxquelles contribuent les fonctions des services intégrés pertinentes.
Gérance	Sécurité des TI : Les processus, procédures et contrôles pour la protection des fichiers de microdonnées de Statistique Canada comprennent : des contrôles d’accès logique – pour contrôler l’accès aux fichiers de microdonnées, conformément aux modalités des contrats de recherche pour l’utilisation de microdonnées; la sécurité des systèmes informatiques – pour assurer la protection électronique des données et prévenir et déceler les vulnérabilités au chapitre de la sécurité. Des procédures et des mécanismes d’authentification et d’accès sont en place. Les contrôles des TI comprennent un mélange de contrôles automatisés et manuels, et leur efficacité opérationnelle est vérifiée périodiquement. Les processus régissant l’accès aux données respectent les politiques des TI pertinentes du SCT et de Statistique Canada en matière de sécurité, les exceptions sont déterminées et des mesures appropriées sont prises. Sécurité matérielle : Les mesures de sécurité matérielle respectent les politiques et procédures pertinentes du SCT et de Statistique Canada. L’accès physique au CDR est restreint pour la protection des biens de nature délicate, et des procédures pour sauvegarder et protéger l’utilisation des biens existent et sont appliquées.

Rapport de vérification

Date du rapport : 31 juillet 2011
Numéro de projet : 80590-64 ( Document (PDF, 556.8 Ko) )

• Sommaire exécutif
  • Principales constatations
  • Conculsion générale
  • Conformité aux normes professionnelles
• Introduction
  • Contexte
  • Objectif
  • Portée
  • Approche
  • Autorité
• Constatations, recommandations et réponses de la direction
• Gouvernance et orientation stratégique
• Gestion des risques et consultation des utilisateurs
• Responsabilisation
• Communication
• Annexes
  • Annexe A : Processus d'examen du SCN et du SCNC
  • Annexe B : Critères de vérification

Sommaire exécutif

Croissance économique, exportations, productivité, produit intérieur brut, dette publique, production industrielle, crédit à la consommation, achats d'obligations étrangères et cycles économiques sont des termes que nous voyons ou que nous entendons presque quotidiennement dans les médias canadiens. Ces phénomènes ont tous en commun que les statistiques qui les sous-tendent et qui les mesurent proviennent du Système de comptabilité nationale du Canada (SCNC).

Dans son expression la plus simple, le SCNC est un ensemble d'énoncés statistiques, ou de comptes, qui fournissent chacun un portrait agrégé de l'activité économique au cours d'une période donnée. Chaque compte se différencie des autres du fait qu'il offre une perspective différente de l'économie, qu'il s'agisse d'une perspective industrielle, financière ou environnementale ou de renseignements sur la productivité, ou encore du point de vue des agents économiques (par exemple, les consommateurs et les administrations publiques). Comme ces comptes utilisent tous un ensemble commun de définitions, de concepts et de classifications, et qu'ils sont liés explicitement les uns avec les autres, ils constituent un système intégré et contribuent à la cohérence et à la crédibilité des aperçus économiques tirés des données du SCNC.

L'objectif de la vérification consiste à fournir au statisticien en chef et au Comité ministériel de vérification (CMV) l'assurance que des mécanismes sont en place pour veiller à ce que les changements apportés aux normes du SCNC s'alignent sur les pratiques internationales, tiennent compte des besoins des intervenants et soient clairement communiqués aux utilisateurs, afin que les données soient bien comprises et que les données importantes soient éliminées uniquement après consultation.

La vérification a été effectuée par les Services de vérification interne, conformément à la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

La vérification a permis de constater qu'un mécanisme efficace de surveillance est en place pour assurer l'examen permanent des produits et des méthodes statistiques et aider à établir les priorités. Des directives pour la diffusion et la publication des données de Statistique Canada, ainsi que pour la conservation des données, sont prévues dans les politiques et les normes de Statistique Canada. Des mécanismes sont en place pour s'assurer que les changements apportés au SCNC sont conformes aux normes internationales.

Les risques au chapitre des communications sont déterminés et gérés à deux niveaux – celui des utilisateurs clés, qui sont connus et pour lesquels des renseignements individuels sont disponibles, et celui des autres utilisateurs, pour lesquels des données ne sont pas disponibles. Il est possible de raffermir le cadre de communication, grâce à la création d'un registre central de données sur les utilisateurs au niveau de la Direction du SCN, afin de gérer les risques relatifs aux communications avec tous les utilisateurs.

Les rôles et responsabilités sont définis et communiqués, des organigrammes sont en place, et une structure de gouvernance pour le projet de révisions historiques de 2012 a été élaborée et documentée. Il existe un processus non documenté pour la gestion des révisions historiques de 2012, mais pas de processus formel de gestion des changements documenté pour toutes les révisions et modifications du SCNC. Une voie de communication sur Internet est en place pour la consignation et la gestion des révisions et des changements, mais il ne s'agit pas d'un système formel de gestion des changements dont l'utilisation est obligatoire pour toutes les révisions et modifications du SCNC.

Des stratégies de communication internes et externes sont en place pour les diffusions de production courantes et pour le projet de révisions historiques de 2012, mais il n'existe pas de plan de communication pour les révisions annuelles. Les divisions communiquent individuellement leurs produits et services aux utilisateurs finaux.

Conclusion générale

Des mécanismes sont en place pour s'assurer que les changements apportés aux normes du SCNC s'alignent sur les pratiques internationales et tiennent compte des besoins des intervenants. Toutefois, il est possible de faire en sorte que les changements apportés aux normes soient communiqués plus clairement aux utilisateurs, et que les changements significatifs ne soient éliminés qu'après consultation.

Conformité aux normes professionnelles

La mission a été menée en conformité avec les Normes de vérification internes du gouvernement du Canada, qui intègrent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes.^{Footnote 1}

Patrice Prud'homme
Dirigeant principal de la vérification
Services de vérification interne, Statistique Canada

Introduction

Contexte

Le Système de comptabilité nationale de Statistique Canada – une initiative de production de bilan qui a vu le jour au moment de la grande dépression – s'est révélé d'une importance primordiale pour les planificateurs économiques gouvernementaux et le monde des affaires. La pertinence du système a été démontrée dans le contexte de l'expérience du Canada au cours des dernières récessions économiques, et plus particulièrement celle de 2009. Statistique Canada a entrepris un effort exhaustif en vue d'améliorer ses rapports, afin que le Système de comptabilité nationale continue à répondre à l'évolution des besoins de compatibilité internationale exprimés notamment dans le cadre de l'appel des pays du G-20 en vue d'obtenir de meilleures données.

Croissance économique, exportations, productivité, produit intérieur brut, dette publique, production industrielle, crédit à la consommation, achats d'obligations étrangères et cycles économiques sont des termes que nous voyons ou que nous entendons presque quotidiennement dans les médias canadiens. Ces phénomènes ont tous en commun que les statistiques qui les sous-tendent et qui les mesurent proviennent du Système de comptabilité nationale du Canada (SCNC).

Dans son expression la plus simple, le SCNC est un ensemble d'énoncés statistiques, ou de comptes, qui fournissent chacun un portrait agrégé de l'activité économique au cours d'une période donnée. Chaque compte se différencie des autres du fait qu'il offre une perspective différente de l'économie, qu'il s'agisse d'une perspective industrielle, financière ou environnementale ou de renseignements sur la productivité, ou encore du point de vue des agents économiques (par exemple, les consommateurs et les administrations publiques). Comme ces comptes utilisent tous un ensemble commun de définitions, de concepts et de classifications, et qu'ils sont liés explicitement les uns avec les autres, ils constituent un système intégré et contribuent à la cohérence et à la crédibilité des aperçus économiques tirés des données du SCNC. Le terme « nationale » est trompeur dans une certaine mesure, du fait qu'il donne l'impression que l'examen se limite à l'économie du pays. Toutefois, au Canada, le SCNC comporte aussi des dimensions provinciales et territoriales.

Ce système brosse un tableau fidèle, complet et nuancé de notre économie dans ses structures, ses résultats et ses tendances. Il dresse le cadre comptable de l'analyse macroéconomique et procure à une diversité d'institutions et d'ordres de gouvernement les outils nécessaires pour les aider à évaluer toutes sortes de décisions économiques et stratégiques. Par exemple, la Banque du Canada et les gouvernements fédéral, provinciaux et territoriaux utilisent les données du SCNC pour formuler des politiques dans les domaines fiscal, monétaire ou du taux de change. Les données du SCNC sont utilisées dans la formule servant à déterminer les paiements aux provinces, en vertu du programme de péréquation, ainsi que pour la répartition de la taxe de vente harmonisée entre les économies provinciales.

Les données du SCNC sont aussi utilisées par les chercheurs des administrations publiques, des universités et des organismes non gouvernementaux, tant au Canada qu'au niveau international, en vue d'évaluer le rendement économique du Canada. Les gens d'affaires utilisent le SCNC comme outil pour élaborer des stratégies et pour planifier leurs investissements. Les comparaisons, les analyses et les prévisions au niveau de l'économie mondiale -- qui sont souvent exécutées par des organismes internationaux comme l'Organisation de coopération et de développement économiques, le Fonds monétaire international et les Nations Unies -- reposent souvent sur les statistiques produites à l'intérieur du cadre du SCN. Les universitaires, et plus particulièrement les professeurs et les étudiants en économie et en affaires, sont des utilisateurs importants. Les ouvrages économiques et d'autres ouvrages se reportent souvent au SCNC et utilisent de façon exhaustive les données qu'il comprend.

L'ensemble commun de concepts, de définitions et de classifications du SCNC permet la production de données cohérentes comparables, que l'on désigne sous le nom de normes du SCNC. Les lignes directrices internationales s'appliquant aux comptes nationaux ont été élaborées de concert avec des organisations comme l'Organisation de coopération et de développement économiques, le Fonds monétaire international et les Nations Unies. Le Canada adhère à ces lignes directrices internationales (sauf pour quelques exceptions mineures). Les lignes directrices font l'objet d'un examen et d'une mise à jour périodiques, afin de contribuer à assurer leur pertinence. Elles nous permettent de comparer les statistiques avec celles d'autres nations. Une description du processus de révision figure à l'annexe A.

Objectif

L'objectif de la vérification consiste à fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) l'assurance que :

• des mécanismes sont en place pour veiller à ce que les changements apportés aux normes du SCNC s'alignent sur les pratiques internationales, tiennent compte des besoins des intervenants et soient clairement communiqués aux utilisateurs, afin que les données soient bien comprises et que les données importantes soient éliminées uniquement après consultation.

Portée

Les cadres supérieurs de Statistique Canada sont bien conscients de la nécessité d'identifier clairement les utilisateurs des données aux niveaux national et international; d'établir un nouveau cadre de communication pour assurer la publication de données appropriées; ainsi que de procéder à de vastes consultations des intervenants et des utilisateurs des données pour prévoir leurs besoins futurs. Les critères de cette vérification sont décrits de façon plus détaillée à l'annexe B.

Aux fins de notre vérification, la portée a été axée sur le processus d'élaboration des normes du SCNC, y compris la compréhension des besoins des utilisateurs, la participation du Canada au processus de révision des lignes directrices internationales, le processus de révision des lignes directrices canadiennes, la mise en œuvre des normes révisées et la communication des révisions aux utilisateurs.

Approche

Les travaux sur le terrain ont pris la forme d'un examen des processus et des pratiques en place pour les activités de consultation et de communication entreprises en rapport avec les normes du SCNC.

La vérification a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI) et en conformité avec la Politique sur la vérification interne de SCT. Les travaux de vérification ont pris la forme d'un examen des documents, d'entrevues avec les cadres supérieurs et le personnel clé, et d'un examen de la conformité aux politiques et aux lignes directrices pertinentes.

Autorité

La vérification a été menée en vertu du plan pluriannuel de vérification axé sur le risque pour 2010-2011 à 2012-2013 de Statistique Canada, approuvé le 15 avril 2010 par le statisticien en chef.

Constatations, recommandations et réponses de la direction

La vérification a permis de déterminer que des mécanismes de surveillance efficaces sont en place pour assurer l'examen permanent des produits et des méthodes statistiques et contribuer à établir les priorités. Des directives pour la diffusion et la publication des données de Statistique Canada, ainsi que pour la conservation des données, sont prévues dans les politiques et les normes de Statistique Canada. Des mécanismes sont en place pour s'assurer que les changements apportés au SCNC correspondent aux normes internationales.

Même si diverses stratégies, activités et voies de communication sont utilisées pour communiquer avec tous les utilisateurs et les intervenants relativement aux données du SCNC, les risques au chapitre des communications sont déterminés et gérés à deux niveaux – celui des utilisateurs clés, qui sont connus et pour lesquels des renseignements individuels sont disponibles, et celui des autres utilisateurs, pour lesquels des données ne sont pas disponibles. Par conséquent, la Direction de la SCN peut uniquement évaluer les stratégies de communication et activités de promotion destinées aux utilisateurs clés qu'elle connaît, parce qu'elle peut les faire participer directement pour obtenir de la rétroaction pertinente au moment opportun. Il n'existe pas de registre central de données sur les utilisateurs au niveau de la Direction du SCN pour gérer les risques liés aux communications avec tous les utilisateurs.

Les rôles et responsabilités sont définis et communiqués, des organigrammes sont en place, et une structure de gouvernance pour le projet de révisions historiques de 2012 a été élaborée et documentée. Il existe un processus non documenté pour la gestion des révisions historiques de 2012, mais pas de processus formel de gestion des changements documenté pour toutes les révisions et modifications du SCNC. Une voie de communication par Internet est en place pour la consignation et la gestion des révisions et des changements, mais il ne s'agit pas d'un système formel de gestion des changements dont l'utilisation est obligatoire pour toutes les révisions et modifications du SCNC.

Des stratégies de communication internes et externes sont nécessaires pour : 1) les diffusions de « production » courantes, 2) les révisions annuelles, et 3) les révisions historiques. Des stratégies de communication internes et externes sont en place, par exemple, des calendriers de production détaillés pour chaque projet ou programme au niveau des divisions; l'établissement d'une équipe de diffusion et de production pour appuyer la mise en commun de données à jour, pertinentes et fiables avec les utilisateurs et les intervenants; une stratégie de diffusion pour les diffusions de « production » courantes; et un plan de communication officiel faisant état de la stratégie de communication pour les révisions historiques de 2012. Il n'existe toutefois pas de plan de communication formel pour les révisions annuelles. Les divisions travaillent de façon indépendante pour communiquer leurs produits et services aux utilisateurs finaux, les activités de communication n'étant pas coordonnées au niveau de la Direction.

Toutes les recommandations, ainsi que la réponse et le plan d'action de la direction, qui sont énoncés dans les sections ci-après, devraient être envisagés dans le contexte de la structure de gestion existante à Statistique Canada.

Gouvernance et orientation stratégique

Surveillance efficace
L'établissement d'une surveillance efficace et d'une orientation stratégique est important pour veiller à ce que les changements apportés au SCNC tiennent compte des besoins des utilisateurs clés et soient bien communiqués, et que le SCNC comporte tous les mécanismes nécessaires pour que les changements apportés aux normes s'alignent sur les pratiques internationales et que les données importantes ne soient éliminées qu'après consultation.

La vérification a permis de déterminer qu'au niveau international, les cadres supérieurs du SCN représentent le Canada aux Nations Unies (ONU), au Fonds monétaire international (FMI), à l'Organisation de coopération et de développement économiques (OCDE) et au Comité consultatif sur le commerce extérieur (CCCE). Cela permet à Statistique Canada de contribuer aux changements apportés au SCN et d'en être informé en temps réel, et facilite les décisions quant aux normes à adopter pour répondre à l'évolution des besoins de compatibilité avec les normes internationales.

Au niveau national, des comités consultatifs comme le Comité consultatif des comptes nationaux (CCCN) et le Comité fédéral-provincial-territorial des comptes économiques provinciaux, qui sont constitués de conseillers et d'intervenants externes, ainsi que de cadres supérieurs du SCN, sont en place. Ces comités tiennent des réunions deux fois par année et tentent d'obtenir des conseils sur les enjeux clés, d'aborder les préoccupations, de mettre en commun des idées et d'informer les membres de ce que Statistique Canada fait, afin qu'ils puissent communiquer ces renseignements à leurs organisations ou collectivités respectives.

Au niveau du Bureau, plusieurs comités et groupes de travail sont en place au niveau du secteur, comme le Comité des statistiques économiques et le Comité des concepts du Secteur de la statistique du commerce et des entreprises – Système de comptabilité nationale (SCE-SCN); au niveau de la Direction, comme le Comité directeur de l'entrepôt de données du SCN, le Comité des méthodes et des normes; et au niveau de la Division, comme les secteurs spécialisés de la statistique de l'environnement, le comité des établissements de services de santé et de services sociaux, etc. Ils ont été établis pour discuter des enjeux opérationnels et les résoudre. Ces comités se réunissent chaque semaine, toutes les deux semaines ou une fois par mois, au besoin. Une surveillance indépendante est assurée par le Comité des politiques de Statistique Canada.

Le Comité de la diffusion et des communications de Statistique Canada assure la surveillance et établit la politique de communication et de diffusion. Quatre politiques ont été élaborées pour fournir des lignes directrices sur la diffusion et la publication des données. Il s'agit des suivantes : Politique sur les services de diffusion, de communication et de commercialisation; Politique pour Le Quotidien et la diffusion officielle; Politique sur les révisions institutionnelles et les évaluations par les pairs; Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie.

Deux politiques ont été diffusées récemment pour assurer l'orientation et fournir des directives relativement à la conservation des données. Il s'agit des suivantes : « Stratégie de gestion de l'information, diffusée le 26 octobre 2010, et « Directive sur la gestion des fichiers de microdonnées statistiques », qui a pris effet le 1er janvier 2011.

Orientation stratégique
En 1993, on est arrivé à un consensus interne sur les lignes directrices et normes, que l'on a désigné sous le nom de lignes directrices mondiales sur la comptabilité nationale, le Système de comptabilité nationale de 1993 (SCN 1993). Le SCN de 1993 a été produit sous les auspices des Nations Unies, du FMI, de la Commission européenne, de l'OCDE et de la Banque mondiale.

Statistique Canada reconnaît toute l'importance d'un ensemble de statistiques sur les comptes nationaux permettant des comparaisons internationales entre les pays membres de l'OCDE, et particulièrement entre le Canada et les États-Unis, afin que les analystes économiques puissent utiliser nos statistiques et tirer des conclusions en toute confiance.

Afin de mieux respecter ces normes, le Canada a procédé à une révision historique du SCNC, en 1997, pour qu'il s'aligne sur les dernières modifications internationales du SCN de 1993. On a utilisé le terme « révisions historiques » au Canada pour décrire les principales révisions apportées au SCNC qui intègrent des modifications des concepts, des classifications, des présentations et des changements statistiques majeurs. Ce type de révision a tendance à être effectué tous les 10 ou 15 ans et est généralement lié à la mise en œuvre de nouvelles recommandations internationales.

Une autre révision mondiale des normes a eu lieu en 2008, et Statistique Canada a l'intention d'apporter des révisions connexes à ses propres normes, en 2012-2015. Statistique Canada a pris la décision de mettre en œuvre un processus de révision régulier, plutôt qu'un grand processus de révision tous les 10 à 15 ans.

Pour les révisions historiques de 2012, un Comité directeur de révision historique du SCN composé de cadres supérieurs du SCN et des programmes de la statistique du commerce et des entreprises et de la statistique sociale et présidé par le DG de la Direction du SCN, a été établi. Une équipe de gestion de projet présidée par le DG de la Direction du SCN et constituée des directeurs des divisions et des gestionnaires de projet de la Direction du SCN est en place pour la gestion du projet.

De la documentation formelle, par exemple, « données contextuelles sur le projet »; « hypothèses »; « gouvernance et organisation »; et « calendrier et produits livrables » a été élaborée et est en place pour assurer l'orientation de l'équipe de gestion de projet et de l'équipe de révision historique du SCN, en vue de déterminer et de faire des recommandations de révisions.

Un rapport intitulé « Un aperçu préliminaire de la révision historique du Système canadien des comptes nationaux » a été élaboré, afin de fournir des renseignements aux utilisateurs sur les changements clés devant être intégrés dans le SCNC. Ce document sera soumis au CCCN, en juin 2011, et à la collectivité internationale, aux décideurs et aux experts techniques, d'ici novembre 2011, afin de les consulter et de les informer avant la date de mise en œuvre et de diffusion de juin 2012.

Gestion des risques et consultation des utilisateurs

Un aspect fondamental de la gestion réussie des risques en matière de communication est la mise en commun de données à jour, pertinentes et fiables, pour obtenir les points de vue des personnes touchées par les décisions. Les décisions prises avec la participation de parties intéressées et touchées seront plus efficaces et durables.

Gestion des risques
La vérification a permis de déterminer que les risques en matière de communication avec les utilisateurs externes sont gérés à deux niveaux – celui des utilisateurs clés, qui sont connus et pour lesquels on dispose de renseignements individuels, et celui des autres utilisateurs, pour lesquels aucun renseignement n'est disponible. Les utilisateurs clés, comme la Banque du Canada, les gouvernement fédéral, provinciaux et territoriaux, les banques à charte, le Secrétariat du Conseil du Trésor (SCT), Travaux publics et Services gouvernementaux Canada (TPSGC), le FMI, le CCCN, l'OCDE, les utilisateurs institutionnels, les chercheurs universitaires, les chercheurs, etc. utilisent les données du SCNC pour formuler et élaborer des politiques, administrer des programmes fiscaux et élaborer des modèles économiques pour analyser la santé de l'économie canadienne et faire des comparaisons, des analyses et des prévisions concernant l'économie mondiale. Les données du SCNC sont utilisées dans la formule servant à déterminer les paiements aux provinces en vertu du programme de péréquation et pour répartir la taxe de vente harmonisée entre les économies provinciales.

Comme les données sur les utilisateurs individuels, par exemple, leur adresse de courriel, leur numéro de téléphone, etc., sont disponibles pour ce groupe, la Direction du SCN peut faire participer directement les utilisateurs pour obtenir d'eux de la rétroaction à jour et pertinente. Par conséquent, elle peut évaluer les stratégies de communication, les tribunes et les activités de promotion qui sont utilisées pour déterminer et gérer avec eux les risques en matière de communication.

Les autres utilisateurs, comme les utilisateurs plus avertis du deuxième volet – professionnels, spécialistes, distributeurs secondaires et utilisateurs institutionnels, ainsi que groupes d'intérêt, utilisent les données du SCNC pour élaborer des stratégies et des prévisions et planifier les investissements. Ce groupe comprend aussi le grand public et les médias.

Étant donné qu'on ne dispose pas de renseignements individuels sur les autres utilisateurs, la Direction du SCN ne peut pas les faire participer directement en vue d'obtenir d'eux de la rétroaction pertinente et au moment opportun. Par conséquent, elle ne peut pas évaluer les stratégies de communication, les tribunes et les activités de promotion qu'elle utilise pour déterminer et gérer les risques en matière de communication avec eux.

Cela a été cité comme la raison des quelques événements négatifs qui se sont produits avec ce groupe, par suite des révisions historiques de 1997. Pour atténuer ce risque dans le cas des révisions historiques de 2012, un gestionnaire de projet a été nommé pour élaborer un plan de communication, en vue de gérer les stratégies de communication, tant au niveau interne qu'externe. Par ailleurs, contrairement à 1997, on a accès à Internet et on l'utilise de façon exhaustive comme outil de communication et de diffusion.

La vérification a permis de noter que, par le passé, lorsque des publications étaient vendues pour recouvrer les coûts, les divisions étaient incitées à savoir qui étaient les utilisateurs pour cibler leurs activités de marketing. Ainsi, les divisions tenaient un répertoire des utilisateurs. Maintenant que les publications sont gratuites, l'utilité d'un tel répertoire d'utilisateurs n'est plus aussi évidente. Les projets, programmes et divisions assurent plutôt un suivi auprès des utilisateurs qui téléphonent ou qui envoient des courriels. Au niveau du Bureau, les profils de clients et d'utilisateurs sont conservés dans le Système d'établissement de rapports sur les activités commerciales (SERAC), dans le cas des utilisateurs qui paient pour obtenir des données et de l'information de CANSIM. Ce système est maintenu par la Direction des communications et des services d'information (DCSI). Toutefois, à partir du 2 février 2012, la DCSI a proposé au Comité des politiques de ne plus facturer les utilisateurs pour les données de CANSIM.

La plupart des Canadiens consultent Internet au sujet des services gouvernementaux. Chaque interaction en ligne représente un point de données qui permet de consigner l'objet de la visite, l'origine, l'interaction et la langue. Il s'agit d'une voie numérique qui est entièrement mesurable. Toutefois, les programmes gouvernementaux sont axés sur le nombre de visites et de pages consultées et non pas sur la possibilité d'explorer davantage cette source de données pour exploiter les renseignements qu'elle contient.

Recommandation n^o 1

Il est recommandé que le SCA, Comptes nationaux et Études analytiques, de concert avec la DCSI, s'assure :

• qu'un « registre central » de données sur les utilisateurs individuels est créé au niveau de la Direction du SCN, afin de consigner toutes les catégories d'utilisateurs et de profiter des données recueillies à partir des interactions en ligne.

Réponse de la direction

La direction est d'accord avec la recommandation. Le directeur général du Système de comptabilité nationale (SCN) s'assurera que tous les programmes de la Direction utilisent l'outil intégré du SGRC pour consigner les renseignements sur les utilisateurs et les clients. Tous les directeurs du SCN s'assureront que des rapports réguliers sont produits à partir de ce système, sur une base trimestrielle et annuelle au minimum.

Réalisations attendues et calendrier

Mise en œuvre du SGRC et formation du personnel relativement à son utilisation, d'ici mai 2012.

Des rapports trimestriels seront soumis en février, mai, août et novembre, une fois que le SGRC aura été mis en œuvre.

Stratégies de consultation pour faire participer les utilisateurs clés
Plusieurs comités et groupes de travail constitués de représentants des utilisateurs clés sont en place pour obtenir de la rétroaction de ces derniers et donner suite à leurs préoccupations et suggestions.

Des discussions de groupe se tiennent après chaque diffusion trimestrielle des données du PIB. Cela fournit à Statistique Canada de la rétroaction utile sur les besoins émergents des utilisateurs et les besoins de données. Cela contribue en outre à appuyer la pratique de transparence de Statistique Canada en ce qui a trait aux défis et aux décisions liés à la compilation des données.

Les cadres supérieurs du SCN participent aux conférences et aux ateliers d'associations commerciales ou professionnelles et font partie de divers groupes de travail, en vue de fournir de l'information et d'obtenir de la rétroaction.

Des présentations et des séminaires destinés à des auditoires particuliers, comme les chercheurs universitaires, ainsi que les associations et les établissements professionnels et commerciaux, se tiennent sur des sujets généraux ou particuliers.

Plusieurs voies de communication, comme CANSIM, Le Quotidien, les courriels, les enquêtes, les liens avec les articles et les documents et rapports dans le site Web du SCN, sont utilisées pour communiquer avec les utilisateurs et leur fournir des renseignements concernant les modifications et les produits du SCN.

Une stratégie et un plan de communication ont été élaborés pour la révision historique de 2012, plusieurs réunions se sont tenues et plusieurs présentations ont été faites à des coordonnateurs statistiques fédéraux, provinciaux et municipaux, pour souligner les modifications et les différences entre le SCN et les comptes publics de TPSGC.

Stratégies de consultation pour faire participer les autres utilisateurs
Pour joindre ces utilisateurs, les représentants du SCN participent à des conférences et des ateliers d'associations commerciales et professionnelles; font des présentations et tiennent des séminaires destinés à des auditoires généraux et particuliers, comme les chercheurs universitaires, les associations et les établissements professionnels et techniques, concernant des sujets généraux ou particuliers.

Des agents d'information responsables au niveau de la Division donnent suite aux demandes des utilisateurs et aux demandes de renseignements.

Plusieurs voies de communication, comme CANSIM, Le Quotidien, les courriels, les enquêtes, les liens avec les articles et les documents et rapports dans le site Web du SCN, servent à communiquer avec les utilisateurs et à leur fournir des renseignements concernant les modifications et les produits du SCN.

Des enquêtes sont utilisées presque exclusivement par certaines des divisions pour obtenir de l'information ou de la rétroaction des utilisateurs.

Afin d'atténuer le risque d'événements similaires à ceux qui se sont produits au cours de la révision historique de 1997, un plan de communication a été élaboré pour les révisions historiques de 2012, afin d'éliminer le facteur de surprise, de sensibiliser davantage aux concepts et à la terminologie du SCNC et d'en améliorer la compréhension, d'obtenir le soutien des utilisateurs et de joindre la collectivité des utilisateurs, afin de déterminer ses besoins et la façon dont le SCNC devrait évoluer pour y répondre.

Un rapport intitulé « Un aperçu préliminaire de la révision historique du Système canadien des comptes nationaux » a été élaboré, afin de fournir des renseignements aux utilisateurs sur les changements clés devant être intégrés dans le SCNC. Ce document sera soumis au CCCN, en juin 2011, et à la collectivité internationale, aux décideurs et aux experts techniques, d'ici novembre 2011, afin de les consulter et de les informer avant la date de mise en œuvre et de diffusion de juin 2012.

En outre, à l'automne 2011, un autre document sera publié pour faire état des effets et des répercussions possibles des nouvelles modifications du SCNC.

Responsabilisation

Quatre ensembles majeurs de données statistiques – comptes des entrées-sorties, comptes des revenus et des dépenses, comptes financiers et du patrimoine et comptes de la balance des paiements, constituent les principales composantes des comptes économiques nationaux. La préparation et la qualité des sources de données pour les comptes économiques est du ressort du Secteur de la statistique du commerce et des entreprises, et la préparation des comptes économiques à partir des sources de données est assurée dans un environnement matriciel par les six divisions de la Direction du SCN. Il devrait y avoir une délimitation claire des responsabilités, des pouvoirs délégués et des voies de communication pour appuyer une coordination efficace dans cet environnement matriciel, afin d'assurer des opérations efficientes et efficaces.

Rôles et responsabilités et organigrammes
La vérification a fait ressortir que les rôles et responsabilités sont définis et communiqués aux employés. Il existe des organigrammes à jour qui permettent de déterminer des voies de communication et de rapport claires et efficaces et qui sont disponibles dans le site Web du SCN pour chaque division de la Direction. Des descriptions de postes génériques sont utilisées par les divisions. Le projet de révisions historiques de 2012 a permis d'élaborer et de documenter une structure de gouvernance comportant une description des rôles et responsabilités du Comité directeur de révision historique du SCN, des équipes de révision et de l'équipe de la diffusion et des produits.

Processus de gestion des changements
La vérification a fait ressortir que l'on utilise un processus non documenté pour la gestion du projet de révisions historiques de 2012, étant donné qu'il n'existe pas de processus formel de gestion des changements documenté pour la gestion de toutes les révisions et modifications du SCNC.

Les employés ont été répartis en « équipes de révision » selon leur domaine de spécialisation (p. ex., dépenses publiques, bilans et flux, TVH..., etc.). Ces équipes se sont penchées sur les révisions historiques de 2008 et ont élaboré des recommandations à l'intention de leurs comités directeurs respectifs, qui sont responsables de déterminer si les recommandations s'appliquent au SCNC.

On a eu recours à un formulaire type pour élaborer les recommandations. Dans ce formulaire, il faut entrer les renseignements suivants, avant de les soumettre à un comité directeur pour examen et approbation – Numéro et titre de l'enjeu; membres et dirigeant de l'équipe d'examen; description et contexte de l'enjeu; recommandation; conformité aux normes (SCN 2008 et autres); avantages, risques, répercussions sur les programmes touchés et les clients découlant de la recommandation; ressources estimées requises pour la mise en œuvre de la recommandation; besoins de données; échéancier estimé pour élaborer les données requises; grille dûment remplie des répercussions; répercussions sur les produits (p. ex., CANSIM, documentation); et enjeux connexes.

Ces formulaires ont été entrés dans un système appelé "Team Foundation Server" (TFS), qui sert à consigner les révisions spécialisées. Il s'agit d'une voie de communication par Internet qui constitue un répertoire central pour les questions de documentation, de calendrier et de consignation. Il ne s'agit pas d'un système formel de gestion des changements dont l'utilisation est obligatoire pour toutes les divisions de la Direction du SCN. Les renseignements relatifs aux projets qui ne sont pas horizontaux sont conservés au niveau de la division et ne sont pas disponibles dans le TFS.

Le fait de ne pas avoir de processus formel de gestion des changements documenté et utilisé par tous les employés augmente le risque d'utilisation inefficace et inefficiente des ressources en raison des problèmes de communication, de compréhension, de répétition et de lacunes.

Le fait de ne pas rendre obligatoire l'utilisation d'un système uniforme de gestion des changements pour la consignation et la saisie de toutes les révisions et modifications augmente le risque de perte de connaissances intégrées et d'incapacité de suivre toutes les modifications ou révisions aux fins de la vérification.

Recommandation no 2

Il est recommandé que le SCA, Comptes nationaux et Études analytiques, veille à ce que :

• le processus de gestion des changements est documenté et suivi pour toutes les révisions et modifications du SCNC; et que l'utilisation d'un système de gestion des changements est rendue obligatoire pour la consignation et la saisie de toutes les révisions et modifications du SCNC.

Réponse de la direction

La direction est d'accord avec la recommandation. Le directeur général du SCN s'assurera qu'un poste d'analyste de la planification relevant du DG SCN est classifié et doté. Le nouvel analyste de la planification élaborera, documentera et mettra en œuvre le système de gestion des changements pour la Direction.

Le directeur général du SCN veillera en outre à ce que tous les projets utilisent le système de gestion des changements et que les rapports du système soient régulièrement passés en revue par les cadres de la Direction et le Conseil de planification du secteur.

Réalisations attendues et calendrier

Le poste d'analyste de la planification doit être doté d'ici l'automne 2011.

Un système de gestion des changements opérationnel doit être en place d'ici décembre 2011.

Des rapports trimestriels doivent être présentés aux cadres de la Direction et des rapports semestriels au Conseil de planification du secteur, d'ici décembre 2011.

Communication

La mise en commun de données à jour, pertinentes et fiables avec les utilisateurs et les intervenants externes concernant les services offerts par l'organisation, les changements prévus et les révisions statistiques du SCNC, est essentielle pour faire participer les utilisateurs et s'assurer que les besoins et les contraintes des utilisateurs, ainsi que les risques pour eux, sont compris et gérés.

Des stratégies, processus et activités formels de communication sont requis pour la communication et les diffusions de « production » courantes, par exemple, les diffusions mensuelles et trimestrielles du PIB, les données trimestrielles sur l'emploi, les données annuelles sur la vente d'alcool, etc. et les publications et rapports sur papier et électroniques; les révisions historiques du SCN et les révisions annuelles.

Diffusions de production courantes
Les calendriers de production des diffusions de production courantes sont documentés et mis à la disposition des équipes de production. Ils sont détaillés et guident les équipes de production concernant les réalisations attendues, les étapes à franchir, les tâches à effectuer, la personne ou l'équipe responsable des tâches et la date de réalisation, afin de respecter les dates de diffusion. Ils servent de stratégie de communication interne pour le projet, le programme et la division.

Pour la diffusion des produits de la Direction du SCN et les diffusions de production courantes, une équipe de diffusion et de production est en place. Cette équipe a à sa tête un membre de la Division des comptes des revenus et des dépenses (DCRD) et compte des représentants du reste des divisions de la Direction du SCN. Les membres tiennent des réunions périodiques (c.-à-d. sur une base mensuelle – le premier lundi de chaque mois), pour échanger de l'information, des points de vue et des pratiques exemplaires en ce qui a trait à l'ensemble des outils de diffusion, comme le module Web du SCN, CANSIM, les publications et d'autres produits.

Tant sur le réseau local (RL) de Statistique Canada que sur le réseau étendu (RE), Le Quotidien est considéré comme le « bulletin de diffusion officiel de Statistique Canada ». Il s'agit de la première ligne de communication de Statistique Canada avec les médias et le public pour la diffusion de nouveaux communiqués sur la situation sociale et économique courante, et il sert à faire des annonces concernant les produits les plus récents de Statistique Canada.

Des modules du site Web, comme le module « Système des comptes économiques nationaux » (site Web), fournissent des aperçus à jour des économies nationale et provinciales et de leur structure. La page Web « Nouveautés en matière de comptes économiques canadiens » est un produit électronique qui comprend des renseignements concernant les progrès méthodologiques les plus récents du Système des comptes économiques nationaux (SCEN). Ce portail comprend des annonces et des notes permettant de savoir quand, pourquoi et comment des changements particuliers seront mis en œuvre. Il fournit aussi des mises à jour et des suppléments d'information trouvés dans divers guides et documents. Généralement, les données méthodologiques sont publiées dans ces sites, avant que des révisions soient apportées dans les guides et autres documents de Statistique Canada.

CANSIM est une base de données socioéconomiques exhaustive dans laquelle des milliers de tableaux de données sont disponibles pour les prévisions, l'analyse, l'évaluation et la planification, et peuvent être téléchargés en tout temps et partout, moyennant des frais.

Révisions historiques du SCN de 2012
Il existe une ébauche de « plan de communication du SCN » qui énonce le cadre de communication pour le projet de révisions historiques du SCN de 2012. On attend la rétroaction des directeurs et de la DCSI à l'égard de ce plan. L'objectif de ce plan est d'adopter une approche proactive en matière de communication, c'est-à-dire s'assurer que les intervenants sont informés des intentions de Statistique Canada bien avant toute mise en œuvre. Le succès du plan sera évalué sur la base de la compréhension et de l'acceptation des changements par les intervenants, de l'absence de surprises évitables pour les intervenants et du maintien ou de l'amélioration de la comparabilité avec d'autres pays et économies, avec un accent particulier sur l'économie américaine.

Dans le cadre de ce processus, la Direction du SCN a collaboré avec la DCSI pour déterminer des façons pratiques de joindre les intervenants, ainsi que d'utiliser le plus efficacement possible la technologie disponible. L'ébauche de plan détermine et définit les rôles des intervenants (c.-à-d. les personnes/groupes qui participent à ce projet), leurs besoins d'information et la façon dont la Direction du SCN entend les combler. Il énonce l'approche et les stratégies de communication, tant à l'intérieur du projet qu'au niveau externe avec les clients et partenaires.

Parmi les efforts de communication qui sont actuellement déployés en ce qui a trait aux révisions historiques de 2012 figure la diffusion fréquente d'articles, à partir de toutes les voies disponibles, par la Direction du SCN, afin de communiquer à tous les utilisateurs les changements à venir. Le statisticien en chef adjoint du Secteur des comptes nationaux et des études analytiques a envoyé des courriels à tous les coordonnateurs statistiques fédéraux, provinciaux ou territoriaux, afin de les informer des changements à venir, environ 22 mois avant la diffusion officielle de 2012 (c.-à-d. en septembre 2010). Des présentations ont été faites dans le cadre de conférences fédérales, provinciales et territoriales courantes, la dernière ayant eu lieu en novembre 2010. Des présentations ont aussi été faites au Comité consultatif des comptes nationaux (CCCN), en mai et octobre 2010.

Un rapport intitulé « Examen préalable de la révision historique du Système de comptabilité nationale du Canada » a été rédigé, afin de fournir des renseignements aux utilisateurs sur les changements clés devant être intégrés dans le SCNC, et doit être soumis au CCCN en juin 2011 et à la communauté internationale, aux décideurs et aux experts techniques, d'ici novembre 2011, afin de les informer et d'obtenir leurs commentaires avant la date de mise en œuvre et de diffusion de juin 2012.

Par ailleurs, à l'automne 2011, un autre document sera publié pour énoncer les effets et répercussions possibles des nouvelles modifications du SCNC.

Révisions annuelles
Un document « Politique de révision du Système de comptabilité nationale du Canada » est envoyé aux intervenants clés et aux utilisateurs, comme la Banque du Canada, le ministère des Finances, les coordonnateurs statistiques fédéraux, provinciaux et territoriaux, les grandes banques, etc., afin de les informer de la diffusion annuelle et des révisions qui seront apportées par la Direction du SCN aux comptes du SCNC pour les années 2011, 2012 et 2013, ainsi que de la date approximative de la diffusion des données chaque année, et de solliciter leur intervention. Même si on l'appelle politique, il s'agit dans les faits d'un échéancier de chaque révision et diffusion des comptes du SCNC pour les années 2011, 2012 et 2013.

Toutes les divisions de la Direction du SCN suivent deux étapes pour diffuser les révisions et informer les utilisateurs lorsque les révisions sont mises en œuvre. Tout d'abord, la Base de métadonnées intégrée (BMDI) est mise à jour lorsque les révisions sont mises en œuvre et diffusées. Il s'agit d'une base de données publique qui est disponible par l'entremise de CANSIM, dans le portail externe de Statistique Canada et, en deuxième lieu, une annonce est faite dans Le Quotidien avec un lien avec la BMDI. Seule la Division des comptes des revenus et des dépenses (DCRD) rédige un article concernant les répercussions de la révision, qui portent sur le quoi, le comment et le pourquoi. Cela fait l'objet d'une annonce dans Le Quotidien et d'un lien avec CANSIM.

Dans le cadre de la vérification, on a noté que le processus en deux étapes de communication externe n'est pas documenté. Il n'existe pas de plan de communication formel, similaire à celui qui a été élaboré pour les révisions historiques de 2012, pour les révisions annuelles.

Recommandation no 3

Il est recommandé que le SCA, Comptes nationaux et Études analytiques, veille à ce qu'un :

• Plan de communication intégré, tant pour les révisions historiques que pour les révisions annuelles, est élaboré et documenté au niveau de la Direction.

Réponse de la direction

La direction est d'accord avec la recommandation. Le directeur général du SCN s'assurera qu'un plan de communication intégré pour les prochaines révisions historiques et annuelles exhaustives est élaboré, plan qui sera fondé sur le plan de communication pour la révision de 2012 et les procédures de la Division pour les programmes de révision annuels.

Réalisations attendues et calendrier

Plan de communication intégré, qui sera mis à jour chaque année, parallèlement au processus de planification intégré, au plus tard en février 2012, et chaque année par la suite.

Stratégies de communication pour les besoins propres aux divisions
Dans le cadre de la vérification, on a noté que des stratégies, processus et activités de communication formels existent pour les besoins propres aux divisions. Ces stratégies ont été élaborées par les divisions, comme la DCSE, qui, de concert avec la DCSI, ont établi quatre tribunes particulières pour communiquer avec les utilisateurs et faciliter la compréhension des priorités des Canadiens qui souhaitent obtenir des données environnementales et promouvoir Statistique Canada comme fournisseur de données sur l'environnement. Les quatre tribunes sont les suivantes : 1) publicité par courriel – envoyée à environ 10 000 Canadiens; la liste d'adresses de courriels a été achetée; 2) sondages instantanés sur le site Web, afin de recueillir des données sur les utilisateurs; 3) séries de consultations téléphoniques menées par une entreprise d'experts-conseils recrutée pour exécuter cette tâche; et 4) interactions en personne, grâce à des présentations et à la participation à des conférences, ateliers et séminaires, pour établir et maintenir des rapports avec les utilisateurs les plus importants.

La Division des comptes des industries (DCI) a un « groupe de consultation et de marketing » réservé à son propre usage. La Division produit des modèles économiques, à partir des demandes des utilisateurs qui souhaitent obtenir des modèles complexes qui illustrent un type particulier de répercussions économiques (p. ex., raisons des creux, sommets, tendances..., etc.).

Chaque division compte sur des agents d'information responsables pour répondre aux « demandes générales » qui sont liées de façon particulières à leur domaine spécialisé.

Toutefois, dans le cadre de la vérification, on a noté que les activités de communication ne sont pas coordonnées au niveau de la Direction du SCN et que les niveaux de service varient selon les divisions. À l'heure actuelle, chaque division travaille de façon indépendante pour communiquer ses produits et services aux utilisateurs finaux. Par conséquent, chaque division consulte, de sa propre initiative, la DCSI pour obtenir son aide relativement à l'élaboration d'une stratégie pour joindre effectivement les utilisateurs finaux. Le manque de coordination augmente le risque que les pratiques exemplaires ne soient pas mises en commun ni documentées, que les efforts et les ressources se chevauchent et que des connaissances intégrées soient perdues.

Recommandation no 4

Il est recommandé que le SCA, Comptes nationaux et Études analytiques, veille à ce que :

• toutes les activités de communication, internes et externes pour le SCNC, sont coordonnées au niveau de la Direction.

Réponse de la direction

La direction est d'accord avec la recommandation. Pour les communications internes, la Direction du SCN a créé, le 1er avril 2011, une nouvelle division – Division de l'intégration et du développement de la comptabilité nationale (DIDCN). Une des responsabilités de la nouvelle division est la coordination des communications pour l'ensemble de la Direction, avec les programmes internes qui fournissent les données au SCN. La DIDCN est aussi responsable de la coordination des communications de Statistique Canada avec les clients pour deux programmes obligatoires qui utilisent les données du SCN – répartition de la TVH et arrangements fiscaux.

À partir des réalisations attendues découlant des trois premières recommandations, le directeur général du SCN s'assurera que l'équipe de gestion de la Direction passe en revue et approuve les plans de communications chaque année pour chaque programme du SCN et s'assure qu'ils sont coordonnés par l'entremise d'un comité établi à cette fin.

Réalisations attendues et calendrier

Processus établi et documenté de coordination des communications internes avec les programmes fournisseurs de données, par l'entremise de la DIDCN, d'ici mars 2012.

Nouveau processus établi et documenté pour la coordination des communications avec les clients de la TVH et des arrangements fiscaux, par l'entremise de la DIDCN, septembre 2011.

Établissement du Comité des communications de la Direction du SCN, qui relève du Comité de gestion de la direction, afin de coordonner les activités de communication dans l'ensemble de la Direction, d'ici octobre 2011.

Annexes

Annexe A : Processus d'examen du SCN et du SCNC

Les processus de révision du SCN et du SCNC sont les suivants :

Processus de révision du Système de comptabilité nationale (SCN) international

1. La décision d'apporter des changements au Manuel international du SCN est prise par les Nations Unies, afin de rendre compte de l'évolution des besoins des utilisateurs, des nouveaux progrès de l'environnement économique et des progrès de la recherche méthodologique.
2. Les Nations Unies établissent un groupe de travail constitué des cinq organisations suivantes – Nations Unies, Commission européenne, Organisation de coopération et de développement économiques (OCDE), Fonds monétaire international (FMI) et Banque mondiale.
3. Les cinq organisations établissent des groupes d'experts pour effectuer de la recherche sur divers sujets.
4. Un groupe consultatif d'experts est établi et comporte des représentants des bureaux statistiques nationaux et des banques centrales de pays partout dans le monde. Cela comprend des représentants de Statistique Canada.
5. Les décisions et les opinions sont diffusées par l'entremise du site Web des statistiques des Nations Unies, afin de recueillir des commentaires au niveau mondial pour assurer une transparence complète.
6. À la quarantième session, la Commission de statistique a adopté le SCN de 2008 comme norme statistique internationale pour les comptes nationaux. On a encouragé tous les pays à compiler leurs comptes nationaux et à en rendre compte sur la base du SCN de 2008 le plus rapidement possible.

Processus de révision du Système de comptabilité nationale du Canada (SCNC)

1. Statistique Canada procède à un examen interne pour déterminer si les pratiques du SCNC diffèrent des nouvelles normes internationales.
2. Les domaines où Statistique Canada diffère font l'objet d'une recherche, afin de décider quelles pratiques seront alignées sur les nouvelles normes internationales; quelles pratiques seront reportées en raison de données insuffisantes ou de l'absence d'une entente internationale sur la méthodologie et l'estimation; quelles pratiques ne justifient pas d'être mises en œuvre et quelles pratiques qui ne seront pas adoptées parce que nous sommes en désaccord avec les normes internationales.
3. Une date est fixée pour la mise en œuvre.
4. On communique aux utilisateurs la date à laquelle les données révisées seront diffusées, les changements qui seront apportés, et les années qui font l'objet de révisions.
5. Des données sont élaborées pour les révisions, c'est-à-dire :
   • qu'on obtient les données nécessaires
   • qu'on élabore la méthodologie et l'estimation nécessaires
   • qu'on élabore et valide les résultats préliminaires
   • qu'on intègre les nouvelles données dans le SCNC.
6. Les changements provisoires sont communiqués aux utilisateurs.
7. Les données sont diffusées à la date établie pour la mise en œuvre.

Processus de révision du Système de comptabilité nationale (SCN) international
Processus de révision du Système de comptabilité nationale du Canada (SCNC)

Description : Figure 1 - Processus de révision du Système de comptabilité nationale (SCN) international
Processus de révision du Système de comptabilité nationale du Canada (SCNC)

Annexe B : Critères de vérification

Annexe B : Critères de vérification

Secteur d'intérêt	Critères
Gouvernance et orientation stratégique	Un comité de cadres supérieurs a été établi et reçoit des données suffisantes pour s'assurer que les changements apportés aux normes du SCNC tiennent compte des besoins des utilisateurs clés et sont bien communiqués, et que le SCNC a les mécanismes nécessaires en place pour s'assurer que les changements sont apportés aux normes en conformité avec les pratiques internationales.
Gestion des risques	Les gestionnaires de niveaux appropriés et tous les secteurs fonctionnels appropriés (c.-à-d. les secteurs qui possèdent une expertise dans le domaine) participent à l'analyse des risques. Des plans d'action sont mis en place pour gérer ou traiter les risques qui sont considérés comme inacceptables par les gestionnaires.
Services axés sur les citoyens	Il existe des processus/mécanismes officiels de communication axés sur l'échange de données fiables, pertinentes et opportunes avec les utilisateurs et d'autres intervenants externes. Une stratégie de communication est en place pour guider les communications avec les utilisateurs actuels et potentiels. Les activités de communication servent à informer les utilisateurs potentiels des services offerts par l'organisation. On sollicite régulièrement les commentaires des utilisateurs et autres intervenants grâce à des mécanismes comme des analyses environnementales, des recherches sur l'opinion publique et des enquêtes sur la satisfaction de la clientèle. Les processus de planification de l'organisation tiennent explicitement compte de ces commentaires et l'organisation s'en sert; pour remettre en question ses objectifs et priorités en matière de service; pour veiller à ce que ses services soient pertinents et répondent aux besoins des utilisateurs; pour déterminer les améliorations possibles des services.
Responsabilisation	Les responsabilités sont clairement énoncées et bien communiquées.

Note

Rapport de vérification

31 mars 2011
Numéro de projet : 80590-62 ( Document (PDF, 417.92 Ko) )

• Sommaire exécutif
  • Principales constatations
  • Conculsion générale
• Introduction
  • Contexte
  • Objectif
  • Portée et approche
  • Autorité compétente
• Conclusions, recommandations et réponses de la direction
• Cadre d'assurance de la qualité
  • Gouvernance
  • Politiques et programmes
  • Services axés sur les citoyens
  • Résultats et rendement
• Gestion des risques
• Gérance
• Annexes
  • Annexe A : Critères de vérification
  • Annexe B : Glossaire

Sommaire exécutif

Le Programme des estimations de la population (PEP) de Statistique Canada est tenu par la loi de fournir à l'administration fédérale des estimations démographiques annuelles officielles et certifiées, nécessaires à l'établissement des formules de calcul des transferts de revenus et des contributions en vertu de divers programmes législatifs fédéraux. Ces estimations permettent à l'administration fédérale d'affecter environ 60 milliards de dollars par an. Selon les plus récents règlements (2008) de la Loi sur les arrangements fiscaux entre le gouvernement fédéral et les provinces, ces estimations doivent être présentées au ministère des Finances sous forme de certificats démographiques au 1er juin et au 1er juillet. Les certificats démographiques sont produits par la Division de la démographie, qui relève du Secteur de la statistique sociale, de la santé et du travail^{Footnote 1}, dans le cadre du processus opérationnel statistique de certification des estimations démographiques annuelles (POS CEDA) relatif au Programme des estimations de la population (PEP).

Le POS CEDA constitue une activité d'intégration de données qui consiste à estimer, modéliser ou calculer autrement des données à partir de sources de données statistiques existantes provenant de plusieurs fournisseurs internes et externes; ces données peuvent présenter des problèmes de qualité survenus chez le fournisseur ou à l'interne. Lorsque ces estimations sont erronées, le calcul et la perception des soldes des transferts et des contributions risquent de l'être aussi.

L'objectif de la vérification consiste à assurer le statisticien en chef et le Comité ministériel de vérification (CMV) que le cadre d'assurance de la qualité (CAQ) pour la certification des estimations démographiques annuelles (CEDA) est en place et est conforme au cadre d'assurance de la qualité et aux lignes directrices connexes de Statistique Canada ainsi qu'aux contrôles de gestion de base du Secrétariat du Conseil du Trésor (CGB SCT).

La vérification a été effectuée par les Services de vérification interne de Statistique Canada et les éléments probants ont été recueillis conformément aux normes de vérification interne de l'administration fédérale du Canada et au International Professional Practices Framework (IPPF) de l'Institute of Internal Auditors (IIA).

Principales constatations

Le POS CEDA dispose d'un régime de gouvernance stratégique en vue de l'amélioration continue de son programme d'assurance de la qualité, lequel est conforme au CAQ et aux lignes directrices connexes de Statistique Canada. Bien que le POS CEDA soit associé à des publications méthodologiques et stratégiques valables ainsi qu'à un système d'assurance de la qualité, les processus ne sont pas officiellement étayés par des manuels de procédures ou par des listes de contrôle. Le POS CEDA facilite l'accès aux données par une stratégie de communication efficace et un service à la clientèle permettant d'orienter les communications entre les coordonnateurs statistiques provinciaux et territoriaux, les ministères fédéraux et les autres utilisateurs des données. Les méthodes et les indicateurs d'évaluation de la qualité sont appliqués à toutes les composantes des estimations démographiques. Les indicateurs de qualité font l'objet d'un examen et d'un contrôle actif, dont les résultats sont consignés.

L'intervention du Programme des estimations de la population (PEP) dans la gestion des risques s'est limitée à l'évaluation des risques à l'échelle du Bureau menée au cours de l'Évaluation de la menace et des risques (EMR) et de l'Examen quadriennal de programme (EQP). Ces activités étaient axées sur un large apport de données (TI, RH). Les processus ne permettent pas de déterminer, d'évaluer et d'atténuer complètement les risques spécifiquement associés au Programme des estimations de la population.

Le POS CEDA a mis en place des mesures de qualité qui consistent en une combinaison fonctionnelle de contrôles de qualité préventifs, de détection, automatisés, manuels et interactifs. Cependant, la conception et l'efficacité fonctionnelle des méthodes d'assurance de la qualité du POS CEDA n'ont pas été officiellement éprouvées ou contrôlées de façon régulière.

Conclusion générale

La vérification a révélé que le processus opérationnel statistique de certification des estimations démographiques annuelles (POS CEDA) était conforme au CAQ et aux lignes directrices connexes de Statistique Canada et qu'il respectait essentiellement les critères des contrôles de gestion de base du Secrétariat du Conseil du Trésor. Il y a lieu de consolider le POS CEDA en améliorant la documentation relative au processus d'assurance de la qualité, en étayant le cadre de gestion des risques et en contrôlant la conception et l'efficacité des méthodes d'assurance de la qualité du programme.

Introduction

Contexte

Établi dans les années 1970, le Programme des estimations de la population de Statistique Canada a toujours rempli son mandat juridique de fournir aux ministères stratégiques des données démographiques certifiées. Le budget de fonctionnement annuel du programme est d'environ 2,1 millions de dollars et prévoit 28 ETP. Selon les parties V et V.1 de la Loi sur les arrangements fiscaux entre le gouvernement fédéral et les provinces et les articles 27 et 28 des règlements connexes (2008), Statistique Canada est tenu de présenter au ministre des Finances, au plus tard le 30 septembre de chaque année, des certificats reflétant la population de chaque province et de chaque territoire selon les modalités suivantes :

• un certificat démographique au 1er juin, couvrant l'ensemble des provinces et des territoires avec les chiffres de population totaux, pour les besoins du Transfert canadien en matière de santé, du Transfert canadien en matière de programmes sociaux, du Transfert visant la réduction des temps d'attente et du Programme de péréquation;
• un certificat démographique au 1er juillet, couvrant l'ensemble des provinces et des territoires avec les chiffres de population totaux, pour les besoins de la Formule de financement des territoires.

Les certificats démographiques comprennent les estimations de l'année en cours et les données des sept années civiles ou exercices précédents par type d'estimation—intercensitaire (ID) et postcensitaire (PP, PR et PD)—ainsi que les données ayant fait l'objet de révisions historiques. L'administration fédérale utilise ces estimations pour affecter environ 60 milliards de dollars par année.

Les certificats démographiques sont produits par la Division de la démographie, qui relève du Secteur de la statistique sociale, de la santé et du travail^{Footnote 2}, dans le cadre du processus opérationnel statistique de certification des estimations démographiques annuelles (POS CEDA) relatif au Programme des estimations de la population (PEP). Le POS CEDA présente les caractéristiques suivantes :

• il s'agit d'une activité statistique dérivée qui consiste à estimer, modéliser ou calculer autrement des données à partir de sources de données statistiques existantes provenant de plusieurs fournisseurs internes et externes;
• il fait l'objet de processus de consultation et de validation des données dans le cadre des relations fédérales-provinciales-territoriales;
• des problèmes de qualité des données peuvent survenir chez le fournisseur ou à l'interne, ce qui nécessite des systèmes de communication et de rétroaction entre le PEP et ses fournisseurs et intervenants;
• la production des estimations comporte des méthodes d'assurance et de certification de la qualité, mises en œuvre à l'interne par le PEP.

La production de certificats démographiques sous forme de totalisations spéciales à l'intention du ministère des Finances constitue un sous-produit du POS CEDA, qui produit et publie un vaste éventail d'estimations démographiques trimestrielles et annuelles offertes à tous les utilisateurs. La structure et l'assurance de la qualité des certificats démographiques sont déterminées par les exigences législatives, par le CAQ de Statistique Canada (2002), par les lignes directrices connexes (2009) et par les directives reçues de la Division de la statistique du secteur public, Direction du Système de comptabilité nationale, fondées sur des consultations bilatérales et multilatérales avec les ministères stratégiques.

Objectif

L'objectif de la vérification consiste à assurer le statisticien en chef et le Comité ministériel de vérification (CMV) que :

• le cadre d'assurance de la qualité pour la certification des estimations démographiques annuelles est en place et est conforme au cadre d'assurance de la qualité et aux lignes directrices connexes de Statistique Canada ainsi qu'aux contrôles de gestion de base du Secrétariat du Conseil du Trésor.

Portée et approche

La mission de vérification a été réalisée conformément aux normes de vérification interne du gouvernement du Canada et de l'IIA ainsi qu'à la Politique sur la vérification interne du Conseil du Trésor. Toutes les tâches ont été menées en collaboration avec les principaux cadres supérieurs de la Division de la démographie, les gestionnaires et le personnel de la Section des estimations démographiques et de la Section du développement et des méthodes démographiques. La méthode de vérification était inspirée des lignes directrices relatives aux contrôles de gestion de base du Secrétariat du Conseil du Trésor, produites par le Bureau du contrôleur général.

L'évaluation du cadre d'assurance de la qualité (CAQ) pour le POS CEDA comprenait l'examen détaillé du niveau de développement et de conformité des mesures de qualité existantes par rapport aux principes du CAQ de Statistique Canada (2002), aux lignes directrices concernant la qualité (2009) et aux contrôles de gestion de base du Secrétariat du Conseil du Trésor dans les domaines de la gouvernance, de la gestion et de la maîtrise du risque (voir les critères d'évaluation à l'annexe A). La vérification porte sur l'évaluation du CAQ du POS CEDA pour la production de chiffres actuels des estimations démographiques annuelles du Canada, des provinces et des territoires, qui font l'objet d'une certification annuelle dans le cadre de la mise en application de la Loi sur les arrangements fiscaux entre le gouvernement fédéral et les provinces et des règlements connexes (2008).

La portée de la vérification était fondée sur l'univers des estimations démographiques annuelles utilisées dans les certificats démographiques annuels fournis au ministère des Finances à la fin de septembre de chaque année au cours des 12 dernières années (2010 à 1998), selon leur type, leurs composantes et leurs dimensions. Ces estimations sont produites au 1er juin et au 1er juillet. L'univers de la vérification est composé des estimations démographiques annuelles postcensitaires et intercensitaires certifiées, qui constituent une série d'estimations révisées à divers intervalles pour les besoins de l'exactitude et de l'actualité.

La vérification couvrait 95 % des composantes respectives des estimations démographiques et des étapes du POS CEDA et comprenait des composantes intégrées au POS CEDA sur une base cyclique (révisions, estimations intercensitaires, chiffres de population censitaires). À la suite d'une évaluation des risques, les composantes de l'estimation et de la certification des décès et des émigrants de retour ont été exclues de la portée de la vérification.

On a procédé à la vérification au moyen des méthodes suivantes :

• entrevues avec les cadres supérieurs, la direction et le personnel de production du PEP;
• examens sommaires et détaillés;
• essai d'assurance de la qualité des certificats démographiques;
• examen d'échantillons de spécifications ESTIME et Non-ESTIME par composante des estimations démographiques en fonction du risque;
• examen de procédures, de documents et de procès-verbaux.

Autorité compétente

Les Services de vérification interne ont effectué la vérification dans le cadre du Plan de vérification axé sur les risques (PVAR) de Statistique Canada pour les exercices 2010-2011 à 2012-2013. Le Comité ministériel de vérification (CMV) a approuvé le PVAR le 15 avril 2010.

Conclusions, recommandations et réponses de la direction

On a évalué le CAQ du POS CEDA à l'égard des six groupes de contrôles de gestion de base du Secrétariat du Conseil du Trésor. On a examiné les contrôles en tenant compte de leur efficacité et de leur niveau d'élaboration selon le modèle de maturité des contrôles de l'IIA (voir la figure 1).

Description : Figure 1. Schéma d'évaluation du CAQ du POS CEDA

Le POS CEDA est conforme au CAQ et aux lignes directrices connexes de Statistique Canada et respecte essentiellement les contrôles de gestion de base du Secrétariat du Conseil du Trésor.

Afin de consolider le processus opérationnel statistique de certification des estimations démographiques annuelles (POS CEDA), des investissements supplémentaires sont nécessaires pour améliorer la documentation relative au processus d'assurance de la qualité, étayer le cadre de gestion des risques et contrôler la conception et l'efficacité des méthodes d'assurance de la qualité du programme.

Toutes les recommandations, ainsi que les réponses et les plans d'action de la direction abordés dans les sections ci-dessous doivent être envisagés au sein de la structure de gestion existante de Statistique Canada.

Cadre d'assurance de la qualité

Gouvernance

Un régime de gouvernance doit comprendre des organismes de surveillance efficaces pour établir une orientation stratégique, des objectifs stratégiques clairement définis et communiqués, des plans opérationnels axés sur la réalisation des objectifs du programme, ainsi qu'un contrôle permanent des environnements interne et externe.

La Division de la démographie a établi un régime de gouvernance stratégique pour déterminer les exigences méthodologiques, opérationnelles et législatives concernant le POS CEDA afin d'assurer la qualité des données. L'orientation stratégique du POS CEDA relève d'un réseau efficace de comités externes et internes, dont le Comité fédéral-provincial-territorial de la démographie. L'orientation concernant la production et la présentation des certificats démographiques relève d'organismes ministériels de surveillance réglementaire, dont la Division de la statistique du secteur public, et de processus tels que des consultations bilatérales et multilatérales entre les ministères stratégiques et Statistique Canada concernant les exigences en matière de données des certificats démographiques afin de respecter la Loi sur les arrangements fiscaux entre le gouvernement fédéral et les provinces. La division dispose d'une structure de gouvernance pertinente et de systèmes d'assurance de la qualité; les responsabilités en matière d'assurance de la qualité sont ainsi séparées entre la production et la méthodologie. Toutefois, plusieurs postes sont vacants au sein de la division et un seul membre du personnel possède des connaissances opérationnelles clés et assume la plupart des responsabilités concernant la production et l'évaluation intermédiaire des données; en outre, ces aspects sont insuffisamment documentés.

Le POS CEDA est pourvu d'un cadre stratégique d'assurance de la qualité des estimations démographiques, doté d'orientations et d'objectifs précis clairement établis et communiqués en matière d'assurance de la qualité; ils sont fondés sur le CAQ et les lignes directrices connexes du Bureau. Le CAQ du POS CEDA est donc conforme à ces documents de référence. Un examen du CAQ et des lignes directrices connexes de Statistique Canada révèle qu'ils reposent sur les concepts de la gestion intégrale de la qualité (GIQ), qui intègrent l'évaluation de la qualité à chaque étape du processus opérationnel statistique. Cette culture de la GIQ est également enracinée dans la formation statistique, économétrique et méthodologique du personnel de Statistique Canada. En outre, Statistique Canada a adopté en 2009, comme cadre de référence d'assurance de la qualité, le modèle statistique général du processus opérationnel (MSGPO) de l'OCDE, qui repose sur les mêmes principes de GIQ.

Si le POS CEDA est doté de publications méthodologiques stratégiques et de systèmes d'assurance de la qualité valables, il n'existe pourtant pas de document intégré sur le CAQ opérationnel du POS CEDA ni de manuel d'assurance de la qualité. En effet,

• le CAQ de Statistique Canada est une ligne directrice volontaire et flexible, qui sert de référence aux divisions spécialisées pour concevoir des programmes d'assurance de la qualité adaptés à des besoins et à des objectifs précis;
• il existe un certain nombre de politiques d'assurance de la qualité ciblées sur les processus de diffusion et de gestion des métadonnées, au lieu d'une politique ministérielle intégrée en matière d'assurance de la qualité;
• les exigences relatives aux certificats sont déterminées au cours d'une série de consultations bilatérales ou multilatérales.

ESTIME est la plateforme statistique servant à produire les estimations démographiques. Le POS CEDA est doté de plans formels d'élaboration d'études méthodologiques visant à améliorer la qualité, ainsi que d'autres spécifications ESTIME et de guides d'utilisation. Les employés du programme utilisent des outils de planification de la production et de la diffusion : calendriers de diffusion des publications par date de référence (trimestrielles et annuelles), carnets de route des processus génériques, documents de gestion prioritaire et plans de projets d'amélioration des systèmes. On a produit des documents de gestion des projets et des processus, comme un outil intégré Microsoft Project pour le POS CEDA, qui programme les étapes d'évaluation et de certification; un guide d'utilisation ESTIME pour produire l'une des composantes des estimations démographiques (les naissances); le document « Processus d'évaluation », qui décrit brièvement les processus de validation et de certification; un calendrier de mise en œuvre des priorités en matière d'assurance de la qualité; et des listes de mesures à prendre à l'égard de certains éléments du POS CEDA. Toutefois, ces outils ne comprennent pas de protocole ou de liste de contrôle concernant l'assurance de la qualité.

La Division de la démographie a établi un régime efficace de contrôle des environnements des utilisateurs et des intervenants externes et internes afin d'améliorer le CAQ du POS CEDA en matière de recherche méthodologique, de sources de données et de méthodes de rechange ainsi que de validation des données. Au cours des réunions avec les fournisseurs de données, les employés de la Démographie abordent l'incidence de leurs fichiers sources sur les estimations démographiques et celle des modifications apportées à la loi et à divers processus d'estimation des données.

Le POS CEDA est doté d'un cadre fonctionnel de gouvernance des technologies de l'information (TI) pour atteindre ses objectifs en matière de qualité. La structure de gouvernance, axée sur l'élaboration et le maintien de la plateforme ESTIME, repose sur un système de comités et de groupes de travail formels et informels.

Politiques et programmes

Un programme efficace et bien conçu comporte une approche rigoureuse de l'évaluation, où les résultats sont pris en compte, approuvés et intégrés pour améliorer le programme. Les principaux intervenants participent à l'intégration des modifications apportées au programme. On contrôle régulièrement les activités du programme pour cerner les points forts et les points à améliorer.

Le POS CEDA a établi des processus formels de prise en compte, d'approbation et de mise en œuvre des résultats de consultations concernant la qualité, ainsi que de recherche et d'analyse pour coordonner et intégrer les modifications apportées au CAQ existant. Les processus sont exécutés de concert avec des intervenants provinciaux ou territoriaux et d'autres intervenants externes et internes, sur une base annuelle ou trimestrielle, et les résultats sont intégrés aux processus d'assurance de la qualité. Les principaux intervenants participent à l'intégration et à la coordination des modifications apportées au CAQ existant lors de réunions trimestrielles et annuelles avec les coordonnateurs statistiques, les fournisseurs de données et le Comité consultatif de la statistique et des études démographiques.

Le contrôle méthodologique de la qualité des estimations démographiques est lié au cycle quinquennal du recensement et les résultats sont communiqués au niveau de direction pertinent au moyen de divers produits d'analyse et d'information. On procède au contrôle de la qualité des données en produisant des rapports internes, ainsi que divers types de métadonnées, qui sont examinés et approuvés par la haute direction. Le POS CEDA mène des activités d'évaluation de la qualité et consulte la Section du développement et des méthodes démographiques pour cerner les forces, les faiblesses et l'incidence de la CEDA, ainsi que d'autres façons de concevoir le POS ou les résultats. Les cadres supérieurs participent systématiquement à l'examen des résultats des consultations, de la recherche et de l'analyse, ainsi qu'aux processus d'examen de la R-D et de consultation liés au POS CEDA.

Services axés sur les citoyens

L'accès aux données doit être conforme aux politiques pertinentes et faire l'objet d'une stratégie de communication efficace axée sur les utilisateurs actuels et éventuels.

Le POS CEDA fait l'objet d'un certain nombre de mesures qui facilitent l'accès des utilisateurs à ses données; il est conforme à la Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie de Statistique Canada. Les utilisateurs ont accès aux données CEDA grâce à divers modes de prestation de service, dont Le Quotidien, CANSIM et la Base de métadonnées intégrée (BMDI). Les activités de prédiffusion et de diffusion relèvent principalement de la Sous-section du service à la clientèle de la Division de la démographie, qui collabore en permanence avec la Division de la diffusion, la Division des communications et les coordonnateurs statistiques. La Sous-section du service à la clientèle s'est dotée d'une stratégie de communication efficace; elle gère diverses demandes d'information de la part des médias, des coordonnateurs et de divers organismes utilisateurs et enregistre les demandes des clients. Le POS CEDA a établi une sous-section du service à la clientèle pour soutenir les activités de communication avec les coordonnateurs statistiques provinciaux et territoriaux (le groupe d'intervenants clés) ainsi qu'avec d'autres utilisateurs des estimations démographiques.

Le site externe d'accès à distance au protocole de transfert de fichiers (PTF) de Statistique Canada offre aux coordonnateurs statistiques la série chronologique des estimations démographiques prédiffusées et des métadonnées connexes. Il offre également de nombreuses possibilités de validation des estimations et de leurs indicateurs de la qualité, l'accès aux études et aux résultats de consultations et de discussions avec certaines provinces et certains territoires, ainsi qu'aux pratiques passées, actuelles et futures en matière de méthodologie, d'estimation et de contrôle de la qualité. L'examen de l'information disponible sur ces sites, de même que les entrevues avec la direction et le personnel de production du Programme des estimations de la population, révèlent que les normes de qualité sont communiquées et comprises à l'interne et à l'externe, d'après les résultats de l'Enquête sur la satisfaction des clients. Les principales publications méthodologiques, destinées à soutenir la production des estimations démographiques, sont conformes à la Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie de Statistique Canada.

Résultats et rendement

La gestion efficace des résultats et du rendement exige des indicateurs de rendement fiables, dont on contrôle périodiquement la pertinence. Des méthodes d'évaluation sont mises en application et les résultats sont documentés et communiqués à la direction.

Le POS CEDA mène systématiquement des examens et des mises à jour des indicateurs de la qualité, qui sont documentés et communiqués à l'interne et à l'externe, et contrôle activement les indicateurs de la qualité au moyen de diverses méthodes formelles et informelles. Plusieurs rapports sont produits, comportant une analyse exhaustive des indicateurs de la qualité pour les estimations démographiques. Le principal document méthodologique, Méthodes d'estimation de la population et des familles à Statistique Canada, est publié tous les cinq ans.

La Section du développement et des méthodes démographiques mise sur un processus trimestriel d'information qui consiste à diffuser aux autres sections de la Division de la démographie et à Statistique Canada un rapport provisoire sur les études et les projets méthodologiques et d'évaluation de la qualité. L'Enquête sur la satisfaction des clients (ESC), menée à tous les deux ans par la Division des services à la clientèle de Statistique Canada, sert à recueillir les opinions des utilisateurs externes sur la qualité des estimations démographiques. Les résultats de l'ESC sont examinés à l'interne par la haute direction de la Division de la démographie.

Tous les cinq ans, pour coïncider avec le cycle du recensement, le POS CEDA contrôle activement les indicateurs de la qualité. Ces derniers sont contrôlés à l'interne par la Division de la démographie et validés à l'externe lors des réunions de consultation et de discussion du Comité fédéral-provincial-territorial.

Recommandation n^o 1

Il est recommandé que le statisticien en chef adjoint (SCA) du Secteur de la statistique sociale, de la santé et du travail veille à ce que les processus de production des publications méthodologiques et les systèmes d'assurance de la qualité soient formellement documentés dans un manuel de procédures.

Réponse de la direction

La direction est d'accord avec la recommandation. On rédigera un manuel de procédures complet qui documentera les principales étapes de la production des estimations démographiques totales, trimestrielles et annuelles. On rédigera des chapitres distincts pour chacune des composantes de la croissance démographique. Ce document s'adressera au personnel de production subalterne et intermédiaire.

Produit livrable

Un manuel de procédures complet, comprenant des chapitres pour chaque composante de la croissance démographique.

Responsabilité

Il incombe au chef de la Sous-section de la production, au sein de la Section des estimations démographiques, d'effectuer ce travail.

Des mises à jour périodiques seront fournies au Comité ministériel de vérification.

Échéancier

Comme les manuels seront élaborés par le même personnel qui est chargé de la production trimestrielle, ce travail s'étendra sur deux ans à compter d'avril 2011.

Le 31 mars 2012 : Au moins deux composantes de la croissance démographique (les naissances et l'immigration) seront terminées.

Le 31 mars 2013 : Les chapitres restants seront terminés.

Gestion des risques

Un cadre efficace de gestion des risques exige des processus formels pour cerner et évaluer les risques. Les stratégies d'atténuation des risques doivent être documentées et communiquées. Les renseignements obtenus sur les risques doivent servir à soutenir la planification opérationnelle.

L'intervention du Programme des estimations de la population dans la gestion des risques s'est limitée à l'évaluation des risques à l'échelle du Bureau menée au cours de l'Évaluation de la menace et des risques (EMR) et de l'Examen quadriennal de programme (EQP). Ces activités étaient axées sur un large apport de données (TI, RH). Les processus ne permettent pas de déterminer, d'évaluer et d'atténuer complètement les risques spécifiquement associés au Programme des estimations de la population. À l'occasion, on mène une évaluation des risques pour analyser l'incidence d'un événement donné, comme la conversion du système ESTIME ou le remaniement du recensement.

Néanmoins, depuis les années 1970, le POS CEDA remplit son mandat législatif consistant à produire des estimations démographiques, car des contrôles des risques pour la qualité sont intégrés à la conception du programme. En effet, le programme ne se limite pas à produire des estimations strictement selon la méthodologie publiée. Au cas où les données de base officielles ne seraient pas encore disponibles, on peut utiliser des données et des solutions de rechange. De plus, l'évaluation des sources de données fait l'objet d'un certain nombre de méthodes informelles de gestion des risques pour la qualité : réunions et échanges avec les fournisseurs provinciaux et territoriaux de données statistiques et autres, contrôles préventifs automatiques de la qualité intégrés au système ESTIME, évaluations de la série chronologique des données de base, etc.

On réagit de manière systématique et formelle aux risques pour la qualité de la CEDA. Lors des réunions annuelles du Comité fédéral-provincial-territorial de la démographie, la Section du développement et des méthodes démographiques propose des avenues de recherche en vue d'apporter des améliorations méthodologiques. Il existe deux groupes de solutions d'atténuation des risques méthodologiques :

• évaluation et élaboration de processus et de méthodes de rechange;
• évaluation et acquisition ou élaboration de sources de données de rechange.

Le cas échéant, on dispose donc d'une méthode ou d'une application de rechange, qui est soigneusement choisie et mise à l'essai. En outre, on peut aussi consulter les provinces et les territoires pour obtenir une autre source de mesure et d'estimation de la population. Les provinces et les territoires utilisent différentes méthodes de comptabilité démographique, fondées sur leurs fichiers administratifs des soins de santé. Ces autres sources d'information produisent des avantages importants dans l'évaluation de la qualité des données CEDA et comme bases de données de rechange.

Le personnel opérationnel de la CEDA gère les risques de manière intuitive. On établit l'ordre de priorité des composantes des estimations démographiques en fonction de la taille et de la proportion. Toutefois, il n'existe pas de protocole documenté d'atténuation des risques pour la qualité du POS CEDA.

Les rapports de rendement produits tous les quatre ans par la Division de la démographie comportent des renseignements clés sur les risques pour la qualité. Le POS CEDA ne dispose pas, pour chaque section, de plans opérationnels ni de rapports de rendement formels et complets comportant des renseignements sur les risques pour la qualité liés aux processus de production et de certification.

La Section du développement et des méthodes démographiques se penche sur les enjeux stratégiques à long terme concernant les risques pour la qualité de tous les programmes de la Division de la démographie. À l'égard du POS CEDA, elle discute avec les intervenants provinciaux et territoriaux de plans méthodologiques visant à améliorer la qualité des données et à atténuer les risques connus pour la qualité, puis élabore pour chaque section des plans de travail formels axés sur des études méthodologiques et des outils opérationnels, comme les spécifications du système ESTIME. La section procède également à l'évaluation des risques pour la qualité lorsque le CEDA entreprend de nouvelles initiatives d'amélioration de la qualité, par exemple l'utilisation de la American Community Survey (ACS) pour améliorer la qualité des estimations de l'émigration. Si les améliorations apportées à la méthodologie visent toujours à améliorer la qualité, il n'existe cependant pas de documents de gestion annuels portant sur l'identification et l'évaluation des risques pour la qualité ni sur des plans d'action pertinents.

On n'établit pas de plans formels de continuité des activités tenant compte des risques pour la qualité du POS CEDA, qui dépend fortement du bon fonctionnement de sa nouvelle plateforme de production, ESTIME. En l'absence de plans formels de continuité des activités pour chaque section, diverses normes ministérielles régissent le diagnostic des risques des systèmes de TI, comme il est mentionné dans la section Gouvernance du présent rapport de vérification. Enfin, rien n'indique que les renseignements sur les risques pour la qualité de la certification servent à orienter la planification de la continuité des activités du POS CEDA.

Recommandation n^o2

Il est recommandé que le SCA du Secteur de la statistique sociale, de la santé et du travail veille à ce que le POS CEDA consolide le cadre de gestion des risques en intégrant des renseignements sur les risques pour la qualité des composantes des processus de production et de certification, et que les renseignements sur la certification des risques pour la qualité servent à orienter la planification de la poursuite des activités du POS CEDA.

Réponse de la direction

La direction est d'accord avec la recommandation. On ajoutera à la planification annuelle du Programme des estimations de la population, qui consiste à établir et à contrôler le travail absolument prioritaire, une composante explicite d'évaluation des risques. On établira un registre des risques, on définira des stratégies d'atténuation et on contrôlera les risques au cours de l'année.

Comme les risques les plus élevés du Programme des estimations de la population sont liés à l'offre de données, on poursuivra les démarches en cours pour renouveler les relations avec les fournisseurs de données.

Produit livrable

Un registre des risques, y compris des stratégies d'atténuation des risques.

L'établissement d'ententes sur les niveaux de service avec les principaux fournisseurs de données (dont la Division de la statistique de la santé, la Division de la statistique du revenu et Citoyenneté et Immigration Canada).

Responsabilité

Il incombe au chef du groupe des estimations démographiques d'établir et de tenir le registre des risques.

Il incombe au directeur adjoint de la Division de la démographie de conclure les ententes sur les niveaux de service.

Des mises à jour périodiques seront fournies au Comité ministériel de vérification.

Échéancier

Le 31 mars 2012 : Élaboration d'un registre des risques.

Le 31 mars 2012 : Des ententes sur les niveaux de service avec les fournisseurs internes de données seront conclues.

Gérance

L'efficacité des contrôles internes exige une combinaison équilibrée de contrôles préventifs, de détection, automatisés et manuels. L'efficacité des contrôles internes fait l'objet d'essais périodiques.

Système de contrôles internes

Le POS CEDA est doté d'une combinaison fonctionnelle de contrôles de qualité préventifs, de détection, automatisés, manuels et interactifs intégrés à toutes les étapes des processus de production et d'évaluation de la qualité, dans les environnements ESTIME et non-ESTIME de production des estimations démographiques.

Les processus d'évaluation de la qualité des données de production et intermédiaires, ainsi que la méthodologie et les contrôles d'assurance de la qualité entourant la composante Révisions, exigent qu'on exporte des données et des graphiques du système ESTIME vers les outils analytiques basés sur Excel et qu'on tienne des discussions informelles. Les outils basés sur Excel permettent d'évaluer efficacement la qualité de chaque composante des estimations et des agrégats de population. Toutefois, les processus d'analyse de l'assurance de la qualité et de prise de décisions ne sont pas formellement documentés, et les codes de programme ESTIME ne sont pas régulièrement mis à jour de manière à intégrer les modifications apportées à la méthodologie ainsi qu'à apparier convenablement les niveaux des données en cours de traitement.

Pour la certification, on utilise une combinaison équilibrée de contrôles d'assurance de la qualité préventifs et de détection : orientation fournie par la Division de la statistique du secteur public concernant les modèles de certificats démographiques, réunions périodiques de la direction du POS CEDA avec les fournisseurs de données externes et internes, évaluation finale et complète d'assurance de la qualité.

On utilise des contrôles manuels lorsque l'analyste principal ou le chef de la certification doit effectuer des calculs indépendants pour vérifier les résultats de l'évaluation présentés par le chef de la production. Les contrôles interactifs comprennent des discussions informelles avec le personnel de production, les spécialistes des méthodes, les fournisseurs de données et les coordonnateurs statistiques. Les contrôles pour l'approbation finale des certificats démographiques par le directeur de la Division de la démographie sont informels. L'essai d'assurance de la qualité des estimations démographiques a révélé un appariement identique entre les données figurant dans toutes les bases de données et un appariement principal de la présentation des certificats produits. Les données du certificat démographique du 1er juillet correspondent à celles qui figurent sur tous les autres supports de diffusion, soit Le Quotidien, la BMDI, CANSIM et les publications. Les données du certificat démographique du 1er juin sont des totalisations spéciales qui ne sont pas publiées.

Les spécifications ESTIME et Non-ESTIME comprennent des contrôles visant à assurer l'exactitude des processus de production, ainsi que des recommandations concernant la conception des contrôles automatisés. Les spécifications représentent elles-mêmes des contrôles automatisés de la qualité de la production. Toutefois, rien n'indique la présence de contrôles automatisés d'assurance de la qualité dans l'échantillon de spécifications examiné. Les contrôles méthodologiques interactifs comprennent les processus PTF, des réunions hebdomadaires avec les gestionnaires du POS CEDA pour la planification méthodologique et la production de solutions, ainsi que des réunions périodiques avec les fournisseurs de données.

Pour le site à distance PTF (Outil de retour des données) et le CAQ prédiffusion, on utilise une combinaison équilibrée de contrôles. Il y a des contrôles automatisés de la sécurité de l'accès et de la communication sur le site PTF, où la DSTI contrôle les autorisations d'utilisation de logiciel et la vérification de l'accès aux microdonnées. Le téléchargement et l'archivage des données sur le site PTF constitue un processus manuel, pour lequel des mécanismes de sécurité permettent de prévenir les erreurs ou de les corriger. Les contrôles interactifs servent principalement à documenter les questions et les réponses, à archiver les courriels et à tenir les comptes rendus des réunions.

Assurance de la qualité

Pour le CAQ du POS CEDA (diffusion et postdiffustion) au niveau ministériel, on utilise une vaste combinaison de politiques et de protocoles d'assurance de la qualité des données et des produits d'information connexes aux étapes de la prédiffusion, de la diffusion et de la postdiffusion. Ces processus sont coordonnés par la Division de la diffusion et la Division des communications. Au niveau des divisions, on utilise une combinaison de contrôles de qualité préventifs et de détection pour assurer la qualité des processus de diffusion et des documents diffusés. Toutefois, il n'existe pas de manuel opérationnel intégré du POS CEDA décrivant les processus d'assurance de la qualité aux étapes de la prédiffusion, de la diffusion et de la postdiffusion.

L'équipe de production a mené les premiers essais opérationnels du système ESTIME. Toutefois, rien n'indique l'existence d'essais périodiques et de protocoles d'examen formels pour l'assurance de la qualité dans le système ESTIME ni dans d'autres méthodes opérationnelles d'assurance de la qualité du POS CEDA. D'ailleurs, le POS CEDA n'est doté d'aucun processus formel et systématique d'essai périodique de la conception et de l'efficacité fonctionnelle de ses méthodes d'assurance de la qualité.

Recommandation n^o 3

Il est recommandé que le SCA du Secteur de la statistique sociale, de la santé et du travail veille à ce que la conception et l'efficacité fonctionnelle des méthodes d'assurance de la qualité du POS CEDA fassent l'objet de contrôles réguliers.

Réponse de la direction

La direction est d'accord avec la recommandation. Pour chaque composante de la croissance démographique, on examinera l'ensemble de contrôles de la qualité actuellement en vigueur. Au besoin, on établira de nouveaux indicateurs et de nouvelles listes de contrôle de la qualité, qui seront intégrés au processus de production des estimations démographiques trimestrielles et annuelles.

Produit livrable

Un examen des contrôles de la qualité en vigueur.

Un cadre de contrôle de la qualité qui comprendra des indicateurs et des listes de contrôle de la qualité.

Responsabilité

Il incombe au chef de la Sous-section de l'analyse et de la diffusion, au sein de la Section des estimations démographiques, d'élaborer un cadre de contrôle de la qualité.

Échéancier

Comme cet examen sera mené par le même personnel qui est chargé de la production trimestrielle, ce travail s'étendra sur deux ans à compter de l'été 2011.

Juin 2011 : Début de l'examen des contrôles de la qualité et de l'élaboration d'un cadre de contrôle de la qualité.

Septembre 2012 : Mise en œuvre partielle du Cadre d'assurance de la qualité lors de la production de certificats démographiques.

Septembre 2013 : Date visée pour la mise œuvre intégrale (le délai sera évalué après le début du projet).

Annexes

Annexe A : Critères de vérification

Annexe A : Critères de vérification

Aspects à examiner	Critères
Gouvernance : Le processus opérationnel statistique (POS) de certification des estimations démographiques annuelles (CEDA) est doté des conditions essentielles à l'établissement et à l'amélioration continue de son programme d'assurance de la qualité.	Des organismes de surveillance compétents assurent l'orientation stratégique. Le CAQ englobe les orientations et les objectifs de l'assurance de la qualité, qui sont conformes au mandat du PEP, au CAQ de Statistique Canada et aux lignes directrices connexes. Le POS CEDA est doté de plans opérationnels et de documents de gestion de projet en vue d'assurer la qualité du processus opérationnel statistique. On contrôle les environnements des utilisateurs et des intervenants externes et internes pour obtenir des renseignements pouvant signaler la nécessité de réévaluer le CAQ de la CEDA. On a établi et mis en œuvre un cadre de gouvernance des TI pour orienter l'utilisation des TI dans la réalisation des objectifs d'assurance de la qualité du POS CEDA
Résultats et rendement : La direction du POS CEDA a cerné les indicateurs cibles de la qualité et exerce des contrôles des résultats réels par rapport aux résultats ciblés.	On dispose de méthodes d'évaluation de la qualité qu'on applique à toutes les estimations. Les indicateurs de la qualité sont examinés périodiquement et mis à jour au besoin. Les résultats des examens de la qualité et les indicateurs de la qualité sont documentés et communiqués aux autorités compétentes. Les indicateurs de la qualité font l'objet d'un contrôle actif.
Gestion des risques : La direction du POS CEDA cerne, évalue, gère et communique les risques pour la qualité des estimations et les intègre à la planification ainsi qu'à l'affectation des ressources.	Il existe des lignes directrices et des processus formels pour cerner et évaluer les risques, et des contrôles pour les atténuer. Une réponse formelle au risque est documentée et communiquée à toutes les parties intéressées. Les renseignements sur les risques pour la qualité sont intégrés aux principaux rapports de planification et de rendement. Les renseignements sur les risques pour la qualité servent à planifier la continuité des activités.
Politiques et programmes : Le POS CEDA est doté d'une approche formelle et rigoureuse de la conception et de la mise en œuvre du cadre d'assurance de la qualité, dont le contrôle régulier et ponctuel des activités connexes.	Le POS CEDA intègre la rigueur de l'évaluation de la qualité aux cycles de production et de certification. Les résultats des consultations, de la recherche et de l'analyse sont pris en compte, approuvés et utilisés pour coordonner et intégrer les modifications apportées au CAQ existant. Les principaux intervenants participent à l'intégration et à la coordination des modifications apportées au CAQ existant. La qualité fait l'objet d'un contrôle régulier dont les résultats sont documentés et communiqués au niveau de direction compétent. Les activités d'évaluation de la qualité servent à cerner les forces, les faiblesses et l'incidence de la CEDA ainsi que d'autres façons de concevoir le POS ou ses résultats. La haute direction participe à l'examen régulier des résultats de la consultation, de la recherche et de l'analyse.
Gérance : La direction du POS CEDA évalue la pertinence de la combinaison des mesures d'assurance de la qualité en vigueur et en contrôle périodiquement l'efficacité.	Les mesures de la qualité comprennent une combinaison équilibrée de contrôles de qualité préventifs et de détection. Les mesures de la qualité comprennent une combinaison de contrôles automatisés et manuels ou interactifs. L'efficacité de la conception des méthodes d'assurance de la qualité en ce qui concerne l'atténuation des risques pour la qualité fait l'objet d'essais périodiques.
Services axés sur les citoyens : Le POS CEDA prend les mesures nécessaires pour faciliter l'accès à ses données.	Les utilisateurs ont accès aux données CEDA grâce à divers modes de prestation de service (en conformité avec la Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie). Le POS CEDA est doté d'une stratégie de communication pour orienter les communications avec les utilisateurs actuels et éventuels de données (en conformité avec la Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie). Les normes de qualité des estimations démographiques annuelles sont communiquées et comprises à l'interne et à l'externe (en conformité avec la Politique visant à informer les utilisateurs sur la qualité des données et la méthodologie).

Annexe B : Glossaire

MSGPO – Modèle statistique général du processus opérationnel de l'OCDE, approuvé comme modèle de référence de gestion de la qualité de Statistique Canada le 15 mars 2010./concepts/gsbpm-msgpo-fra.htm

CEDA – Certification des estimations démographiques annuelles

POS – Processus opérationnel statistique

CGB SCT – Contrôles de gestion de base du Secrétariat du Conseil du Trésor

CAQ – Cadre d'assurance de la qualité.

MMC IIA – Modèle de maturité des contrôles de l'International Institute of Internal Auditors

L'échelle ordinale du MMC IIA figure ci-dessous.

MMC IIA figure ci-dessous.

Rang	Titre	Description
0	Inexistants	Aucun contrôle formel ou informel.
1	Élémentaires/ Ponctuels	Les contrôles sont fragmentés et ponctuels; ils sont généralement gérés de manière cloisonnée et réactive, sans politique ni procédure formelle; ils dépendent du bon vouloir des personnes; le risque d'erreur est élevé; les coûts sont élevés à cause des inefficacités; les contrôles ne sont pas durables.
2	Reproductibles mais intuitifs	Les contrôles sont établis de manière relativement structurée; les processus ne sont pas formellement documentés; les rôles, responsabilités et autorités sont définis avec une certaine clarté, mais pas l'imputabilité; la rigueur accrue et les lignes directrices favorisent la reproductibilité; la forte dépendance au personnel existant rend les contrôles vulnérables au changement.
3	Définis	Les contrôles sont bien définis et documentés; ils sont donc uniformes même en période de changement; le personnel est sensibilisé aux contrôles; les lacunes de contrôle sont décelées et corrigées sans délai; le contrôle du rendement est informel, d'où une grande dépendance à la diligence des personnes et aux vérifications indépendantes.
4	Mûrs/Gérés et mesurables	On emploie des indicateurs de mesure du rendement (systèmes, outils, processus) et des techniques de contrôle pour mesurer la réussite; les contrôles sont axés davantage sur la prévention que sur la détection; les responsables des processus évaluent eux-mêmes l'efficacité fonctionnelle; il existe une chaîne de responsabilisation qui est bien comprise.
5	De classe mondiale/ Optimisés	Les contrôles sont jugés « de classe mondiale » en fonction de l'analyse comparative et de l'amélioration continue; l'infrastructure des contrôles est fortement automatisée et les mises à jour sont automatiques, d'où un avantage concurrentiel; on utilise abondamment le contrôle en temps réel et le tableau de bord de la direction.

SDMD – Section du développement et des méthodes démographiques
(Division de la démographie)

PEP – Programme des estimations de la population
(Section des estimations démographiques, Division de la démographie)

DDS – Division du développement de systèmes

DSTI – Division des services de technologie informatique

AOB – Architecture opérationnelle du Bureau

Notes :

Rapport de vérification

Services de vérification interne Statistique Canada
31 mars 2011
Numéro de projet : 80590-63 ( Document (PDF, 302.24 Ko) )

• Sommaire exécutif
  • Principales constatations
  • Conclusion générale
• Introduction
  • Contexte
  • Objectifs
  • Portée et approche
  • Autorité
• Constatations, recommandations et réponses de la direction
• Gouvernance
  • Rôles et responsabilités, responsabilisation et processus et procédures relatives aux exigences en matière de sécurité matérielle
  • Surveillance, objectifs, procédures et plans relatifs à la sécurité matérielle du COD
  • Contrôle et évaluation
• Sécurité matérielle
  • Gérance
• Annexes
  • Annexe A : Critères de vérification
  • Annexe B : Politiques, normes et lignes directrices

Sommaire exécutif

Le Centre des opérations des données du recensement (COD du recensement), qui est situé à Gatineau (Québec), est l'un des 14 projets constituant le programme du Recensement de 2011. Il doit permettre la mise en œuvre des procédures et des systèmes pour traiter les données du recensement dans un emplacement de traitement centralisé. Cela comprend l'aménagement et l'infrastructure de l'immeuble proprement dit, ainsi que le recrutement de personnel temporaire pour mener à bien les activités et les opérations. Des procédures de sécurité matérielle ont été élaborées, en vue d'être mises en œuvre par les Services de gestion du COD du recensement, et elles tiennent compte des objectifs du Centre, de l'équipement à installer et du nombre d'employés qui y travailleront.

Les objectifs de cette mission d'assurance étaient de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) une assurance raisonnable que la gouvernance relative à la sécurité du COD du recensement est appropriée et efficace et que le COD du recensement se conforme aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle qui sont prescrites par le Secrétariat du Conseil du Trésor (SCT).

La vérification a été effectuée par les Services de vérification interne, conformément à la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

La vérification a permis de constater qu'un mécanisme de supervision est en place pour assurer la coordination et l'intégration des activités de sécurité, en vue de la prise de décisions, et que des plans ont été établis pour protéger les données de nature délicate. Les diverses zones du COD du recensement ont été bien définies et entretenues pour protéger les actifs et les données  de nature délicate de Statistique Canada. On a tenu compte des exigences en matière de sécurité tout au long du processus contractuel et on les a décrites dans les documents fournis aux entrepreneurs. Le processus d'enquête de sécurité sur le personnel était conforme aux politiques et aux procédures pertinentes en matière de sécurité du personnel, et la majorité des recommandations comprises dans l'Évaluation de la menace et des risques (EMR) effectuée par un conseiller technique tiers ont été acceptées et mises en œuvre.

Le programme du recensement comporte une structure d'organisation matricielle. Les rôles et responsabilités décrivant les rapports et la répartition des responsabilités entre la Gestion des installations (GI), la sécurité ministérielle (SM) et le COD du recensement ayant des responsabilités en matière de sécurité matérielle n'étaient pas clairement définis, documentés et communiqués. Le Manuel des pratiques de sécurité de Statistique Canada est désuet et ne comporte pas de référence aux emplacements externes, comme le COD du recensement. Les responsabilités du coordonnateur du plan de continuité des activités (PCA) ne rendent pas compte de celles comprises dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT. Par ailleurs, des plans d'urgence doivent être mis au point et affichés dans le COD du recensement.

Conclusion générale

La gouvernance en matière de sécurité matérielle du COD du recensement est appropriée et efficace et elle est conforme aux exigences pertinentes en matière de sécurité matérielle prescrites par le SCT.

Même si les deux objectifs de la vérification sont respectés, les résultats de la vérification font ressortir des possibilités d'amélioration en ce qui a trait à la gouvernance de la SM. Parmi les domaines à améliorer figurent les suivants : 1) mettre à jour le Manuel des pratiques de sécurité pour rendre compte de la situation organisationnelle actuelle, définir les rôles et responsabilités pour l'ensemble de la sécurité matérielle dans toutes les installations de Statistique Canada et inclure les processus et les procédures à suivre pour l'intégration des exigences en matière de sécurité matérielle dans toutes les installations de Statistique Canada; 2) assurer la répartition des tâches, de la SM devant approuver la mise en œuvre des exigences en matière de sécurité matérielle appliquées par les programmes du Bureau; 3) élargir les responsabilités du coordonnateur du PCA pour rendre compte de celles comprises dans la politique du SCT.

Introduction

Contexte

Le Recensement de la population est le programme d'enquête le plus important de Statistique Canada. Tous les cinq ans, les responsables du recensement obtiennent des renseignements de l'ensemble de la population du Canada. Le recensement figure parmi les activités les plus importantes et visibles de Statistique Canada; il a été classé comme comportant un risque élevé dans les ateliers de gestion. Le Centre des opérations des données du Recensement de 2011 (COD du recensement) est une composante essentielle de la collecte et du traitement des données du recensement.

En 2011, le jour du recensement a été fixé au 10 mai. Un énorme effort de collecte et de traitement est requis pour traiter les 13 millions de questionnaires du recensement de façon efficace et rapide. Afin d'atteindre les objectifs du recensement, le programme du recensement se divise en 14 projets, dont fait partie le COD du recensement qui comporte un budget de 28,9 millions de dollars. L'équipe de projet du COD du recensement est responsable de la mise en œuvre des systèmes et des procédures requis pour traiter les données du recensement dans un emplacement de traitement centralisé. Cela comprend l'aménagement et l'infrastructure de l'immeuble proprement dit, ainsi que le recrutement de personnel temporaire pour mener à bien les activités et les opérations.

Le personnel du COD du recensement de Statistique Canada est en place depuis le début de juillet 2010, tout comme celui de la Division des services de technologie informatique (DSTI) du recensement, de la Division du développement des systèmes (DDS) et de la Gestion des installations (GI). Environ 1 200 employés temporaires travailleront pendant plusieurs quarts de travail, de 6 h 30 à 23 h 30, sept jours par semaine, au cours de la période de mai à août 2011, certaines activités de suivi étant prévues d'août à octobre 2011. Des procédures de sécurité matérielle ont été élaborées, en vue d'être mises en œuvre par les Services de gestion du COD du recensement, en tenant compte des objectifs du Centre, de l'équipement à installer et du nombre d'employés qui travailleront au COD du recensement.

Ces procédures décrivent les mesures de sécurité matérielle visant à protéger le matériel, l'équipement et le personnel travaillant dans le COD du recensement. Elles englobent en outre la sécurité du personnel dans le cas :

• du personnel temporaire recruté à l'étape opérationnelle;
• des visiteurs du site;
• du personnel de service de l'extérieur et de l'intérieur de Statistique Canada;
• des entrepreneurs; et
• des employés d'autres divisions qui doivent avoir accès au COD du recensement.

Objectifs

Les objectifs de cette vérification étaient de fournir au statisticien en chef (SC) et au CMV une assurance raisonnable que :

• la gouvernance du COD du recensement en matière de sécurité est appropriée et efficace;
• le COD du recensement se conforme aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle prescrites par le Secrétariat du Conseil du Trésor (SCT).

Portée et approche

La mission de vérification a été menée en conformité avec les normes du gouvernement du Canada et de l'Institut des vérificateurs internes (IVI) concernant la vérification interne, ainsi que la Politique sur la vérification interne du Conseil du Trésor du Canada. Tous les travaux ont été menés en collaboration avec des cadres supérieurs et des employés clés. L'approche de vérification a été inspirée par les Lignes directrices sur les contrôles de gestion fondamentaux du Conseil du Trésor, publiées par le Bureau du contrôleur général.

La portée de la vérification a été axée sur la sécurité matérielle du COD du recensement, sur le processus d'enquête de sécurité sur le personnel temporaire et sur les activités d'approvisionnement liées à la sécurité, afin d'assurer la conformité aux exigences du SCT. La vérification a aussi permis d'examiner l'efficacité et la pertinence de la structure actuelle de gouvernance en matière de sécurité du COD du recensement. Les travaux de vérification comprenaient un examen des documents, des entrevues avec les cadres supérieurs et le personnel clés, et un examen de la conformité aux politiques et aux lignes directrices pertinentes.
Les travaux sur le terrain ont été menés en deux étapes :

• la première a consisté en un examen et une évaluation de la structure de gouvernance en matière de sécurité, ainsi que des processus et des procédures liés à la sécurité matérielle, aux autorisations de sécurité et aux activités d'approvisionnement; et
• la deuxième étape a suivi et comportait un essai détaillé des domaines mentionnés précédemment.

Autorité

La vérification a été menée par les Services de vérification interne, conformément au Plan de vérification axé sur les risques (PVAR) de Statistique Canada pour les exercices 2010-2011 et 2012-2013. Le PVAR a été approuvé par le Comité ministériel de vérification (CMV), le 15 avril 2010.

Constatations, recommandations et réponses de la direction

Une gouvernance appropriée et efficace du COD du recensement en matière de sécurité matérielle permettrait d'établir des mécanismes de gouvernance dans le domaine de la sécurité (p. ex., des comités, des groupes de travail), afin d'assurer la coordination des activités de sécurité et leur intégration aux opérations, plans, priorités et fonctions du Bureau, afin de faciliter la prise de décisions. Par ailleurs, cela permettrait de faire en sorte que les responsabilités, délégations, rapports hiérarchiques et rôles et responsabilités des employés du Bureau ayant des responsabilités en matière de sécurité soient définis, documentés et communiqués aux personnes compétentes.

La vérification a permis de déterminer qu'il existe des mécanismes de surveillance pour assurer la coordination et l'intégration des activités de sécurité, en vue de la prise de décisions, et que des plans sont en place pour protéger les données de nature délicate. Les rôles et responsabilités décrivant les rapports et la répartition des responsabilités entre la GI, la SM et le COD du recensement ayant des responsabilités en matière de sécurité n'étaient pas clairement définis, documentés et communiqués; le Manuel des pratiques de sécurité est désuet et ne comporte pas de référence aux emplacements externes, comme le COD du recensement; les responsabilités affectées au rôle de coordonnateur du PCA ne rendent pas compte de celles comprises dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT; et des plans d'urgence doivent être mis au point et affichés dans le COD du recensement.

La conformité du COD du recensement aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle prescrites par le SCT ferait en sorte que l'installation soit conçue et gérée pour créer des conditions qui, conjuguées à des mesures de sécurité matérielle particulières, réduiraient les risques de violence à l'endroit des employés, protégeraient contre les accès non autorisés, permettraient de déceler les tentatives ou les incidents réels d'accès non autorisé et donneraient lieu à une réponse efficace.

La vérification a permis de déterminer que les zones de sécurité du COD du recensement sont bien établies et entretenues pour protéger les actifs et les données de nature délicate à Statistique Canada. Les exigences en matière de sécurité ont été prises en compte tout au long du processus contractuel et ont été décrites dans les documents fournis aux entrepreneurs, et le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel. L'EMR finale a permis de déterminer que toutes les lacunes et préoccupations en matière de sécurité matérielle déterminées dans l'EMR initiale ont été prises en compte de façon appropriée pour atténuer les risques connexes.

Toutes les recommandations, ainsi que la réponse et le plan d'action de la direction, qui sont énoncés dans les sections ci-après devraient être envisagés dans le contexte de la structure de gestion existante à Statistique Canada.

Gouvernance

Rôles et responsabilités, responsabilisation et processus et procédures relatives aux exigences en matière de sécurité matérielle

Le programme du recensement, qui comporte 14 projets dont fait partie le projet du COD du recensement, comporte une structure d'organisation matricielle. Il devrait y avoir une délimitation claire des responsabilités, des pouvoirs délégués et des voies de communication, en vue d'appuyer une coordination efficace entre toutes les parties des opérations du recensement, afin d'assurer des opérations efficientes et efficaces. Les processus et les procédures servant à déterminer si les exigences en matière de sécurité matérielle sont conformes aux politiques pertinentes devraient être pleinement intégrés et documentés dans le processus de planification pour la sélection et la modification de l'installation du COD du recensement. Ainsi, les gestionnaires pourraient déterminer les risques pouvant nuire à l'atteinte des objectifs et y donner suite.

Rôles et responsabilités

Les postes compris dans le projet du COD du recensement ont été documentés de façon officielle et les pouvoirs délégués ont été alignés sur les rôles et responsabilités de chaque poste. L'organigramme du COD du recensement est à jour et permet la détermination de voies claires et efficaces pour la communication et les rapports, tant au niveau des opérations du recensement que du projet du recensement.

La vérification a révélé qu'il existait des inefficacités à l'étape préliminaire de mise en œuvre du projet. Cela vient du fait que les responsabilités de la SM et les rapports et les liens entre la SM et la GI n'ont pas été définis, documentés ou communiqués. Compte tenu de la connaissance et de l'expérience limitée du gestionnaire du projet du COD en ce qui a trait aux questions et aux exigences de sécurité, il a fallu déployer des efforts significatifs pour faire préciser les rôles et les responsabilités de chacun tout au long du processus. Grâce à des discussions avec les gestionnaires de la SM, le gestionnaire de projet du COD du recensement a déterminé que celle-ci jouait un rôle « consultatif » uniquement et que personne ne fournissait de « lignes directrices ni de conseils » comme il était prévu. Par ailleurs, et plus particulièrement à l'étape de la planification du projet, des réunions régulières se sont tenues avec tous les intervenants compétents des services intégrés; toutefois, le représentant de la SM n'a pas participé aux réunions sur une base régulière, ce qui a entraîné d'autres inefficacités au moment de l'obtention des données sur la sécurité.

Séparation des tâches

La répartition des tâches, une mesure de contrôle interne clé, est inexistante entre la GI et la SM. La GI est chargé de l'infrastructure matérielle, comme la conception, les questions environnementales et la mise en œuvre. La SM est chargé d'assurer la conformité aux normes et mesures de sécurité requises. Les gestionnaires de projet du COD du recensement ont déterminé les exigences en matière de sécurité matérielle devant être appliquées à l'installation du COD du recensement. Par la suite, la GI a mis en œuvre les exigences et a approuvé ses propres travaux, étant donné que personne d'autre n'était chargé de cette fonction. Une surveillance, vérification et approbation indépendantes, en fonction des politiques en matière de sécurité du SCT et de Statistique Canada, auraient dû être assurées par la SM, étant donné que c'est elle qui a les pouvoirs délégués en matière de sécurité.

Responsabilité

L'équipe de vérification a passé en revue le Manuel des pratiques de sécurité, afin de déterminer les postes à l'intérieur de la SM qui étaient directement responsables de l'orientation et des conseils concernant le programme de sécurité matérielle du projet du recensement. L'équipe de vérification a déterminé que le chef de la SM est celui qui est responsable de gérer le programme de sécurité matérielle pour le complexe de Statistique Canada. Le complexe est défini comme incluant les trois immeubles de Tunney's Pasture, mais excluant le COD du recensement. Par conséquent, le chef de la SM fournit uniquement des conseils aux gestionnaires de programme et aux gestionnaires régionaux pour les questions de sécurité et les situations d'urgence.

Selon le Manuel des pratiques de sécurité, les directeurs régionaux sont les agents de sécurité régionaux (ASR). De ce fait, ils sont chargés de l'administration des programmes de sécurité dans leurs régions et sont responsables de la sécurité matérielle, y compris la protection et la sécurité des employés et des locaux, le contrôle de l'accès et le contrôle des visiteurs. Le manuel n'est toutefois pas clair en ce qui a trait à la responsabilité de fournir une orientation et des conseils aux ASR, aux programmes et aux gestionnaires de projet de Statistique Canada concernant les mesures et les normes de sécurité requises, particulièrement en ce qui a trait aux emplacements externes, comme le COD du recensement, les Centres de données de recherche (CDR) et les Centres de données dans les régions. Il faut donc des précisions concernant les emplacements externes. Par ailleurs, le Manuel, qui a été rédigé à l'origine en 1986, ne rend pas compte de la structure organisationnelle actuelle de Statistique Canada.

Processus et procédures

Compte tenu du fait que Statistique Canada mène un recensement tous les cinq ans, l'examen du Manuel des pratiques de sécurité et de la fonction de la SM a révélé qu'ils ne comprennent pas de renseignements sur les processus et les procédures à suivre pour l'intégration des exigences en matière de sécurité matérielle dans la sélection des locaux opérationnels à l'extérieur du complexe de Statistique Canada, comme l'emplacement du COD du recensement. Par ailleurs, il n'existe pas de documentation de sécurité de base uniformisée pouvant être utilisée comme outil de référence et pour fournir un cadre, des conseils et une orientation concernant les mesures et les normes de sécurité matérielle, par exemple, des renseignements sur la façon de traiter les « colis suspects » et la nécessité d'une salle distincte ventilée pour la manutention et le traitement du courrier. Une telle documentation améliorerait l'efficacité et l'efficience de l'utilisation des ressources intégrées, grâce à la réduction du chevauchement des efforts, chaque fois qu'un nouvel emplacement opérationnel est acquis à l'extérieur du complexe de Statistique Canada.

Néanmoins, en l'absence de documentation pour ce type de renseignements, la SM suit la Politique sur la sécurité du gouvernement (PSG) du SCT^{Footnote 1}, les lignes directrices de la GRC et d'autres politiques de Statistique Canada qui sont conformes à la PSG.

Par ailleurs, les gestionnaires de projet du COD du recensement ont déterminé et inclus les exigences en matière de sécurité matérielle comprises à la fois dans le document des exigences de base du Recensement de 2011 et dans le plan des exigences en matière d'occupation fournis à TPSGC comme guide pour déterminer les emplacements possibles pour les installations du COD du recensement au bureau central. Ces exigences ont été fondées sur ce qui suit :

• un document sur la sécurité matérielle préparé par la GI, qui fait état des exigences minimales en matière de sécurité pour les locaux opérationnels de Statistique Canada, à l'extérieur du complexe du bureau central, et fournit des lignes directrices pour les niveaux de sécurité, qui ont des répercussions sur les coûts d'aménagement;
• les exigences de base du Recensement de 2006;
• les expériences passées des employés acquises dans leurs postes respectifs pendant de nombreuses années; et
• les conseils et les recommandations reçus de la SM.

Recommandations n^os 1 et 2

Il est recommandé que le statisticien en chef adjoint, Recensement et Opérations, s'assure que :

• Le Manuel des pratiques de sécurité soit mis à jour pour rendre compte de la structure organisationnelle actuelle; que les rôles et responsabilités en matière de sécurité matérielle dans toutes les installations de Statistique Canada soient répartis entre la GI, la SM et les Opérations du recensement; et que les processus et procédures à suivre pour l'intégration des exigences en matière de sécurité matérielle dans toutes les installations de Statistique Canada soient inclus.
• La SM approuve la mise en œuvre des exigences en matière de sécurité matérielle s'appliquant aux programmes du Bureau, afin d'assurer la répartition des tâches.

Réponse de la direction

La direction est d'accord avec la recommandation n^o 1. Le Manuel des pratiques de la SM sera mis à jour en fonction de l'orientation qui sera établie dans le Plan de la SM, qui doit être approuvé par le Comité des politiques, au printemps de 2012. Le manuel révisé rendra compte de la gouvernance et fournira des lignes directrices claires concernant les ressources et les normes requises pour les emplacements externes. En outre, au début de projets particuliers, les rôles et responsabilités de la Gestion des installations et de la SM seront établis, dans le contexte de la définition et de la mise en œuvre des exigences en matière de sécurité. Ils seront revus et approuvés par le Comité de coordination de la SM.

Produit livrable

Manuel des pratiques de sécurité mis à jour et rôles et responsabilités définis et approuvés pour la mise en œuvre des exigences en matière de sécurité.

Responsabilité

Le directeur, Division des services de soutien intégrés, est chargé de veiller à ce que le Manuel des pratiques de sécurité soit mis à jour, comme il est stipulé.

Le directeur général, Direction des opérations, est chargé de s'assurer que les rôles et responsabilités définis pour la mise en œuvre des exigences de sécurité soient établis au début de chaque nouveau projet, étant donné qu'ils doivent être revus et approuvés par le Comité de coordination de la SM.

Échéancier

Immédiatement : Procédure d'établissement des rôles et responsabilités définis pour la mise en œuvre des exigences en matière de sécurité au début des nouveaux projets.

Juin 2012 : Mise à jour et approbation par le Comité des politiques du Manuel des procédures de sécurité.

La direction est d'accord avec la recommandation n^o 2. La Sécurité matérielle fera partie intégrante de l'équipe de projet et des directives seront fournies concernant les exigences en matière de sécurité matérielle, afin d'assurer la conformité avec les normes et exigences du Bureau, conformément au Manuel des pratiques de sécurité. Le Comité de coordination de la SM  approuvera la mise en œuvre des exigences en matière de sécurité matérielle pour chaque projet. L'approbation figurera dans le compte rendu de la réunion du comité.

Produit livrable

La Sécurité matérielle assurera l'orientation des projets concernant les exigences en matière de sécurité matérielle, afin d'assurer la conformité aux normes et aux exigences du Bureau.

Approbation documentée par le Comité de la SM de la mise en œuvre des exigences en matière de sécurité matérielle pour chaque projet.

Responsabilité

Le directeur, Division des services de soutien intégrés, veillera à ce que la Sécurité matérielle assure l'orientation des projets concernant les exigences en matière de sécurité matérielle.

Le président du Comité de coordination de la sécurité veillera à ce que le Comité de la SM  approuve la mise en œuvre des exigences en matière de sécurité matérielle pour chaque projet.

Échéancier

Immédiatement.

Surveillance, objectifs, procédures et plans relatifs à la sécurité matérielle du COD

Une supervision indépendante devrait être assurée pour contrôler et assurer la conformité avec les objectifs, priorités, procédures et toutes les politiques et normes pertinentes du gouvernement en ce qui a trait à la sécurité matérielle du COD du recensement. Des plans devraient être en place pour répondre aux situations d'urgence et pour assurer la continuité des activités opérationnelles essentielles.

Surveillance

La vérification a permis de déterminer qu'il existe une surveillance indépendante, tant au niveau opérationnel que du Bureau. Au niveau opérationnel, le Comité directeur du recensement, l'équipe de projet du recensement et l'Équipe de projet intégrée (EPI) assurent la surveillance. L'EPI a tenu une réunion, comme convenu, pour discuter de toutes les exigences opérationnelles liées au COD du recensement. Le gestionnaire du recensement, à titre d'autorité responsable, a été informé des discussions et a reçu des mises au point régulières concernant la situation. Au niveau du Bureau, le Comité de coordination de la sécurité (CCS), qui relève en dernier ressort du Comité des politiques, a mis en place des processus officiels.

Objectifs, procédures et plans

Des manuels et des guides ont été rédigés par l'équipe de gestion de projet du COD du recensement et portent de façon détaillée sur les procédures de sécurité matérielle visant à protéger les données de nature délicate, les actifs et les employés. Le Processus de gestion des opérations de traitement du Recensement de 2011 – Centre des opérations des données porte sur les buts opérationnels, objectifs, rôles, responsabilités, processus, outils et gouvernance, ainsi que sur les politiques et procédures pour la gestion des opérations du COD du recensement.

Les Procédures de sécurité matérielle du COD du Recensement de 2011 portent sur les exigences en matière de sécurité matérielle, les procédures de santé et de sécurité pour l'étape pré opérationnelle, l'étape opérationnelle et l'étape de la clôture et du démantèlement. Par ailleurs, la section 2.8 du Guide des employés du Recensement de 2011 a été consacrée à la « sécurité », dans tous ses aspects liés aux employés du Recensement de 2011.

La vérification a permis de déterminer que l'équipe de gestion du projet du recensement a élaboré une ébauche de plan de continuité  des activités (PCA) pour le COD du recensement et qu'elle a l'intention d'y mettre la dernière main et de le présenter au Comité des politiques pour approbation avant que les activités commencent, en avril 2011. Par ailleurs, la vérification a confirmé, par suite d'un examen du document de PCA du Bureau, que le COD du recensement, qui doit faire l'objet d'un bail permanent, tant pour le Recensement de 2011 que pour celui de 2016, est inclus dans le PCA. Des procédures détaillées pour la continuité des opérations essentielles de l'emplacement du COD du recensement sont en voie d'être élaborées en vue d'être incluses.

L'examen de la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT et les discussions avec les gestionnaires de la Division des services de soutien intégrés (DSSI) ont révélé que les responsabilités affectées au coordonnateur du PCA  ne rendent pas compte de celles établies dans la politique du SCT.

Une visite au COD du recensement par l'équipe de vérification, en novembre 2010, a révélé que les plans d'urgence approuvés du gouvernement du Canada, c'est-à-dire les procédures d'évacuation et les exercices d'évacuation en cas d'incendie, n'étaient pas prêts. Il s'agit d'une exigence, et ces plans doivent être fournis à Statistique Canada par le ministère des Travaux publics et Services gouvernementaux Canada (TPSGC), en tant qu'agent de location de l'emplacement du COD du recensement. À l'heure actuelle, certaines procédures d'urgence, comme les procédures d'évacuation, ont été fournies par le propriétaire et affichées un peu partout dans l'immeuble. En date de janvier 2011, l'équipe de vérification a été informée par l'équipe de gestion de projet du COD du recensement que les plans d'urgence avaient été soumis par TPSGC pour approbation par la ville de Gatineau.

Recommandation n^o 3

Il est recommandé que le statisticien en chef adjoint, Recensement et Opérations, veille à ce que  les  responsabilités du coordonnateur du PCA  rendent compte de celles comprises dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA).

Réponse de la direction

La direction est d'accord avec la recommandation n^o 3. Le Comité de coordination de la SM  s'assurera que le rôle et les responsabilités du coordonnateur du PCA du Bureau correspondent à la politique du SCT Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA), dans le Plan de la SM. Un coordonnateur du PCA sera désigné.

Produit livrable

Plan de la SM approuvé, qui définit les rôles et responsabilités du coordonnateur du PCA, en conformité avec la politique du SCT Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA).

Nomination d'un coordonnateur du PCA pour le Bureau.

Responsabilité

Le président du Comité de coordination de la sécurité est responsable de s'assurer que le Bureau a un Plan de sécurité approuvé, qui définit les rôles et responsabilités du coordonnateur du PCA , en conformité avec la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) du SCT. Le président doit aussi s'assurer qu'un coordonnateur du PCA du Bureau est désigné.

Échéancier

Été 2011 : Coordonnateur du PCA du Bureau désigné.

Novembre 2011 : Plan de la SM approuvé, qui définit les rôles et responsabilités du coordonnateur du PCA, en conformité avec la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) du SCT.

Contrôle et évaluation

Les changements et les risques liés aux exigences en matière de sécurité matérielle au COD du recensement devraient faire l'objet d'un contrôle et d'un examen proactifs, et les renseignements recueillis devraient servir à prendre des décisions éclairées et des mesures correctives.

Contrôle

La vérification a révélé que la documentation élaborée par les gestionnaires des Opérations du recensement, c'est-à-dire le Processus de gestion des opérations de traitement du Recensement de 2011 – Centre des opérations de données, comporte suffisamment de directives et de conseils concernant la détermination des risques pour le contrôle du rendement réel par rapport aux résultats prévus.

Trois systèmes différents mais interreliés de Statistique Canada ont servi à consigner les risques et les problèmes. Une de ces applications est le Système des questions en suspens, un système distinct, qui est toutefois lié au deuxième et au troisième systèmes, à savoir le Système de gestion des risques (SGR) et le Système de gestion des changements (SGC) respectivement. Lorsqu'un risque a été déterminé, il a été affiché dans le SGR et catégorisé en ce qui a trait à sa probabilité, son incidence et son échéance. Un rapport comportant un numéro d'identification du risque, le nom du gestionnaire de projet du recensement compétent, une description et un énoncé de la situation du risque pourrait être produit au niveau du programme du recensement ou du projet du recensement, pour examen et contrôle par les gestionnaires du programme du recensement. Les énoncés de décision concernant chaque risque ou problème ont aussi été intégrés dans le SQS, pour un contrôle continu par les gestionnaires du programme du recensement. Un examen de problèmes sélectionnés de façon aléatoire a révélé que l'équipe compétente du projet du recensement y a donné suite, en vue de les résoudre.

Évaluation

À titre de mécanisme de gouvernance, une Évaluation de la menace et des risques (EMR) effectuée par un conseiller technique tiers, en septembre 2010, a servi de processus formel pour valider les exigences en matière de sécurité matérielle. Dans le cadre de l'évaluation, le conseiller technique a procédé à une inspection, a passé en revue les mécanismes de protection déterminés et a effectué une analyse des risques concernant la sécurité matérielle du COD du recensement. Un examen de suivi ou examen supplémentaire de la sécurité matérielle a été effectué en décembre 2010, afin de veiller à ce que les recommandations comprises dans l'EMR initiale soient approuvées et mises en œuvre. Le rapport de l'EMR a été finalisé par la suite, soit en décembre 2010.

Dans le cadre de l'évaluation, il a été déterminé que, pour le projet du Recensement de 2011, certaines activités comme la responsabilité du contrôle et de la mise à jour des mesures de sécurité par l'équipe de projet du recensement, étaient claires et bien communiquées. Des mesures correctives ont été prises pour les problèmes de sécurité, et elles ont été documentées de façon appropriée et ont fait l'objet d'un rapport et d'un suivi par les responsables autorisés.

Sécurité matérielle

Gérance

Le deuxième objectif de la présente vérification était d'évaluer si l'installation du COD du recensement était conforme aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle. À cette fin, on a examiné les éléments suivants :

• les zones de sécurité du COD du recensement ont été définies et entretenues au moyen de mécanismes appropriés de contrôle de l'accès, afin de protéger les actifs et les données de nature délicate, conformément à la Politique sur la sécurité du gouvernement (PSG) du SCT;
• les exigences en matière de sécurité ont été prises en compte tout au long du processus contractuel et ont été décrites dans les documents fournis aux entrepreneurs;
• le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel. Des procédures étaient en place pour protéger les actifs de Statistique Canada, par suite du changement de fonctions d'un employé travaillant au projet du COD du recensement; et
• la version finale de l'EMR, afin de veiller à ce que les pratiques de gestion de la sécurité et de la sécurité matérielle soient appliquées en conformité avec les politiques et les lignes directrices pertinentes en matière de sécurité matérielle.

Exigences de zonage

Parallèlement à un examen de l'EMR, une visite de l'emplacement du COD du recensement a permis de déterminer que les zones de sécurité – accès public, réception, opérations, zones de sécurité et zones très sécuritaires, étaient bien définies et entretenues, conformément à la PSG du SCT, afin de protéger les actifs et les données de nature délicate de Statistique Canada.

Processus contractuel

Statistique Canada a pris possession du COD du recensement en octobre 2010. Jusque-là, TPSGC était responsable de tous les aspects du processus contractuel, en tant qu'agent de location. La vérification a déterminé que les fichiers et la documentation de soutien du contrat, en date d'octobre 2010, comprenaient les exigences en matière de sécurité et étaient pris en compte dans le processus contractuel. On a examiné les données de sécurité des employés travaillant pour les entrepreneurs ayant accès au COD du recensement. La cote de sécurité de chaque employé, ainsi que les dates d'entrée en vigueur et d'échéance des autorisations, respectivement, ont été consignées et confirmées.

Enquête de sécurité sur le personnel et protection des actifs

Afin d'évaluer si le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel, les fichiers personnels de 15 des 25 employés au total (60 %) de Statistique Canada, et de l'ensemble des 5 (100 %) employés préposés au nettoyage travaillant au COD du recensement ont été évalués. Six des 15 fichiers concernaient des employés des services intégrés travaillant au projet du COD du recensement et ont été considérés par l'équipe de vérification comme essentiels aux opérations globales du projet. Les fichiers restants ont été choisis de façon aléatoire. Les résultats des essais et les entrevues de suivi ont permis de déterminer que Statistique Canada a pris les mesures nécessaires pour s'assurer que les autorisations de sécurité étaient valides pour tous les employés et travailleurs liés aux entrepreneurs. Un examen de la documentation fournie par les Ressources humaines (RH) a révélé que les lignes directrices et les procédures nécessaires étaient en place pour protéger les actifs de Statistique Canada, par suite du changement de fonctions d'un employé travaillant au COD du recensement.

Évaluation de la menace et des risques

L'EMR finale a déterminé que toutes les lacunes et préoccupations en matière de sécurité matérielle comprises dans l'EMR initiale ont été prises en compte de façon appropriée pour atténuer les risques connexes et a conclu « que le COD de Statistique Canada était suffisamment sécuritaire pour répondre aux besoins opérationnels du Recensement de 2011^{Footnote 2}».

Il convient de souligner que deux risques et recommandations connexes subsistent et que les gestionnaires des Opérations du recensement ont déterminé que la probabilité que ces événements se produisent était faible.

Le premier est le risque d'accès non autorisé au COD du recensement. Dans l'EMR, il était recommandé qu'une caméra vidéo soit installée sur l'immeuble pour contrôler l'accès non autorisé au toit. La GI nous a informés que les gestionnaires du projet du recensement avaient décidé d'accepter ce risque, en contrepartie d'autres mesures d'atténuation.

Le deuxième risque est lié à la partie non louée de l'installation. Il n'existe pas d'assurance que l'autre locataire sera un ministère ou un organisme du gouvernement du Canada, le COD du recensement étant installé dans un local commercial. La GI et les gestionnaires de projet du COD du recensement nous ont informés qu'un comité de locataires sera établi au besoin, conformément à la politique du SCT, pour résoudre les problèmes et les préoccupations en matière de sécurité, si un nouveau locataire est identifié et quand il le sera.

Compte tenu des preuves recueillies et de nos constatations en ce qui a trait aux questions à poser concernant la sécurité matérielle du COD, aucune recommandation n'est nécessaire.

Annexes

Annexe A : Critères de vérification

Annexe A : Critères de vérification

Élément du CRG	Critère
Secteur à examiner no 1 : La gouvernance en matière de sécurité du COD du recensement est appropriée et efficace
Gouvernance :	Des organismes de surveillance efficaces sont établis. Le COD du recensement dispose de plans et d'objectifs opérationnels visant à atteindre ses objectifs stratégiques. Les gestionnaires ont élaboré des plans pour protéger les données de nature délicate, les actifs et les employés advenant tous les types d'urgence et en situation de menace accrue. Des plans sont élaborés pour assurer la continuité des activités opérationnelles essentielles, des services et des actifs, par suite d'une interruption non prévue.
Responsabilisation:	Les pouvoirs, la responsabilité et la responsabilisation sont clairs et bien communiqués. Une structure organisationnelle claire et efficace est établie et documentée.
Gestion des risques :	La direction a déterminé les risques qui pourraient nuire à l'atteinte de ses objectifs et y a donné suite.
Résultats et rendement :	Les gestionnaires contrôlent le rendement réel par rapport aux résultats prévus et donnent suite aux risques en ce qui a trait à la sécurité matérielle du COD du recensement.
Secteur à examiner no 2 : Le COD se conforme aux exigences pertinentes en matière de sécurité matérielle qui sont prescrites par le Secrétariat du Conseil du Trésor (SCT)
Gérance :	Les gestionnaires ont établi des processus pour déterminer et gérer les contrats. Les actifs sont protégés. Les procédures s'appliquant à la sécurité du personnel au COD du recensement sont appropriées.

Annexe B : Politiques, normes et lignes directrices

Pour appuyer la section de l'évaluation de la sécurité matérielle du rapport d'EMR, on a déterminé que les normes, politiques et lignes directrices suivantes du gouvernement du Canada étaient utilisées :

• Politique sur la sécurité du gouvernement (PSG) du gouvernement du Canada;
• Norme opérationnelle sur la sécurité matérielle du gouvernement du Canada;
• Méthodologie harmonisée d'évaluation des menaces et des risques du gouvernement du Canada;
• GRC G1-001 – Guide d'équipement de sécurité;
• GRC G1-004 – Construction d'une aire protégée;
• GRC G1-005 – Guide pour la préparation d'un énoncé de sécurité matérielle;
• GRC G1-006 – Cartes d'identité/insignes d'accès;
• GRC G1-009 – Transport et transmission de renseignements protégés ou classifiés;
• GRC G1-013 – Besoins en espace des centres de surveillance;
• GRC G1-024 – Contrôle de l'accès;
• GRC G1-025 – Protection, détection et intervention;
• GRC G1-026 – Établissement des zones de sécurité matérielle.

Notes :

Énoncé du consultant indépendant en validation

Numéro de référence : IA-Con-2011 ( Document (PDF, 125.1 Ko) )

On a fait appel à des consultants en validation pour procéder à une validation indépendante de l'autoévaluation des Services de vérification interne de Statistique Canada. La validation visait principalement à vérifier les affirmations tirées du rapport de l'autoévaluation concernant :

• La conformité de Statistique Canada et des Services de vérification interne aux exigences de la suite de la Politique sur la vérification interne du Conseil du Trésor, ainsi qu'aux Normes relatives à la vérification interne au sein du gouvernement du Canada, selon le manuel d'inspection professionnelle de vérification interne du Secrétariat du Conseil du Trésor (juin 2010);
• La conformité des Services de vérification interne aux Normes internationales pour la pratique professionnelle de la vérification interne et au code de déontologie de l'Institut des vérificateurs internes.

En tant que consultants en validation, nous sommes entièrement indépendants de l'organisme et nous avons les connaissances et les compétences nécessaires pour réaliser cet exercice. La validation, qui a été effectuée de septembre à novembre 2011, a consisté principalement en un examen et une mise à l'essai des procédures et des résultats de l'autoévaluation.

En outre, des entrevues ont été menées avec le statisticien en chef, le président par intérim et membre de l'extérieur du Comité ministériel de vérification, certains cadres supérieurs, le dirigeant principal des finances, le dirigeant principal de la vérification et plusieurs membres du personnel de la vérification interne.

Nous sommes d'accord avec les conclusions de la gestion des pratiques professionnelles de Statistique Canada que :

• Le statisticien en chef, le Comité ministériel de vérification et les Services de vérification interne de Statistique Canada sont en conformité, globalement, avec les exigences de la suite de la Politique sur la vérification interne du Conseil du Trésor et avec les Normes relatives à la vérification interne au sein du gouvernement du Canada;
• Les Services de vérification interne sont en conformité, globalement, avec les Normes internationales pour la pratique professionnelle de la vérification interne et le code de déontologie de l'Institut des vérificateurs internes.

Nos observations et nos recommandations ont été intégrées dans le rapport d'inspection professionnelle du 1er décembre 2011. Des suggestions découlant de la validation indépendante pour l'amélioration des meilleures pratiques, visant à renforcer les pratiques solides existantes, ont été formulées auprès du dirigeant principal de la vérification pour examen.

Rapport de vérification final
Cadres de gestion des marchés et des dépenses de TI

Services de vérification interne Statistique Canada
Le 15 avril 2010
Numéro de projet : 80590-59 ( Document (PDF, 349.15 Ko) )

• Résumé
• Introduction
  • Contexte
  • Autorisation
  • Objectifs de la vérification
  • Étendue et approche
• Constatations, recommandations et réponse de la direction
  • Cadre de contrôle de gestion des marchés
  • Surveillance et évaluation du rendement
  • Documentation dans les dossiers sur les marchés
  • Dépenses
• Annexes
  • Annexe A : Objectifs de la vérification et critères connexes
  • Annexe B : Sélection de l'échantillon de marchés

Résumé

Les pratiques de gestion des marchés et des dépenses de TI en vigueur à Statistique Canada constituent des processus de gestion clés à l'appui du rôle et du mandat de ce dernier. Du 1er avril 2007 au 31 août 2009, 8 102 marchés ont été octroyés en vertu des pouvoirs de passation des marchés délégués à Statistique Canada, la valeur de ces marchés étant estimée à 95,05 millions de dollars (biens ou services fournis partiellement ou intégralement).

La vérification avait pour objet de fournir au statisticien en chef et au Comité ministériel de la vérification (CMV) les assurances suivantes :

• le cadre de contrôle de gestion des marchés est adéquat et efficace;
• les activités appuyant ce cadre sont conformes aux politiques de passation de marchés du gouvernement du Canada et de Statistique Canada;
• le cadre de contrôle de gestion des dépenses en biens et services de TI est géré conformément aux politiques applicables.

Les Services de vérification interne ont effectué la vérification conformément à la Politique sur la vérification interne du gouvernement du Canada.

Résultats sommaires

Les éléments clés du cadre de contrôle de gestion des marchés (CCGM) existent, mais il y a lieu de créer un comité d'examen des marchés de Statistique Canada.

Les activités appuyant le CCGM sont conformes aux politiques; des lacunes ont été relevées en matière de surveillance, d'évaluation du rendement et de documentation dans les dossiers sur les marchés.

L'examen a été fondé sur une analyse des politiques, lignes directrices et documents, des interviews avec les employés clés et les cadres supérieurs, ainsi qu'une analyse d'un échantillon de 60 dossiers sur les marchés.

La vérification a permis de constater que les éléments clés du cadre de contrôle de gestion des marchés existent, mais qu'il y a lieu de créer un comité d'examen des marchés au niveau de Statistique Canada. Les activités appuyant ce cadre de contrôle sont conformes à la plupart des politiques de passation de marchés du gouvernement du Canada et de Statistique Canada mais des lacunes ont été relevées au niveau du contrôle. Statistique Canada doit améliorer ses activités de contrôle de gestion, ses évaluations du rendement et la documentation dans les dossiers sur les marchés. Ensemble, ces activités amélioreront la stratégie de gestion des risques de Statistique Canada.

Le troisième objectif, la vérification du cadre de contrôle de gestion des dépenses en biens et services de TI, a été abordé dans le cadre de la vérification horizontale de la gestion des biens de technologie de l'information dans les grands ministères et organismes qui a été menée en parallèle par le Bureau du contrôleur général et les résultats seront présentés dans le rapport de ce dernier.

Introduction

Contexte

Dans le but de mettre en place un système d'approvisionnement ouvert, équitable et transparent dans l'administration publique fédérale, le gouvernement du Canada a mis en place des politiques destinées à renforcer les procédures d'approvisionnement du secteur public. L'orientation générale ainsi fournie vise à resserrer les mesures de contrôle à l'appui de la responsabilisation des ministères et des organismes. Par conséquent, les dépenses doivent être évaluées périodiquement et il doit exister des cadres de gestion en vue de garantir une diligence raisonnable et une intendance rigoureuse des fonds publics. Des contrôles robustes de la gestion des marchés et des dépenses de technologie de l'information (TI)"^{Footnote 1} permettront à Statistique Canada de disposer de mécanismes de gouvernance et de responsabilisation plus efficaces ainsi que d'améliorer la gestion des fonds publics.

Les pratiques de gestion des marchés et des dépenses de TI en vigueur à Statistique Canada constituent des processus de gestion clés à l'appui de l'exercice du rôle et du mandat de Statistique Canada. D'après les données de la Division des services de soutien intégrés, entre le 1er avril 2007 et le 31 août 2009, 8 102 marchés ont été octroyés en vertu des pouvoirs de passation des marchés délégués à Statistique Canada, la valeur de ces marchés, incluant les dépenses de TI, étant estimée à 95,05 millions de dollars. L'évaluation du risque a montré que les initiatives d'approvisionnement régional étaient nombreuses mais de valeur peu élevée"^{Footnote 2}. Par conséquent, ces marchés n'ont pas été inclus dans la vérification. Les marchés de moins de 5 000 $ ont été exclus également. Les autres activités d'approvisionnement représentaient 1 582 marchés dont la valeur totale s'est chiffrée à 88,64 millions de dollars, soit une valeur moyenne de 56 028 $ par marché, un montant jugé significatif.

La vérification a compris l'examen des pratiques opérationnelles et des contrôles en place, de manière à déterminer le degré de conformité aux politiques et aux procédures du Secrétariat du Conseil du Trésor (SCT) et de Statistique Canada au regard du cadre de gestion des marchés et des dépenses de TI. Le cadre de gestion des marchés et la gestion des dépenses en biens et services de TI sont des thèmes figurant dans le plan de vérification axé sur les risques (PVAR) pour les exercices 2008 2009 à 2010 2011 en ce qui touche les activités à vérifier. Par souci d'efficience, on les a combinés en une même vérification des cadres de gestion des marchés et des dépenses de TI.

Autorisation

Les Services de vérification interne ont procédé à la vérification conformément au PVAR de 2008 2009 à 2010 2011 de Statistique Canada, qui a été approuvé par le Comité de la vérification interne le 19 mars 2008.

Objectifs de la vérification

La vérification avait pour objet de fournir au statisticien en chef et au CMV de Statistique Canada les assurances suivantes :

• le cadre de contrôle de gestion des marchés (CCGM) est adéquat et efficace;
• les activités appuyant le CCGM sont conformes aux politiques de passation de marchés du gouvernement fédéral et de Statistique Canada; et
• le cadre de contrôle de gestion des dépenses en biens et services de TI est géré conformément aux politiques applicables.

Les critères applicables à ces objectifs sont énoncés à l'annexe A,

Étendue et approche

La vérification portait sur les marchés octroyés et les dépenses de TI engagées par Statistique Canada en vertu des pouvoirs délégués du statisticien en chef. Elle comprenait un examen des cadres de contrôle de gestion qui sous tendent les fonctions de passation de marchés et d'engagement de dépenses de TI à Statistique Canada. Les marchés gérés par les Services du matériel et des contrats (SMC) dans le cadre desquels des biens ou des services ont été fournis partiellement ou intégralement au cours de la période visée (du 1er avril 2007 au 31 août 2009) et dont la valeur était d'au moins 5 000 $ faisaient partie de l'étendue de la vérification. Étaient compris des marchés ayant franchi le cycle de vie complet ainsi que des marchés plus récents auxquels étaient applicables des procédures révisées fondées sur l'évaluation de l'état de préparation des états financiers. Durant cette période, 1 582 marchés visés par l'étendue de la vérification ont été octroyés dont la valeur totale s'est chiffrée à 88,64 millions de dollars. Un échantillon de 60 marchés a été sélectionné dont la valeur s'établissait à 19,53 millions de dollars.

Tous les marchés des bureaux régionaux ainsi que les marchés dont la valeur était inférieure à 5 000 $ ont été exclus de la vérification.

La vérification a été effectuée en conformité avec la Politique sur la vérification interne du gouvernement du Canada.

Des renseignements sur l'échantillon sélectionné sont fournis à l'annexe B.

L'examen englobait les divisions suivantes :

1. Division des opérations et des systèmes de gestion financière (DOSGF),
2. Division des services de soutien intégrés (DSSI), incluant les Services du matériel et des contrats (SMC),
3. Division des services de technologie informatique (DSTI) et Division de développement de systèmes (DDS),
4. Division de la gestion des ressources (DGR), et
5. cinq divisions clientes des SMC sélectionnées.

L'examen a été fondé sur une analyse des politiques, lignes directrices et documents, des interviews avec les employés clés et les cadres supérieurs, ainsi qu'une analyse d'un échantillon de 60 dossiers sur les marchés.

L'échantillon des dossiers sur les marchés comprenait divers types de mesures d'approvisionnement, entre autres : préavis d'adjudication de contrat; autochtone; concurrentiel; non concurrentiel; Services de soutien de l'équipement de réseau; services professionnels en ligne; et marché de Travaux publics et Services gouvernementaux Canada (TPSGC). La valeur totale de l'échantillon se chiffre à 19,53 millions de dollars.

En septembre 2009, durant cette vérification, Statistique Canada a été informé qu'il avait été sélectionné pour faire partie de l'échantillon visé par la vérification horizontale de la gestion des actifs de technologie de l'information dans les grands ministères et organismes du Bureau du contrôleur général (BCG). Le personnel de vérification interne de Statistique Canada a participé à l'étape de l'exécution de cette vérification. La vérification du BCG portait sur la gouvernance des actifs de TI et était semblable à notre troisième objectif, l'assurance que le cadre de contrôle de gestion des dépenses en biens et services de TI est géré conformément aux politiques applicables. Pour cette raison, la vérification du troisième objectif s'est faite dans le cadre de la vérification du BCG et les résultats sommaires seront présentés dans le rapport de ce dernier.

Constatations, recommandations et réponses de la direction

Relativement au premier objectif, la vérification a établi que les éléments clés du cadre de contrôle de gestion des marchés existent mais qu'il convient de créer un comité d'examen des marchés au niveau de Statistique Canada.

Les éléments de preuve recueillis relativement au deuxième objectif ont indiqué que les activités appuyant le CCGM sont conformes aux politiques de passation de marchés du gouvernement du Canada et de Statistique Canada, mais ont révélé des lacunes au niveau du contrôle. Statistique Canada devrait améliorer ses activités de contrôle de gestion, ses évaluations du rendement et la documentation dans les dossiers sur les marchés. Ensemble, ces activités amélioreront les stratégies de gestion du risque de Statistique Canada . En outre, le système de contrôle des dépenses fonctionnait comme prévu depuis le 1er avril 2009.

Les résultats de l'examen portant sur le troisième objectif, se rapportant au cadre de contrôle des TI, seront présentés dans le rapport de vérification du BCG tel qu'indiqué dans l'étendue de la présente vérification.

Toutes les recommandations ainsi que les mesures et les plans d'action proposés doivent être examinés dans le cadre de la structure de gestion actuelle de Statistique Canada.

Cadre de contrôle de gestion des marchés

Les éléments clés du CCGM sont en place. Toutefois, un comité d'examen des marchés n'a pas été créé.

Un CCGM adéquat et efficace est nécessaire pour permettre de déterminer, d'évaluer, d'atténuer et de gérer systématiquement les risques associés aux activités d'approvisionnement et pour assurer la conformité à la Loi sur la gestion des finances publiques (LGFP) ainsi qu'à la Politique et au règlement sur les marchés du Conseil du Trésor. La Politique sur les marchés du Conseil du Trésor précise ce qui suit : « Il incombe aux ministères et aux organismes de veiller à ce que soient mis en place et appliqués des cadres de contrôle suffisants pour assurer une diligence raisonnable et une administration judicieuse des fonds publics ».

La vérification a révélé que des éléments clés du CCGM, comme une structure organisationnelle, des procédures et lignes directrices ministérielles, une base de données et la délégation des pouvoirs de signature en matière de finances sont en place. Toutefois, un comité d'examen des marchés n'a pas été créé. Les cas suivants sont des exemples de marchés qu'il aurait été utile de soumettre à l'examen et à l'approbation d'un comité d'examen des marchés avant de les octroyer, de manière à réduire le risque associé au processus de passation des marchés. Le premier exemple est un marché d'une valeur de 2,37 millions de dollars dans lequel des lacunes ont été relevées relativement à l'administration et à la clôture du marché. Un autre exemple est celui d'un marché d'une valeur de 212 000 $ alors que la demande de marché de service et l'énoncé de travail précisaient un paiement total au fournisseur ne dépassant pas 200 000 $ y compris la taxe sur les produits et services (TPS) et une option de six mois de 100 000 $ y compris la TPS. L'option a été exercée pour un montant de 106 000 $ bien que moins de 40 % de la valeur du marché initiale ait été dépensé; une facture a été reçue après la fin de l'exercice accompagnée d'une note indiquant qu'ils tâcheraient de payer le montant à même des fonds non engagés.

Étant donné que Statistique Canada octroie plusieurs marchés importants à l'appui de son rôle et de son mandat, il y a un risque qu'un processus de passation de marchés concurrentiel, transparent et équitable ainsi que l'optimisation des ressources ne puissent être assurés. De plus, un comité d'examen des marchés fournirait à la direction l'assurance que les marchés qui présentent des risques plus élevés sont examinés et sont conformes aux directives du Conseil du Trésor. En outre, le comité d'examen des marchés limiterait le risque éventuel de conflit d'intérêt ou de favoritisme.

Recommandation 1

Il est recommandé que le statisticien en chef adjoint (SCA) du Secteur du recensement et des opérations veille à ce que soit créé un comité d'examen des marchés chargé d'examiner les marchés qui présentent des risques élevés.

Réponse de la direction

La direction accepte la recommandation.

La direction propose que les membres du nouveau comité d'examen des marchés comprennent le directeur général (DG), Opérations, le DG, Informatique, le DG, Planification et évaluation, le directeur de la Division des services de soutien intégrés, le chef des Services du matériel et des contrats et, selon le besoin, le conseiller juridique. La direction établira le mandat et élaborera une stratégie de communication.

Résultats attendus et échéancier :

• Création du comité d'examen des marchés (mandat et composition) et élaboration d'une stratégie de communication
• Directeur général, Opérations – Juin 2010

Surveillance et évaluation du rendement

Rien n'indique que les activités de passation de marchés font l'objet d'une surveillance complète et appropriée. En outre, aucun rapport d'évaluation du rendement n'était inclus dans les dossiers sur les marchés compris dans l'échantillon de marchés vérifiés.

La surveillance des marchés et des évaluations du rendement des entrepreneurs sont des activités fondamentales de soutien du CCGM et aident en assurer la pertinence et l'efficacité. Tel qu'indiqué ci dessus, il incombe aux ministères d'assurer une diligence raisonnable et une administration judicieuse des fonds publics et la surveillance est l'une des activités qui leur permettent de remplir cette obligation. La Politique sur les marchés du Conseil du Trésor précise que « l'autorité contractante devrait nommer un agent d'approvisionnement et l'autorité technique devrait nommer un agent de projet (lequel peut être la même personne) pour assumer la responsabilité de la surveillance du travail ».

En outre, la Politique sur les marchés du Conseil du Trésor précise ceci : « à l'achèvement du marché, l'autorité contractante devrait évaluer le travail exécuté par le consultant ou le professionnel. L'évaluation devrait être effectuée par des fonctionnaires connaissant bien les domaines particuliers en cause. Si des jugements sont formulés, on devrait les appuyer de données factuelles et complètes ».

Durant notre examen, nous avons constaté que rien n'indiquait que les activités de passation de marchés faisaient l'objet d'une surveillance complète et appropriée; en outre, aucun rapport d'évaluation du rendement n'était inclus dans l'un quelconque des 60 dossiers sur les marchés que nous avons examinés. Par exemple, selon les renseignements sur les expéditions et les réceptions, dans le cas de l'un des marchés échantillonnés, certains articles n'avaient toujours pas été reçus deux ans après la date de livraison prévue. Cette situation aurait pu être évitée si les activités de passation de marchés faisaient l'objet de la surveillance voulue et si le rendement des entrepreneurs était évalué.

Les représentants des divisions ont déclaré que les évaluations du rendement sont effectuées seulement de façon officieuse et selon le besoin.

L'absence de mesures appropriées de surveillance des marchés et d'évaluation du rendement des marchés pourrait avoir un effet négatif sur la réputation de Statistique Canada . En outre, il y a un risque de ne pas détecter que la fourniture des biens ou services n'était pas conforme aux modalités et conditions du marché, ce qui pourrait empêcher d'obtenir le meilleur rapport qualité prix possible.

Recommandation 2

Il est recommandé que le statisticien en chef adjoint (SCA) du Secteur du recensement et des opérations veille à ce que l'évaluation du rendement soit réalisée pendant la durée ainsi qu'à l'achèvement de chaque marché conformément aux directives du Conseil du Trésor; et à ce qu'un programme de surveillance des marchés soit établi.

Réponse de la direction

La direction accepte la recommandation.

Évaluation du rendement

La direction élaborera des procédures formelles pour l'évaluation du rendement des fournisseurs à l'achèvement de tout marché d'une valeur supérieure à 5 000 $ et d'une durée d'au plus six mois. Dans le cas des marchés d'une valeur supérieure à 5 000 $ mais d'une durée de plus de six mois, des procédures formelles seront élaborées pour l'évaluation du rendement à mi chemin de la durée du marché et à l'achèvement de celui ci. La direction mettra à jour la liste de contrôle des achats de manière à inclure l'évaluation du rendement des fournisseurs.

Résultats attendus et échéancier :

• Formule d'évaluation du rendement et liste de contrôle des achats mise à jour
• Directeur, Division des services de soutien intégrés – Juin 2010

Surveillance

La direction élaborera et établira un programme de surveillance des marchés afin d'assurer la surveillance appropriée du cadre de gestion des marchés et des activités à l'appui de ce cadre.

Résultats attendus et échéancier :

• Portée du programme de surveillance des marchés et établissement des rôles et responsabilités
• Directeur, Division des services de soutien intégrés – Octobre 2010

Documentation dans les dossiers sur les marchés

La documentation dans les dossiers sur les marchés était inégale et présentait des lacunes à l'échelle de l'échantillon de marchés vérifiés. Seule une petite proportion de dossiers étaient complets et bien documentés.

Aux fins de la gestion efficace de tous les aspects du processus d'approvisionnement, les dossiers des achats doivent contenir une documentation complète et appropriée. La Politique sur les marchés du Conseil du Trésor précise que « les dossiers des achats doivent être établis et structurés de manière à faciliter la surveillance au moyen d'une piste de vérification complète qui renferme des détails au sujet des marchés liés aux décisions et aux communications pertinentes, y compris l'identification des fonctionnaires et des autorités approuvant les marchés ». En outre, un dossier complet garantit que les principes d'accroissement de l'accès, de concurrence, d'équité et de rentabilité exprimés dans la Politique sur les marchés du Conseil du Trésor sont appliqués.

Statistique Canada s'efforce d'atteindre les objectifs et d'appliquer les directives de la Politique sur les marchés du Conseil du Trésor. Notre examen de l'échantillon de marchés nous a permis de constater des dossiers complets et bien documentés. Ces dossiers comprenaient une liste de contrôle des achats établie et confirmant que le marché a été exécuté conformément aux procédures établies. Ils comprenaient également un historique chronologique du processus de passation de marchés. Toutefois, cette procédure n'était pas appliquée uniformément à l'échelle des marchés compris dans l'échantillon et l'information était fournie seulement dans un petit nombre de dossiers. Nous avons relevé les lacunes suivantes dans plusieurs dossiers :

• la liste de contrôle des achats n'était pas suivie de manière uniforme;
• la liste des fournisseurs qualifiés pour les demandes de soumissions n'était pas dans le dossier;
• rien n'indiquait qu'on ait procédé à l'analyse de solutions de rechange et à une analyse coût avantage;
• les résultats de l'évaluation des propositions ne se trouvaient pas dans le dossier;
• les propositions des soumissionnaires non retenus ne se trouvaient pas dans le dossier et il n'y avait pas de mention indiquant où ils étaient conservés;
• la notification des soumissionnaires non retenus ne figurait pas dans le dossier;
• les rapports de surveillance et d'évaluation du rendement ne figuraient pas dans le dossier;
• les factures des fournisseurs n'étaient pas dans le dossier du marché.

La vérification a révélé que les justifications d'achats auprès d'un fournisseur unique étaient documentées; de plus, la directive de Statistique Canada voulant que l'approbation du statisticien en chef adjoint soit obtenue pour tout marché à fournisseur unique d'une valeur supérieure à 5 000 $ était respectée. Toutefois, il n'y avait pas d'assurance que les prix proposés étaient concurrentiels par rapport aux marchés comparables dans l'industrie. En outre, les fournisseurs retenus dans un processus non concurrentiel n'étaient pas tenus de confirmer que les prix proposés pour des points comme les tarifs journaliers n'étaient pas supérieurs à ceux dans des marchés comparables auxquels ils participaient.

Il y a un risque qu'une documentation incomplète et une piste de vérification inappropriée ne soutiennent pas le processus de prise de décision et les stratégies de gestion des risques de Statistique Canada.

Recommandation 3

Il est recommandé que le statisticien en chef adjoint (SCA) du Secteur du recensement et des opérations veille à ce que la Division des services de soutien intégrés élabore des procédures officielles d'examen périodique des dossiers des contrats, de manière à garantir la préparation uniforme et normalisée des dossiers des contrats par tous les agents d'approvisionnement.

Réponse de la direction

La direction accepte la recommandation.

La direction élaborera un processus d'examen de contrôle de la qualité. Le processus sera appliqué aux dossiers des contrats d'une valeur supérieure à 5 000 $. En outre, la direction mettra à jour la liste de contrôle des achats de manière à inclure tous les documents devant figurer dans chaque dossier sur un marché.

Résultats attendus et échéancier :

• Processus d'examen de contrôle de la qualité et liste de contrôle des achats mise à jour
• Chef, Services du matériel et des contrats – Juillet 2010

Dépenses

Dans le cas des marchés octroyés depuis le 1er avril 2009, les exigences financières sont conformes à la LGFP.

La vérification a révélé des lacunes liées aux aspects financiers des marchés octroyés avant le 1er avril 2009. Toutefois, dans le cas des marchés octroyés depuis cette date, les exigences financières sont conformes à la Loi sur la gestion des finances publiques (LGFP). L'amélioration est attribuée à la mise en œuvre des recommandations formulées à la suite d'une étude portant sur l'évaluation des dépenses en immobilisations (« Assessment of Capital Assets Expenditures ») de la Division des opérations et des systèmes de gestion financière (DOSGF) ainsi que d'une vérification interne de la protection des biens et de la gestion du cycle de vie, toutes deux effectuées en 2008. Dans ces conditions, il n'y a pas lieu de formuler de recommandations.

Annexes

Annexe A : Objectifs de la vérification et critères connexes

Objectif 1 – Le cadre de contrôle de gestion des marchés est adéquat et efficace

• Les pratiques de passation de marchés font l'objet d'une planification et d'une gestion appropriées
• Les données relatives aux marchés sont dûment consignées et sont exactes et fiables
• Des éléments démontrent que des pratiques de surveillance et de formation appropriées sont en place

Objectif 2 : Les activités à l'appui du cadre de contrôle de gestion des marchés sont conformes aux politiques sur les marchés du gouvernement du Canada et de Statistique Canada

• Éléments démontrant qu'un processus approprié d'approbation des activités de passation de marchés est en vigueur (articles 32 et 34)
• Éléments démontrant l'application de pratiques approuvées au chapitre des paiements (article 33)
• Éléments démontrant la conformité à la Politique sur les marchés du Conseil du Trésor (respect des étapes du processus de passation de marchés et de la procédure de reddition de comptes au SCT)

Objectif 3 : Le cadre de contrôle de gestion des dépenses en biens et services de TI est géré conformément aux politiques applicables

• Des processus de planification et de budgétisation efficaces sont en vigueur pour l'acquisition de biens et services de TI, de manière à appuyer le plus efficacement possible les objectifs, les priorités et les activités de Statistique Canada
• Statistique Canada prend les mesures nécessaires pour garantir un rendement, une utilisation et un entretien efficients et économiques des biens et services de TI.

Sélection de l'échantillon de marchés

Marchés faisant partie de l'étendue de la vérification du 1er avril 2007 au 31 août 2009This table describes the In Scope Contracts from April 1, 2007 to August 31, 2009

Type of marché	Marchés visés par l'étendue de la vérification		Marchés échantillonnés
	Nombre	Valeur en $	Nombre	Valeur en $
PAC	26	4,448,013 $	4	1,829,601 $
Autochtone	3	64,894 $	2	59,891 $
Concurrentiel	925	44,596,446 $	24	13,822,061 $
Non concurrentiel	438	10,972,322 $	15	336,352 $
SSER	30	2,374,963 $	5	268,175 $
SP en ligne ou TPSGC	144	25,058,816 $	7	2,891,009 $
Autre	16	1,120,189 $	3	324,838 $
Total	1,582	88,635,643 $	60	19,531,927 $

PAC : préavis d'adjudication de contrat

MERX : Service Internet qui permet aux organismes du secteur public de publier et de gérer les avis d'appels d'offres et la documentation associée en ligne

SSER : Services de soutien de l'équipement de réseau

SP en ligne : Services professionnels en ligne

Notes :

Footnote 1

Tout au long du présent rapport, les dépenses de TI se rapportent aux dépenses de TI au titre des biens et services.

Return to footnote 1 referrer

Footnote 2

D'après les données de la Division des services de soutien intégrés, entre le 1er avril 2007 et le 31 août 2009, les bureaux régionaux ont octroyé 2 522 marchés dont la valeur totale s'est chiffrée à 1,99 million de dollars, soit une valeur moyenne de 792 $ par marché; on juge que le risque rattaché à des marchés de ce montant est faible.

Return to footnote 2 referrer

Version finale du rapport de vérification
Vérification des accords de partage de données

Statistique Canada
Le 15 avril 2010
Numéro de projet : 80590-60 ( Document (PDF, 191.21 Ko) )

• Résumé
• Introduction
  • Contexte
  • Objectifs
  • Étendue et approche
  • Autorité
• Conclusions, recommandations et réponse de la direction
  • Environnement de conformité à la confidentialité des APD
  • Évaluation des risques liés aux APD
  • Communication et gestion de l'information des APD
  • État de conformité en matière de confidentialité des APD
• Annexes
  • Annexe A : Critères de vérification
  • Annexe B : Nombre cumulatif d'accords de partage de données formels actifs de Statistique Canada à la fin de 2008
  • Annexe C : Glossaire

Résumé

Statistique Canada a conclu des accords de partage de données (APD) en vertu des articles 11 et 12 de la Loi sur la statistique depuis 1976. La conclusion d'APD est devenue un processus opérationnel clé. Ces accords, aujourd'hui au nombre de 500, touchent presque toutes les enquêtes entreprises ainsi que la majorité des enquêtes ménages et prévoient certaines exceptions en matière de diffusion des renseignements confidentiels sur les répondants. Ces dernières années, la gestion du partage des données a pris de l'ampleur et est devenue de plus en plus complexe. La protection de la confidentialité des données partagées, une valeur clé du Service axé sur les citoyens, des Valeurs et de la Gérance à Statistique Canada, présente un défi. Les APD entrent dans un cadre de gestion multipartite caractérisé par une gestion répartie selon diverses dispositions en matière de responsabilité entre les groupes de Statistique Canada et les partenaires des APD (organismes canadiens externes). Les risques de non conformité aux exigences législatives et politiques en matière de protection de la confidentialité et d'atteinte à la réputation de Statistique Canada ont été jugés élevés.

Les objectifs de la présente vérification étaient de fournir au statisticien en chef et au Comité Ministériel de vérification (CMV) l'assurance que le Cadre de contrôle de gestion (CCG) de la confidentialité des APD de Statistique Canada est pertinent et efficace pendant tout le cycle de vie des APD; et que les activités qui appuient le CCG de la confidentialité des APD sont conformes aux lois et politiques sur la confidentialité du gouvernement du Canada et de Statistique Canada pendant tout le cycle de vie des APD.

La vérification a été effectuée par les services de vérification interne de Statistique Canada et les éléments de preuve ont été recueillis en conformité avec les normes de vérification interne dans l'administration fédérale du Canada et le Cadre international de référence des pratiques professionnelles (CIRPP) de l'Institut des vérificateurs internes.

La vérification a permis de constater que Statistique Canada et ses partenaires se conforment aux lois et aux politiques pertinentes. Toutefois, il existe des possibilités de renforcer le cadre de contrôle de gestion se rapportant aux APD dans les domaines de la gestion des risques, du suivi ou de la surveillance et de la gestion ainsi que de la communication de l'information.

Le cadre de contrôle gestion des APD se compose de cinq éléments : la planification et la présentation de rapports, la gestion et la communication de l'information, l'évaluation des risques, le suivi et l'environnement de conformité de la confidentialité. L'environnement de conformité de la confidentialité des APD est satisfaisant en tant qu'élément du cadre de contrôle de gestion. La vérification a révélé qu'il n'y a pas de politique globale ou un document unique portant sur la gestion des APD qui combinerait toutes les exigences pertinentes concernant la conformité en matière de confidentialité, couvrant toute la durée du cycle de vie d'un APD et l'établissement d'un cadre de contrôle de gestion approprié.

La gestion systématique des risques est un élément fondamental d'une bonne gestion publique. Le cadre de contrôle de gestion des APD comprend des pratiques fragmentées et souvent ponctuelles de gestion des risques dans le cadre de l'évaluation de la conformité en matière de confidentialité. Des possibilités s'offrent au niveau de l'organisme et des divisions d'améliorer les pratiques de gestion des risques.

L'accès à l'information est l'une des valeurs clés de Statistique Canada, qui comprend l'accès aux données partagées par les partenaires des APD en vertu des accords de partage des données. La vérification a révélé des APD inactifs et des cas où les données partagées n'étaient pas fournies aux partenaires en temps opportun. Une meilleure intégration des dossiers et l'élaboration de protocoles intégrés amélioreraient les pratiques de gestion et de communication de l'information.

En ce qui a trait à l'état de conformité en matière de confidentialité des APD, Statistique Canada et les partenaires des APD se conforment aux exigences législatives et stratégiques et aucune atteinte à la confidentialité n'a été détectée. Toutefois, l'information requise pour évaluer la conformité en matière de confidentialité était souvent fragmentée et incomplète à l'étape de la surveillance du cycle de vie de l'APD. Un régime de contrôle de gestion fournirait suffisamment de renseignements fiables pour la prise de décisions en ce qui concerne la pertinence et la gestion de la confidentialité.

Dans l'ensemble, l'occasion s'offre d'adapter un modèle stratégique de gestion des risques et d'appliquer les principes de la surveillance active en ce qui concerne les APD, ce qui améliorerait l'efficacité de la gestion.

Introduction

Contexte

Pendant plus de 30 ans, Statistique Canada a exercé le mandat qui lui a été confié de conclure des accords de partage de données statistiques (APD) avec d'autres organisations assujetties aux articles 11 et 12 de la Loi sur la statistique. La conclusion d'APD est devenue un processus opérationnel clé. Ces accords, actuellement au nombre de 500, touchent presque toutes les enquêtes entreprises ainsi qu'une majorité d'enquêtes ménages et prévoient certaines exceptions concernant la diffusion des renseignements confidentiels sur les répondants, avec ou sans leur consentement, à la condition que toutes les parties respectent les exigences prévues par la loi en matière de fourniture de renseignements sur le partage des données, de droits liés au consentement et de protection de la confidentialité. En général, il y a partage de données à des fins statistiques lorsqu'une enquête statistique et d'information est entreprise par les partenaires d'une enquête conjointe, ou qu'une source de données communes est la propriété à parts égales d'au moins deux partenaires. On procède au partage de données lorsqu'il entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage de données, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques.

Plus particulièrement, la Loi sur la statistique autorise deux genres d'APD^{Footnote 1} :

• APD visés par l'art. 11 : partage de données avec les bureaux de la statistique provinciaux/territoriaux qui sont assujettis à des lois semblables à la Loi sur la statistique, loi fédérale qui prévoit le pouvoir de recueillir des renseignements à des fins statistiques et d'exiger une réponse des répondants ainsi que le partage obligatoire des données; cet article précise les exigences prévues par la loi pour assurer la protection de la confidentialité des renseignements des répondants et aviser ces derniers du partage de données prévu;
• APD visés par l'art. 12 : partage de données avec d'autres ministères fédéraux, des ministères provinciaux autres que de la statistique, des corporations municipales et d'autres entités juridiques, qui ont (selon leurs propres lois) ou n'ont pas le pouvoir légal d'exiger une réponse et de demander le partage de données de façon obligatoire et non volontaire; cet article précise les exigences prévues par la loi pour assurer la protection de la confidentialité des renseignements des répondants, les aviser du partage de données prévu et, en cas de partage de données de façon volontaire, les informer de leur droit de s'opposer au partage de données.

En 2008, le nombre d'accords de partage de données statistiques a atteint le cap des 500. La plupart des APD, soit 94 %, sont classés comme des accords de partage de données de façon volontaire. Ils entrent dans la catégorie des APD visés par l'art. 11, où les répondants ont le droit de refuser de partager les renseignements. Les accords restants sont répartis entre les APD provinciaux/territoriaux de partage obligatoire des données en vertu de l'art. 116 (4 %) et les APD de partage obligatoire des données en vertu de l'art. 12+ (2 %)^{Footnote 2} . Le grand nombre d'APD montre bien la nécessité, pour les organismes canadiens, de collaborer à la collecte, la compilation et la publication des renseignements statistiques.

Parallèlement, l'environnement fédéral de contrôle de la sécurité et de protection des renseignements personnels s'est resserré et est devenu plus complexe lorsque la Loi sur la protection des renseignements personnels (1985), la Politique d'évaluation des facteurs relatifs à la vie privée du SCT (2002) et la Politique du gouvernement sur la sécurité (2002) sont entrées en vigueur. En réaction, Statistique Canada a établi des mécanismes de contrôle larges^{Footnote 3} pour protéger la confidentialité des données des répondants, y compris celles obtenues en application des APD.

Le Cadre de contrôle de gestion de la confidentialité des APD (CCG de la confidentialité des APD) permet à Statistique Canada et aux partenaires des APD de s'organiser de manière à diffuser, coordonner et gérer les risques de divulgation de données confidentielles liés aux processus de partage de données et à assurer la conformité aux lois et politiques pertinentes. Trois grands groupes d'exigences législatives et stratégiques s'appliquent aux APD et sont couverts par le cadre de contrôle de gestion de la confidentialité : 1) les exigences générales en matière de gestion des droits liés au consentement et à l'information des APD (IRE); 2) les exigences générales portant sur la gestion de la confidentialité des APD (c.-à-d. sécurité matérielle, des TI et du personnel); et 3) les mesures de protection de la confidentialité propres à l'APD (dans ce cas, le partage de données avec des tiers ou le partage avec d'autres parties).

Le CCG de la confidentialité des APD de Statistique Canada est caractérisé par une gestion répartie, des mandats distincts et diverses dispositions en matière de responsabilité entre les parties clés suivantes :

• Unité de StatCan : la Division des services d'accès et de contrôle des données (SACD) pour ce qui est de la consultation et de la vérification juridique;
• Divisions de StatCan : les divisions qui gèrent les enquêtes et qui sont chargées de la mise en œuvre des APD connexes et des activités menées en vertu de ces dernières (cela comprend la surveillance des régions de collecte et des partenaires de la collecte);
• Partenaires des APD : les administrations fédérale, provinciales/territoriales ou municipales et autres entités juridiques canadiennes.

Objectifs

Les objectifs de la présente vérification sont de fournir au statisticien en chef et au Comité Ministériel de vérification (CMV) l'assurance que :

1. le CCG de la confidentialité des APD de Statistique Canada est pertinent et efficace pendant tout le cycle de vie des APD;
2. les activités qui appuient le CCG de la confidentialité des APD sont conformes aux lois et politiques sur la confidentialité du gouvernement du Canada et de Statistique Canada pendant tout le cycle de vie des APD

Étendue et approche

La mission de vérification a été accomplie conformément aux Normes de vérification interne dans l'administration fédérale et au Cadre international de référence des pratiques professionnelles de CIRPP de l'Institut des vérificateurs internes (IVI). Tous les travaux ont été effectués en collaboration avec les SACD, les divisions de Statistique Canada et les gestionnaires partenaires responsables des ADP sélectionnés dans l'échantillon de vérification. L'approche de vérification s'est inspirée du Cadre de responsabilisation de gestion (CRG) du gouvernement du Canada et des lignes directrices sur les contrôles de gestion fondamentaux émises par le Bureau du contrôleur général (critères de vérification, annexe A).

L'univers de la vérification se composait de 500 APD actifs et formels visés par l'art. 11, l'art. 12 et l'art. 12 + pour la période allant de 1976 à 2008 (voir l'annexe B). L'étendue de la vérification comprenait :

• l'évaluation du Cadre de contrôle de gestion de la confidentialité des APD, cadre multipartite de Statistique Canada créé pour un système d'APD, portant sur la période allant d'octobre 1976 à octobre 2008 et tous les APD;
• l'exécution de tests de contrôle de la conformité pour les APD formels actifs sélectionnés : un échantillon de 39 APD, dont 31 étaient des APD visés par l'art. 12 (pour la période allant d'octobre 2006 à octobre 2008) et 8 étaient des APD visés par l'art 12+ (tous); l'échantillon couvrait 80 enquêtes entreprises et enquêtes sociales, 10 divisions gérant des APD à Statistique Canada et 32 partenaires d'APD^{Footnote 4}.

L'évaluation du cadre du contrôle de gestion de la confidentialité des APD a nécessité un examen complet des pratiques multipartites en matière de conformité à la confidentialité des APD le long de dimensions telles que l'environnement de conformité de la confidentialité des APD, l'évaluation des risques, la planification et la présentation de rapports, l'information et la communication, ainsi que la surveillance des trois groupes d'exigences législatives et stratégiques (voir l'annexe C). Les méthodes suivantes ont été utilisées pour le travail de vérification : entrevues de vérification avec la direction de Statistique Canada, enquêtes de vérification, examens des contrôles et tests de la conformité.

Les APD visés par l'art. 12 adoptés officiellement avant octobre 2006 ont été exclus des tests de contrôle de la conformité en raison d'importants changements de gestion, c. à d. l'instauration de contrôles améliorés de la confidentialité et de clauses d'examen et de vérification par Statistique Canada, de même que tous les ADP visés par l'art. 11 étant donné leur niveau de risque relativement moins élevé^{Footnote 5} .

Autorité

La vérification a été réalisée par les Services de vérification interne conformément au Plan de vérification axé sur les risques de Statistique Canada pour les exercices 2008 2009 à 2010 2011, qui a été approuvé par le Comité de vérification interne le 19 mars 2008.

Conclusions, recommandations et réponses de la direction

Un cadre de contrôle de gestion pertinent et efficace de la conformité à la confidentialité des APD, par rapport aux trois groupes d'exigences législatives et stratégiques, comprendrait la planification et la présentation de rapports, la gestion et la communication d'information, l'évaluation des risques, la surveillance et l'environnement de conformité.

Relativement à l'objectif 1, parmi les cinq dimensions du CCG, seul l'environnement de conformité à la confidentialité des APD est entièrement géré (voir la figure1). Le reste des éléments du CCG en sont en diverses étapes d'élaboration, toute une gamme d'améliorations devant être apportées pour remédier à des lacunes particulières dans l'évaluation des risques, la gestion et la communication d'information ainsi que la surveillance.

L'environnement de conformité de la confidentialité des APD en tant qu'élément du CCG est satisfaisant. Toutefois, la vérification a révélé qu'il n'existe pas une seule politique ou un seul document exhaustif sur la gestion des APD qui combine toutes les exigences pertinentes de conformité en matière de confidentialité, couvre tout le cycle de vie d'un APD et établit un CCG approprié.

La gestion systématique des risques est un élément fondamental d'une bonne gestion publique. Le cadre de contrôle de gestion des APD comprend des pratiques fragmentées et souvent ponctuelles en ce qui a trait à la gestion des risques au moment d'évaluer la conformité à la confidentialité.

L'accès à l'information est une valeur clé de Statistique Canada, qui comprend l'accès aux données partagées par les partenaires des APD en vertu des accords de partage des données. La vérification a révélé des APD inactifs et des cas où les données partagées n'étaient pas fournies aux partenaires en temps opportun. Une meilleure intégration des dossiers et l'élaboration de protocoles intégrés et normalisés amélioreraient les pratiques de gestion et de communication de l'information.

Relativement à l'objectif 2, Statistique Canada et les partenaires des APD se conforment aux exigences législatives et stratégiques en matière de protection de la confidentialité; toutefois, l'information requise pour évaluer la conformité était souvent fragmentée et incomplète à l'étape de surveillance du cycle de vie de l'APD.

Toutes les recommandations ainsi que les réponses de la direction et les plans d'action (RTPA) doivent être examinés dans le contexte de la structure de gestion actuelle de Statistique Canada.

Environnement de conformité à la confidentialité des APD

La gestion appropriée et efficace des APD doit comprendre des mesures de contrôle de la conformité en matière de confidentialité, la gouvernance, la reddition de comptes, des mécanismes de responsabilisation, une formation et des processus opérationnels pendant tout le cycle de vie des APD. La vérification a permis de déterminer que l'environnement de conformité à la confidentialité des APD est déterminé, communiqué et géré entre les parties aux APD, particulièrement à l'étape de la conception et de la négociation des accords. Toutefois, l'environnement est complexe, il est difficile d'y naviguer et il est caractérisé par l'absence d'un cadre stratégique intégré de gestion des APD.

Les exigences en matière de conformité à la confidentialité des APD sont déterminées au moyen des contrôles préventifs prévus dans la Loi sur la statistique, la Loi sur la protection de renseignements personnels, la Politique d'évaluation des facteurs relatifs à la vie privée (EFVP) de StatCan, la Politique sur l'information des répondants aux enquêtes (IRE) de StatCan, la Politique sur la sécurité des renseignements statistiques de nature délicate de StatCan, la Politique sur la sécurité des TI de StatCan, la politique de StatCan sur la divulgation des microdonnées, la Politique relative à la révélation discrétionnaire de StatCan et les lignes directrices connexes. Les dispositions en matière de conclusion d'APD dans les lois et les politiques susmentionnées sont fragmentées et difficiles à rassembler pour ceux qui ne les consultent pas quotidiennement. Les textes des APD et les annexes connexes portant sur la sécurité précisent les normes en matière de conformité à la confidentialité. Le fait que les APD comprennent souvent de nombreuses exigences de divers secteurs de compétence, lesquelles peuvent changer, rend la normalisation difficile, ce qui vient compliquer encore la situation.

Un cadre stratégique de gouvernance et de surveillance des ADP est établi et coordonné par les parties aux APD. Statistique Canada est doté d'un Comité de la confidentialité et des mesures législatives^{Footnote 6} qui tient des audiences portant sur les préoccupations et les propositions relatives aux APD émanant des divisions, des SACD et des partenaires des APD qui aboutissent à la prise de décisions et à l'élaboration de plans d'action. D'autres comités de gestion internes, comme le Comité des politiques, participent également selon le besoin. Les partenaires des APD peuvent jouer un rôle important aux étapes de la mise en œuvre des APD en participant aux travaux des comités directeurs et consultatifs ou des groupes techniques associés aux enquêtes visées par des APD. Ce processus permet à toutes les parties d'échanger des renseignements au sujet des questions de conformité à la confidentialité des APD.

Les pouvoirs et responsabilités opérationnels en matière de conformité à la confidentialité des APD sont répartis entre les diverses parties. Ces responsabilités sont limitées par les mandats de ces parties et ne sont pas nécessairement assumées pendant tout le cycle de vie d'une APD. Au sein de l'organisme, l'examen des textes législatifs et stratégiques, la négociation et l'approbation des APD, leur modification et leur expiration, ainsi que la coordination des demandes qui y sont associées entre ces étapes émanant des divisions spécialisées ou des partenaires des APD, sont confiés aux Services d'accès et de contrôle des données. Les SACD, outre qu'ils sont chargés de fournir des services aux deux divisions et aux partenaires des APD, ont un mandat limité qui est d'assurer la reddition de comptes à l'égard de la conformité à la confidentialité des APD. Les divisions d'enquête qui gèrent les APD consultent les SACD aux étapes de la planification et de la mise en œuvre des APD par l'entremise d'un ensemble de partenaires de soutien interne dans les domaines des services de collecte, des communications, des TI ou de la collecte conjointe avec les partenaires des APD externes. Il y a également gestion conjointe des APD par deux divisions de Statistique Canada ou plus dans le cas d'APD complexes pour lesquels il n'y a pas de lignes directrices claires en ce qui concerne les rôles et les responsabilités. Les partenaires des APD sont chargés de veiller à la conformité aux dispositions des APD aux étapes de la mise en œuvre des accords.

Nous avons constaté que les processus de contrôle de la conformité à la confidentialité des APD sont intégrés aux mécanismes de contrôle beaucoup plus vastes des opérations d'enquête. Les exigences générales en matière des droits liés à l'information et au consentement sont intégrées aux processus relatifs aux prescriptions des enquêtes. Les exigences générales en matière de protection de la confidentialité des APD sont comprises dans les exigences génériques portant sur la sécurité matérielle, des TI et du personnel, pour lesquelles des listes de contrôle et des procédures de sécurité sont établies. Des mesures de protection de la confidentialité propres aux APD, comme l'interdiction de partager des données avec des tiers ou l'accès restreint accordé dans certaines conditions aux chercheurs et aux organismes de recherche des partenaires des APD, sont précisées dans les accords. Ainsi, les gestionnaires doivent combiner tous ces éléments dans leurs propres règles et processus, ce qui explique les pratiques assez diverses en matière de gestion de la conformité à la confidentialité des APD observées au niveau des divisions. En outre, 90 % des divisions n'ont pas de gestionnaires des APD. Plutôt, la responsabilité de la gestion opérationnelle des APD revient aux gestionnaires d'enquêtes. Dans 80 % des divisions, il n'y a pas de guide du gestionnaire. Il n'y a pas de protocole opérationnel intégré ou de guides portant sur les APD dans toutes cinq dimensions du CCG.

Pour réduire la complexité de cet environnement et garantir la conformité, les SACD offrent des programmes de formation poussée dans tous les domaines génériques liés à la confidentialité. Cette formation porte sur les éléments de base des exigences en matière de conformité aux dispositions législatives et stratégiques et comprend certaines mentions des APD. Toutefois, elle n'est pas suffisamment spécifique et opérationnelle pour permettre aux gestionnaires de l'appliquer en toute confiance. Par conséquent, les SACD reçoivent des demandes constantes de conseils, de précisions, d'examens, de lettres officielles, de séances de formation personnalisées, etc.

L'absence d'une politique ou d'un cadre intégré de gestion des APD rend d'autant plus complexe la tâche de gestion de la conformité à la confidentialité des APD et accroît le risque d'interprétation erronée et de confusion, ce qui peut entraîner des violations de la confidentialité. Cela peut entraîner également des applications hétérogènes et erronées des exigences en matière de conformité à la confidentialité des APD. Une politique unique intégrée sera d'une plus grande clarté globale pour l'environnement de conformité à la confidentialité des APD.

Recommandation n^o 1

Il est recommandé que le statisticien en chef adjoint des Services intégrés assure que les Services d'accès et de contrôle des données élaborent une politique exhaustive et intégrée portant sur la gestion des accords de partage des données de manière à assurer un contrôle approprié tout au long du cycle de vie des APD.

Réponse de la direction

La direction accepte la recommandation.

Les SACD élaboreront un processus de gouvernance des APD reposant sur une politique ou une directive, qui sera intégré au cadre de gestion des risques. En outre, les divisions seront priées de faire rapport de cet élément conformément aux nouvelles lignes directrices de Statistique Canada touchant l'Examen quadriennal de programme (EQP).

Résultats attendus et échéanciers :

• Présentation du processus de gouvernance au Comité de la confidentialité et des mesures législatives.
  Intégration de cet élément aux lignes directrices touchant l'Examen quadriennal de programme (EQP).
• Directeur, Services d'accès et de contrôle des données et directeur, Division de la planification intégrée et de l'évaluation – octobre 2010.

Évaluation des risques liés aux APD

Un modèle approprié de gestion des risques comprendrait des pratiques pertinentes et efficaces d'évaluation des risques de non conformité et/ou de non déclaration des violations et des lacunes liées à la confidentialité des APD. La vérification a révélé que des mécanismes systématiques et structurés d'évaluation des risques liés aux APD ne sont pas en place; plutôt, ils sont fragmentés, ponctuels et gérés de façon officieuse.

Au niveau de l'organisme (SACD), nous avons constaté que les risques de non conformité pour la gestion générale des droits liés au consentement et à l'information des APD sont évalués à l'étape de la conception et de la négociation des APD au moyen d'évaluations des facteurs relatifs à la vie privée génériques ou particuliers. Les risques de non conformité pour les deux autres groupes d'exigences, à savoir la protection générale de la confidentialité des APD et les mesures de protection de la confidentialité propres aux APD, ne sont pas évalués de façon officielle par les SACD en raison de la nouveauté de l'initiative de gestion des risques à Statistique Canada. Au niveau des divisions, étant donné les limites du mandat des divisions qui gèrent des APD, la moitié des directeurs ont évalué leurs processus de gestion des risques liés aux APD comme étant gérés de façon officieuse et non systématique, tandis que l'autre moitié ont reconnu qu'aucune activité n'était menée dans ce domaine. Toutefois, tous ont confirmé que les procédures de déclaration des violations et des lacunes des mesures de contrôle de la confidentialité sont connues et mises en œuvre lorsque des violations sont déclarées. On s'attend à ce que les employés qui commettent une erreur le signalent ou à ce que cette erreur soit détectée. Au niveau des partenaires des APD, il n'y a pas suffisamment d'éléments de preuve pour permettre d'en arriver à une conclusion.

Il y a un risque que l'absence de pratiques officielles, intégrées et continues de gestion des risques en matière de confidentialité des APD et la non déclaration de risques à l'échelle des parties aux APD empêchent de détecter les violations de la confidentialité ainsi que d'adopter des stratégies appropriées et efficaces d'atténuation des risques.

Recommandation n^o2

La direction accepte la recommandation.
Les SACD procéderont à une évaluation des menaces et des risques relativement à la gestion des APD.
Un rapport sera rédigé exposant les risques éventuels et les mesures qui pourraient être prises pour les éliminer ou les réduire.

Le processus sera répété périodiquement.
Le rapport sera présenté au Comité de la confidentialité et des mesures législatives.

Résultats attendus et échéanciers :

• Présentation du rapport au Comité de la confidentialité et des mesures législatives.
• Directeur, Services d'accès et de contrôle des données et directeur, Division de la planification intégrée et de l'évaluation – octobre 2010

Communication et gestion de l'information des APD

Un modèle approprié de communication et de gestion de l'information inclurait des systèmes, processus et protocoles appropriés et efficaces pour l'établissement de dossiers exhaustifs sur les APD et pour recueillir des données pertinentes sur le rendement en matière de conformité à la confidentialité des APD afin de faciliter le processus de prise de décision par la haute direction. On procède au partage de données lorsqu'il entraîne une réduction importante du fardeau de réponse et des coûts de participation pour les partenaires du partage, ainsi que des améliorations de l'exactitude, de la couverture, de la pertinence et de l'actualité des données statistiques. La vérification a révélé que les systèmes et processus de communication et de gestion de l'information des APD des SACD et des divisions qui gèrent les APD ne sont pas reliés et sont gérés selon les mandats respectifs de ces divisions. Cette pratique a pour résultat des dossiers hétérogènes et des lacunes dans l'information et la communication durant le cycle de vie de l'APD. La plupart des systèmes et processus de gestion des connaissances sont officieux.

Au niveau de l'organisme, nous avons constaté que l'information est conservée sur plusieurs supports : dossiers sur papier, base de données administratives des SACD et fichiers de serveurs. Ensemble, ces sources fournissent l'information nécessaire à la prise de décisions, mais il convient de les intégrer. Les indicateurs qui figurent dans la base de données des SACD sont utiles mais ils sont applicables principalement au début et à la fin du cycle de vie de l'APD, lorsque les SACD contrôlent les processus juridiques. Toutefois, l'information disponible au milieu du cycle de vie de l'APD est assez limitée. La collecte et l'analyse d'information sur la conformité à la confidentialité des APD ne sont pas prévues dans les systèmes et les processus.

Au niveau des divisions, la vérification a révélé que celles qui gèrent les APD structurent leurs propres processus opérationnels d'information et de communication. Nous avons constaté qu'elles n'ont pas établi de systèmes et processus systématiques et intégrés de communication, de gestion de l'information et de tenue de dossiers, mais qu'elles tiennent plutôt ce qu'elles considèrent être des dossiers essentiels portant sur leurs transactions avec les partenaires des APD, dossiers qui contiennent de l'information incomplète. Les gestionnaires des divisions comptent trop sur les APD pour obtenir l'information nécessaire, étant convaincus qu'ils peuvent toujours avoir accès aux dossiers et documents juridiques sur les APD sur demande. De plus, 60 % des directeurs sont d'avis qu'il est nécessaire d'établir une base de données électronique centrale sur les APD afin de permettre la gestion et la surveillance proactives de ces accords.

La vérification a révélé un problème de communication entre les parties aux APD concernant le moment de la diffusion des données partagées. Les divisions qui gèrent les APD supposent que les partenaires des APD demanderont le fichier de données partagées à l'annonce de la diffusion d'un communiqué dans la publication vedette externe de Statistique Canada, « Le Quotidien ». Toutefois, ce n'est pas le cas. En outre, la majorité des partenaires des APD ont eu de la difficulté à fournir l'information en temps opportun durant la vérification.

Il y a un risque qu'un modèle sous optimal de communication et de gestion de l'information des APD ne fournira pas une « vue d'ensemble » d'actualité, exacte, continue et holistique des APD propre à favoriser un processus efficace de prise de décisions.

Recommandation n^o 3

Il est recommandé que le statisticien en chef adjoint des Services intégrés assure que les Services d'accès et de contrôle des données renforcent les pratiques de communication et de gestion de l'information pour les APD.

Réponse de la direction

La direction accepte la recommandation.
Les SACD élaboreront une directive pour l'organisme énonçant formellement les pratiques requises.
L'ébauche de directive sera présentée au Comité de la confidentialité et des mesures législatives.

Résultat attendu et échéancier :

• Présentation de l'ébauche de directive au Comité de la confidentialité et des mesures législatives.
• Directeur, Services d'accès et de contrôle des données – octobre 2010

État de conformité en matière de confidentialité des APD

Nous nous attendions à constater la conformité au cadre stratégique du gouvernement et de Statistique Canada, aux exigences législatives et aux conditions et modalités des APD au cours de tout leur cycle de vie. La vérification a révélé que Statistique Canada et les partenaires des APD respectent les exigences législatives et stratégiques, mais que l'information, habituellement acquise au moyen d'un programme de surveillance, est insuffisante.

En 2006, les SACD ont commencé à inclure progressivement dans les textes des APD une clause d'examen et de vérification, lorsque les partenaires l'acceptent. Toutefois, la capacité de faire valoir cette clause de façon systématique n'existe pas. Il incombe aux divisions de Statistique Canada qui gèrent les APD et aux SACD de vérifier que les partenaires se conforment aux règles. La série de mesures législatives et stratégiques en vigueur ne prévoit pas la surveillance de la conformité à la confidentialité des APD, définie comme étant les pratiques en matière d'évaluation des contrôles de conformité à la confidentialité des APD, de communication et d'échange d'information sur les faiblesses liées aux contrôles et les mesures correctives prises, ainsi que la gestion des changements. Il y a quelques années, les SACD ont demandé aux partenaires des APD visés par l'art. 11 de procéder à une autoévaluation et de présenter leurs rapports.

En ce qui a trait à la conformité aux exigences générales en matière de gestion des droits liés au consentement et à l'information des APD, la vérification a révélé de constater qu'au niveau de l'organisme, les processus IRE et EVFP se rapportant à la vérification des documents d'enquête et des textes des APD sont bien gérés. Au niveau des divisions, la vérification a permis de constater qu'il y a lieu d'améliorer la surveillance des exigences relatives à l'IRE et en matière des droits liés au consentement se rapportant aux APD durant la mise en œuvre de l'enquête et la collecte de renseignements sur le rendement en matière de conformité dans les régions de collecte. Un mécanisme de collecte des objections des répondants au partage des données et des renonciations des répondants permettant le partage est en place pour toutes les divisions comprises dans l'échantillon de vérification. Toutefois, seulement la moitié d'entre elles ont déclaré avoir mis en place une procédure documentée pour le traitement de ces données, recueillir des rapports des régions de collecte et utiliser cette information dans la préparation des fichiers partagés.

La vérification a permis de déterminer que les exigences en matière de gestion générale de la sécurité matérielle, du personnel et des TI et de divulgation de l'information des APD sont précisées de la manière appropriée dans les textes des accords et que le personnel de Statistique Canada et les partenaires des APD s'y conforment. La vérification a révélé que 33 % des partenaires des APD ont déclaré qu'ils n'ont pas encore établi de processus parce qu'ils n'ont pas demandé les données ou qu'ils ne prévoient pas les demander.

En ce qui concerne le respect des mesures de protection de la confidentialité des APD relatives aux conditions de partage des données avec d'autres parties, nous avons constaté que l'interdiction de partage des données à des tiers est précisée dans les textes des APD ou durant le processus de négociation. Dans des circonstances exceptionnelles, le partage des données à des tiers est permis sous réserve d'un examen sur le plan législatif et de la sécurité par les SACD. Dans la clause des accords portant sur l'utilisation de l'information, l'accès aux données partagées peut être accordé dans des conditions très strictes de sécurité et de non divulgation aux participants à des contrats de recherche et organismes de recherche travaillant directement pour les partenaires des APD. La vérification a révélé que, souvent, les participants aux contrats de recherche et les organismes de recherche sont embauchés par les partenaires des APD une fois que les données partagées deviennent disponibles, quand les étapes de mise en œuvre ou de surveillance des APD sont bien avancées. Que les APD soient de nature facultative ou obligatoire, les divisions disposent de processus assez limités de coordination et de surveillance du partage des données avec d'autres participants. Les gestionnaires connaissent les dispositions des APD, mais la documentation systématique indiquant la façon dont ces processus sont gérés n'était pas disponible dans tous les cas au moment de la vérification.

Les pratiques de surveillance ne sont pas systématiques, leur couverture est limitée et elles ne fournissent pas de renseignements complets sur les APD en ce qui a trait à la confidentialité. Le risque d'une surveillance insuffisante peut empêcher de détecter les lacunes et les violations de la confidentialité au regard des exigences législatives et stratégiques des APD. Par conséquent, il est impossible de mettre en œuvre des mesures correctives efficaces en temps opportun. L'absence d'un régime de surveillance strict entraîne l'accumulation d'APD inactifs, qui idéalement seraient résiliés ou modifiés.

Recommandation n^o 4

Il est recommandé que le statisticien en chef adjoint des Services intégrés assure que les Services d'accès et de contrôle des données mettent en œuvre un programme de surveillance des APD.

Réponse de la direction

La direction accepte la recommandation.
Les SACD élaboreront une proposition pour un programme de surveillance des APD, y compris les besoins de ressources. Cette proposition devra préciser le temps de travail des employés qui devra être consacré à la gestion de la surveillance ainsi que les frais de déplacement.
Le programme de surveillance proposé sera présenté au Comité de la confidentialité et des mesures législatives.

Résultat attendu et échéancier :

• Présentation du plan de surveillance au Comité de la confidentialité et des mesures législatives.
• Directeur, Services d'accès et de contrôle des données – octobre 2010

Annexes

Annexe A : Critères de vérification

1.1. L'environnement multipartite de conformité de la confidentialité des APD est approprié et efficace et satisfait aux critères de Service axé sur les citoyens SAC 1, SAC 3, SAC 4 et de Gérance GE 22 du CGR.

1.2. Les pratiques multipartites d'évaluation des risques en matière de conformité de la confidentialité des APD sont appropriées et efficaces et satisfont aux critères de Service axé sur les citoyens SAC 1, SAC 3, SAC 4 et de Gérance GE 22 du CGR.

1.3. Les pratiques multipartites de planification du contrôle et de présentation de rapports sur la conformité de la confidentialité des APD sont appropriées et efficaces et satisfont aux critères de Service axé sur les citoyens SAC 1, SAC 3, SAC 4 et de Gérance GE 22 du CGR.

1.4. Les pratiques multipartites d'information et de communication en matière de conformité de la confidentialité des APD sont appropriées et efficaces et satisfont aux critères de Service axé sur les citoyens SAC 1, SAC 3, SAC 4 et de Gérance GE 22 du CGR.

1.5. Les pratiques multipartites de surveillance de la conformité de la confidentialité des APD sont appropriées et efficaces et satisfont aux critères de Service axé sur les citoyens SAC 1, SAC 3, SAC 4 et de Gérance GE 22 du CGR.

2.1. La gestion générale des droits liés au consentement et à l'information des APD par toutes les parties à un APD pendant son cycle de vie est conforme aux lois et politiques pertinentes ainsi qu'aux lignes directrices connexes et satisfait aux critères de Valeurs de la fonction publique VFP 1 à 4 et de Gérance GE 22.

2.2. La gestion générale de la protection de la confidentialité par toutes les parties à un APD pendant son cycle de vie est conforme à la Loi sur la statistique, à la Politique sur la sécurité du gouvernement du Canada, à la Politique sur la sécurité des renseignements statistiques de nature délicate de Statistique Canada, à la Politique sur la sécurité des TI et aux lignes directrices connexes, ainsi qu'aux critères de Valeurs de la fonction publique VFP 1 à 4 et de Gérance GE 22 du CGR.

2.3. La gestion générale de la protection de la confidentialité propre à un APD par toutes les parties à cet APD pendant son cycle de vie est réalisée conformément aux modalités de l'accord et aux critères des Valeurs de la fonction publique VFP 1 à 4 et de Gérance GE 22 du CGR.

Annexe B : Nombre cumulatif d'accords de partage de données formels actifs de Statistique Canada à la fin de 2008

Annexe B : Nombre cumulatif d'accords de partage de données formels actifs de Statistique Canada à la fin de 2008

Juridiction	Article
	11	12	12+
Fédéral	0	113	6
Terre-Neuve	2	23	0
île-du-Prince-Édouard	0	25	0
Nouvelle-Écosse	1	23	0
Nouveau-Brunswick	1	23	0
Québec	5	30	0
Ontario	1	27	0
Manitoba	7	29	0
Saskatchewan	1	23	2
Alberta	1	30	2
Colombie-Britannique	1	28	0
Territoire du Yukon	1	13	0
Territoires du Nord-Ouest	0	13	0
Nunavut	0	4	0
Divers	0	65	0
Total	21	469	10

Annexe C : Glossaire

Le Cadre de contrôle de gestion de la confidentialité des APD (CCG) – permet à Statistique Canada et aux partenaires des APD de s'organiser afin de diffuser, de coordonner et de gérer les risques de divulgation de données confidentielles liés aux processus de partage de données ainsi que de garantir la conformité aux lois et politiques pertinentes.

Cycle de vie de l'APD – Période allant du début jusqu'à la fin des activités pour le projet d'APD; subdivisé en quatre stades :

1. Conception et négociation de l'APD – la période du début des communications entre les partenaires de l'APD et le projet d'APD éventuel et la signature de l'accord.
2. Mise en œuvre de l'APD – activités de collecte des données et transmission des données.
3. Contrôle de l'APD – contrôle de la conformité des partenaires de l'APD aux modalités de l'accord; suivi des modifications des conditions, etc. Comprend les communications avec les parties participant au Cadre de contrôle de gestion, les évaluations, les inspections, les examens de divers contrôle, etc.
4. Modification/résiliation de l'APD – la période allant du début des communications entre les partenaires de l'APD aux modifications de l'état de l'accord jusqu'à sa révision ou sa résiliation.

Contrôle de gestion – Toute mesure prise par la direction et d'autres parties pour gérer les risques et accroître la probabilité d'atteindre les objectifs et buts établis. La direction planifie, organise et dirige l'exécution de mesures suffisantes pour fournir une assurance raisonnable que les objectifs et buts seront atteints.

IRE – Information des répondants aux enquêtes, politique de Statistique Canada et processus et mécanismes connexes.

EVFP – Évaluation des facteurs relatifs à la vie privée, politique de Statistique Canada et processus et mécanismes connexes.

Notes:

Rapport de vérification
Vérification du Programme des centres de données de recherche

Statistique Canada
30 septembre 2010
Numéro de projet : 80590-61 ( Document (PDF, 130.62 Ko) )

• Sommaire exécutif
• Introduction
  • Contexte
  • Autorité
  • Objectifs de la vérification
  • Portée et méthodologie
• Constatations, recommandations et réponses de la direction
  • Gouvernance et orientation stratégique
    • Cadre de contrôle de la gestion
    • Gestion de l’investissement/financement
• Gestion des risques
  • Accès aux données
    • Infrastructure
    • Confidentialité
• Annexes
  • Annexe A : Objectifs et critères de la vérification
  • Annexe B : Aperçu du Réseau des CDR

Sommaire

Les Centres de données de recherche (CDR) s’inscrivent dans une initiative de Statistique Canada, du Conseil de recherches en sciences humaines (CRSH) et de consortiums universitaires visant à renforcer la capacité du Canada en recherche sociale et à soutenir le milieu de la recherche sur les politiques. Les CDR permettent aux chercheurs d’avoir accès, dans un environnement sécurisé, aux microdonnées d’enquêtes sur la population et sur les ménages. Les centres sont régis par un conseil d’administration formé de représentants de Statistique Canada, du CRSH, des Instituts de recherche en santé du Canada (IRSC) et des directeurs universitaires de chaque centre. Les centres comptent des employés de Statistique Canada.

La vérification des CDR a pour objectifs de fournir au statisticien en chef et au Comité ministériel de vérification l’assurance que les activités soutenant le cadre de gouvernance sont adéquates et efficaces et permettent la prestation des services aux chercheurs, et que l’accès aux données est conforme aux politiques et aux procédures de Statistique Canada. La vérification a été menée par les Services de vérification interne conformément à la Politique sur la vérification interne du gouvernement du Canada.

Principales constatations

Les activités soutenant la gouvernance du réseau des CDR sont adéquates et efficaces et permettent la prestation continue des services. La structure de gestion intégrée est efficace, les résultats sont mesurés et présentés. Cependant, le rendement n’est pas évalué en fonction des cibles opérationnelles du programme, et les résultats ne sont pas intégrés au Rapport ministériel sur le rendement. Une fois que les propositions de recherche sont approuvées par Statistique Canada, la portée de l’initiative est déterminée par les partenaires. Depuis sa création, le maintien des coûts du programme dans les limites du financement accordé a posé des défis, le nombre de centres étant passé de neuf à 24. Par conséquent, le Programme des CDR encours des déficits croissants. Grâce à un nouveau budget annuel bonifié, Statistique Canada a stabilisé les coûts du programme et a mis en place une structure des coûts pour s’assurer que les coûts opérationnels des CDR respectent les budgets établis.

Le Programme des CDR et les CDR n’ont pas adopté de pratiques officielles de gestion des risques, et les risques associés à la continuité des activités des CDR n’ont pas été évalués dans le cadre des pratiques générales de gestion des risques pour le programme.

Les chercheurs effectuent leurs travaux dans des infrastructures physiques et technologiques sûres à accès restreint, ce qui réduit les risques de violation des règles de confidentialité. Les renseignements traités dans les CDR sont assujettis à des exigences gouvernementales en matière de confidentialité et de sécurité. Toutefois, les CDR n’ont pas fait l’objet d’inspections périodiques permettant de vérifier la conformité aux règles de sécurité après l’inspection initiale. Quelques manquements aux règles de sécurité ont été observés dans le cadre d’un certain nombre de contrôles de sécurité faits sur place. Une formation sur la sécurité est offerte aux nouveaux analystes, mais il ne semble pas y avoir de programmes continus de sensibilisation. Enfin, le processus de divulgation mis en place pour le programme est appliqué rigoureusement et systématiquement, et aucune divulgation involontaire n’a été constatée.

Conclusion

Dans l’ensemble, les activités soutenant le cadre de gouvernance du Programme des centres de données de recherche sont adéquates et efficaces et permettent la prestation des services aux chercheurs. Néanmoins, nous avons noté des possibilités d’améliorer le cadre de contrôle de la gestion en ce qui a trait à la présentation des résultats et à l’évaluation des risques, de même que des mesures possibles pour assurer le respect des exigences de sécurité de Statistique Canada.

Introduction

Contexte

Vers la fin des années 1990, Statistique Canada et le Conseil de recherches en sciences humaines (CRSH) ont formé un groupe d’étude chargé d’examiner l’état des sciences sociales quantitatives au Canada. On s’inquiétait de savoir si, à l’avenir, le Canada aurait la capacité de bien exploiter les riches sources de données quantitatives sur les ménages et les particuliers pour éclairer les politiques et les débats publics. Le groupe d’étude mixte a publié ses conclusions en 1998 dans un rapport intitulé « Rapport final du Groupe de travail mixte du Conseil de recherches en sciences humaines du Canada et de Statistique Canada sur l’avancement de la recherche utilisant les statistiques sociales » (Statistique Canada, 1998). Le rapport contient un ensemble de recommandations visant à renforcer la capacité de recherche en sciences sociales au Canada, à améliorer l’accès aux données de Statistique Canada en vue de favoriser l’activité de recherche et à diffuser les résultats des travaux.

Ces recommandations ont conduit à l’établissement du Réseau canadien des centres de données de recherche (RCCDR) et du Programme des CDR à Statistique Canada en tant qu’unité organisationnelle représentant l’organisme au sein du Réseau. En 2001, les neuf premiers centres de données de recherche ont commencé à offrir l’accès aux données dans des laboratoires universitaires sécurisés partout au Canada. Une deuxième subvention de la Fondation canadienne pour l’innovation (FCI) en 2006 et la subvention conjointe de fonctionnement du CRSH/IRSC pour la période 2005-2010 ont facilité l’expansion rapide du Réseau et ont permis à celui-ci de réaliser des progrès appréciables. On a amélioré l’accès aux données en assurant aux chercheurs de tout le pays un accès, dans les universités, à des microdonnées détaillées, d’abord aux enquêtes longitudinales de Statistique Canada et, maintenant, à une gamme plus vaste d’ensembles de données.

Les CDR permettent aux chercheurs d’avoir accès, dans un environnement sécurisé, aux microdonnées d’enquêtes sur la population et sur les ménages. Des employés de Statistique Canada supervisent les activités menées dans les centres. Ces derniers sont exploités en vertu des dispositions de la Loi sur la statistique et sont administrés conformément à toutes les règles de confidentialité. Seuls les chercheurs dont les propositions ont été approuvées et qui ont prêté serment, en vertu de la Loi sur la statistique, en qualité de personnes réputées être employées de Statistique Canada y ont accès. Les CDR sont répartis dans toutes les régions du pays, de sorte que les chercheurs n’ont pas à se déplacer à Ottawa pour avoir accès aux microdonnées de Statistique Canada.

Les CDR permettent de donner une vue d’ensemble du paysage social canadien, d’offrir des installations de recherche en sciences sociales partout au pays, dans les grandes collectivités comme dans les petites, d’accroître la collaboration entre Statistique Canada, le CRSH, les IRSC, la FCI, les universités et les chercheurs universitaires, de prendre appui sur l’Initiative de démocratisation des données et de former une nouvelle génération de spécialistes canadiens dans le domaine de la recherche quantitative en sciences sociales.

Le Réseau a pris beaucoup d’expansion depuis sa création. Le nombre de centres est passé de neuf en 2001 à 24 en 2010, et le nombre de projets lancés et terminés a fortement augmenté. Plus de 2 600 chercheurs d’une multitude de disciplines et d’établissements ont travaillé dans un nombre croissant de CDR sur plus de 1 500 projets, à partir d’une gamme de plus en plus vaste de fichiers de microdonnées permettant d’examiner de nombreuses questions de santé et enjeux socioéconomiques. Statistique Canada est responsable de la protection des données, du contrôle de la confidentialité et du soutien aux chercheurs dans les centres. Au total, 53 analystes et adjoints à la statistique de Statistique Canada travaillent dans les centres, et cinq gestionnaires régionaux sont affectés à ce programme partout au pays. Le programme jouit du soutien des trois employés de la Sous-section des opérations du bureau central.

Autorité

La vérification s’inscrit dans le plan pluriannuel de vérification axé sur les risques de 2008-2009 à 2010-2011 et a été approuvée le 19 mars 2008 par le Comité ministériel de vérification.

Objectifs de la vérification

La vérification des CDR a pour but de donner au statisticien en chef et au Comité ministériel de vérification l’assurance que :

• les activités soutenant le cadre de gouvernance sont adéquates et efficaces et permettent la prestation des services aux chercheurs;
• l’accès aux données est conforme aux politiques et aux procédures de Statistique Canada.

Portée et méthodologie

La vérification couvre l’évaluation de l’efficacité et de la pertinence des activités soutenant la structure actuelle de gouvernance, de même que de la conformité aux principales politiques et procédures de Statistique Canada en matière de sécurité et de confidentialité. Les politiques pertinentes sont énoncées dans les documents suivants : le Manuel des pratiques de sécurité qui porte sur la politique du Ministère en matière de sécurité, la Politique sur la sécurité des TI, la Politique relative au couplage d’enregistrements, la Politique sur la sécurité des renseignements statistiques de nature délicate, la Politique relative à la divulgation discrétionnaire et la Loi sur la statistique. La vérification a été effectuée conformément aux normes du Conseil du Trésor et de l’Institut des vérificateurs internes.

La méthodologie adoptée a consisté à évaluer les processus et les procédures du cadre de gouvernance mis en place pour contrôler l’accès aux données. Cette évaluation s’est fondée sur des entrevues avec des employés clés du Ministère et des partenaires externes responsables de la gestion du volet universitaire du programme de partenariat, sur la  mise à l’essai détaillée des processus et des procédures et sur l’examen des documents pertinents. 

Le Programme des CDR vise 24 centres situés partout au Canada. L’étape de l’examen a comporté l’inspection des lieux dans cinq centres de données de recherche : le Centre de données de recherche des Universités de Carleton, Ottawa, Outaouais (CDRLCOO) à l’Université d’Ottawa, le Centre interuniversitaire québécois de statistiques sociales (CIQSS) à l’Université de Montréal, le CDR de l’Université de Toronto, le CDR de l’Université de la Colombie-Britannique et le CDR de l’Université Simon Fraser en Colombie-Britannique.

L’étape de l’examen pour la présente vérification s’est déroulée de février à mai 2010.

Constatations, recommandations et réponses de la direction

Gouvernance et orientation stratégique

Dans l’ensemble, les activités soutenant la gouvernance du réseau des CDR sont adéquates et efficaces et permettent la prestation continue des services. La structure de gestion intégrée est efficace, les résultats sont mesurés et présentés. Cependant, le rendement n’est pas évalué en fonction des cibles opérationnelles du programme, et les résultats ne sont pas intégrés au Rapport ministériel sur le rendement. Une fois que les propositions de recherche sont approuvées par Statistique Canada, la portée de l’initiative est déterminée par les partenaires. Depuis sa création, le maintien des coûts du programme dans les limites du financement accordé a posé des défis, le nombre de centres étant passé de neuf à 24. Par conséquent, le Programme des CDR a encouru des déficits croissants. Grâce à un nouveau budget annuel bonifié, Statistique Canada a stabilisé les coûts du programme et a mis en place une structure des coûts pour s’assurer que les coûts opérationnels des CDR respectent les budgets établis.

Un mécanisme de gouvernance capable de donner une orientation stratégique adéquate devrait comprendre une structure claire de comités permettant d’assurer des relations efficaces et des mesures de suivi progressives des questions de gestion. La vérification a révélé qu’il existe une structure claire de comités et que celle-ci est efficace. Le Réseau canadien des centres de données de recherche (RCCDR) est un partenariat regroupant les universités participantes, Statistique Canada (par l’intermédiaire du financement du Programme des CDR) et deux grands organismes subventionnaires, soit le Conseil de recherches en sciences humaines (CRSH) et les Instituts de recherche en santé du Canada (IRSC).

Le RCCDR et Statistique Canada se caractérisent par des structures de reddition de comptes qui leur sont propres et tous deux travaillent en partenariat (voir l’annexe B). Le Comité du RCCDR est le principal organe directeur du Réseau. Il négocie les subventions avec les grands conseils et d’autres organismes de financement et il établit les politiques qui déterminent les conditions d’adhésion au Réseau, la répartition des subventions, les orientations stratégiques du Réseau dans le respect des critères de Statistique Canada en matière de confidentialité, la diffusion des résultats des travaux de recherche réalisés dans les centres et la promotion du Réseau au Canada et à l’étranger. Le Comité du RCCDR, qui se réunit deux fois l’an, est formé de représentants de Statistique Canada, des universités et des partenaires (CRSH, IRSC). Lors de ces réunions sont discutées diverses questions, comme la formule de répartition des fonds, les nouvelles initiatives de TI, la formation des étudiants, les conférences des CDR, et les droits de vote des membres. Le RCCDR utilise la formule de répartition des fonds pour déterminer l’affectation des subventions aux CDR, selon le volume des activités des CDR, lequel est mesuré par le nombre de projets de recherche sous contrat en cours ou en suspens, et la nature des résultats.

Pour accroître l’efficacité du processus de prise de décisions dans les réunions, le  RCCDR a procédé à une réorganisation et a mis en place une structure de sous-comités qui comprend le Comité exécutif, le Sous-comité de mise en oeuvre de la subvention de la FCI, le Sous-comité de la coordination de la collecte d'information et diffusion, et le Sous-comité des seuils et mesures d'attribution des ressources. Le Comité directeur du RCCDR a été mis en place pour examiner les décisions stratégiques relatives au réseau des universités. Ce groupe se réunit deux fois par année avant la tenue des réunions semestrielles du Comité du RCCDR. Des représentants de Statistique Canada assistent à ces réunions. Les sous-comités du RCCDR ont été créés pour aider le Comité du RCCDR à s’acquitter de ses fonctions. Ces sous-comités offrent des compétences spécialisées en recherche pour faciliter l’examen des enjeux et la prise de décisions lors des réunions du Comité du RCCDR. Des représentants de Statistique Canada assistent souvent à ces réunions et fournissent des renseignements sur la charge de travail qui servent à établir la formule de répartition des fonds.

La structure du Programme des CDR à Statistique Canada est formée du gestionnaire principal du programme et des cinq gestionnaires régionaux des CDR. Ceux-ci tiennent des réunions hebdomadaires pour discuter des opérations courantes du Programme des CDR et pour veiller à l’application uniforme des processus et des procédures dans l’ensemble du programme. Les membres se rencontrent également dans des groupes de travail pour discuter des problèmes opérationnels qui peuvent se présenter et pour les régler. Les employés de Statistique Canada, en partenariat avec les directeurs universitaires des universités, assurent la gestion des opérations des centres. Les universités fournissent le soutien TI. Un représentant du milieu de la recherche dans chaque université assume les fonctions de directeur universitaire. Les analystes de Statistique Canada relèvent des gestionnaires régionaux des CDR qui se trouvent dans les bureaux régionaux de Statistique Canada. Les gestionnaires régionaux des CDR sont responsables de la gestion de plusieurs CDR et relèvent du directeur adjoint de la Division de l’accès aux microdonnées. Puisque les gestionnaires ne se trouvent pas sur place, la gestion des centres se fait par courriels, par conversations téléphoniques et par des visites semestrielles des centres. 

Pour accéder aux microdonnées hébergées dans les Centres de données de recherche (CDR), les chercheurs présentent une proposition de projet au Conseil de recherches en sciences humaines (CRSH) qui la soumettra à une évaluation par les pairs et à un examen interne effectué par Statistique Canada. Le CRSH invite des chercheurs individuels ou des équipes de recherche dirigées par un demandeur principal à présenter une demande. Il incombe au demandeur principal de soumettre les formulaires de demande au nom de l’équipe. Chaque proposition est évaluée par deux chercheurs universitaires et par un analyste de Statistique Canada. Le CRSH dirige le processus d’évaluation par les pairs, et les responsables des opérations au bureau central dirigent l’examen interne effectué par Statistique Canada. Les propositions sont évaluées selon le mérite scientifique et la viabilité de la recherche proposée, la pertinence des méthodes à appliquer, le besoin justifié d’avoir accès aux microdonnées détaillées, l’expertise des chercheurs et leur capacité d’effectuer la recherche proposée, lesquelles sont évaluées à la lumière des curriculum vitæ et de la liste des réalisations. Statistique Canada ne participe pas à l’établissement des priorités des projets entrepris dans les CDR. Il incombe toutefois à chaque CDR de s’assurer qu’il dispose des ressources et des fonds requis avant d’entreprendre un nouveau projet de recherche.

Cadre de contrôle de la gestion

Un cadre adéquat de contrôle de la gestion est nécessaire pour assurer une planification, une organisation, un contrôle, une direction et des communications efficaces, de même que la conformité au Cadre de responsabilisation de gestion du Conseil du Trésor et à la Politique sur la gestion des risques du Secrétariat du Conseil du Trésor. Des objectifs de programme clairs devraient soutenir l’orientation stratégique ainsi que les priorités et les plans opérationnels, et devraient indiquer avec précision comment allouer les ressources pour réaliser les plans définis. La planification du programme nécessite la préparation de plans opérationnels annuels, de budgets, de plans de dotation et d’un rapport annuel des activités des CDR, produits en temps opportun. 

Pour assurer une délégation appropriée des pouvoirs, il faut documenter et communiquer la répartition des rôles et des responsabilités. La vérification a révélé que les rôles et les responsabilités sont bien documentés et bien compris. L’organigramme de la structure générale, y compris des relations entre le RCCDR et Statistique Canada, est à jour et montre les liens entre les différents partenaires. 

La cohérence des activités de programme et la conformité aux politiques et aux règlements dépendent de la mise en place d’un processus de communication. Le RCCDR, Statistique Canada et les CDR ont tous leur propre site Web, et les communications du programme se font à l’aide de la technologie Internet. Les communications entre les gestionnaires régionaux des CDR et les analystes de Statistique Canada sont de nature informelle. Les questions discutées portent principalement sur la gestion des CDR et sur les processus statistiques opérationnels. Les questions d’ordre opérationnel qui ne sont pas réglés au niveau régional sont soumises au gestionnaire du Programme des CDR.

La promotion et la communication des valeurs et des règles d’éthique se font de façon continue au sein du milieu de la recherche et dans des cadres structurés de documentation, de formation et de politiques. Les contrats de recherche à partir de microdonnées signés par les chercheurs comportent plusieurs clauses traitant des valeurs et de l’éthique. En outre, les chercheurs suivent une séance d’orientation au cours de laquelle les questions des valeurs et de l’éthique sont abordées et présentées. Les chercheurs prennent connaissance du « Guide des chercheurs » qui comprend une section sur les valeurs et l’éthique. La sensibilisation aux valeurs et à l’éthique est également renforcée par le serment qu’il faut prêter en vertu de la Loi sur la statistique.

Un système efficace de contrôle de la gestion doit être mis en place pour mesurer le rendement et pour en faire état. Il convient de définir les cibles de rendement pertinentes et de réunir l’information sur les résultats pour éclairer les décisions du Ministère. Il convient également de faire état des résultats du programme dans le cadre du  Rapport ministériel sur le rendement (RMR). Le gestionnaire du Programme des CDR, qui relève du directeur général de la Direction des domaines spécialisés du recensement, de la statistique sociale et de la démographie, est responsable des rapports sur le rendement. L’initiative des CDR a fait l’objet de plusieurs examens : l’examen à mi-parcours effectué par le CRSH et les IRSC, l’examen de programme quadriennal réalisé par Statistique Canada pour la période 2000-2008, le rapport du gestionnaire du programme, et l’enquête sur la satisfaction. Bien que les résultats soient mesurés et fassent l’objet de rapports à des fins administratives internes, le rendement n’est pas évalué en fonction des objectifs opérationnels globaux du programme et le RMR n’en fait pas état.

Gestion de l’investissement/financement

L’initiative dans son ensemble est principalement financée par Statistique Canada (dans le cadre du Programme des centres de données de recherche), le CRSH, les IRSC et les universités. Le CRSH et les IRSC versent des subventions au RCCDR, qui redistribue les fonds aux CDR. La formule de répartition qui sert à distribuer des fonds tient compte de divers facteurs permettant de déterminer le niveau d’activité des CDR, comme le nombre de chercheurs, de succursales et de projets. Statistique Canada offre une contribution en nature, non seulement sous la forme d’un accès aux données, mais aussi en assumant les coûts opérationnels de gestion du programme. Si les coûts associés à la gestion de projets de recherche additionnels excèdent les limites imposées par le programme, les CDR concluent des ententes avec Statistique Canada pour obtenir des ressources supplémentaires en régime de recouvrement des coûts.

Chaque CDR a son propre budget, administré par le directeur universitaire. Le directeur universitaire est un chercheur universitaire et n’a pas d’autorité sur les analystes de Statistique Canada. Une grande partie du budget du CDR sert à couvrir les coûts des analystes de Statistique Canada et des opérations courantes. Les universités fournissent les services TI et le soutien aux CDR. Des projets d’amélioration ou l’élaboration de nouvelles initiatives dans les centres ne sont entrepris que si des fonds additionnels sont obtenus.

Le budget du Programme des CDR doit servir à financer le soutien fourni par le bureau central de Statistique Canada au Réseau des CDR, ce qui comprend la maintenance du Système d’information de la gestion sur les activités de recherche menées par les employés réputés pour Statistique Canada, l’administration des contrats, la tenue à jour du site Web des CDR, la transmission des données aux CDR, la préparation et la tenue à jour de la documentation requise par les chercheurs et le personnel de projet des CDR, le soutien des réseaux locaux pour le bureau central, et la prestation de services de soutien méthodologique aux CDR.

La demande d’accès aux données de Statistique Canada a augmenté au cours des dix dernières années, et le programme a accusé des déficits annuels de plus en plus importants à mesure qu’augmentait le nombre de centres, celui-ci étant passé de neuf à 24. Ces trois dernières années, les déficits accusés par le Programme des CDR ont été partiellement couverts par les fonds provenant d’autres programmes du secteur.

Dépenses réelles du programme des Centres de Données de Recherche (CDR) pour les exercices financiers 2007-2008, 2008-2009 et 2009-2010, ainsi que les projections budgétaires pour les exercices financiers 2010-11 et 2011-2012.

Dépenses de programme des CDR	Dépenses réelles			Années à venir Budget/cibleFootnote 1
	2007-2008	2008-2009	2009-2010	2010-2011	2011-2012
Base (EP 1884)
DSTIFootnote 2	138 689	112 592	182 320	-	-
Dépenses salariales	364 181	697 726	595 040	711 640	711 640
Dépenses non salariales	92 238	102 158	100 761	90 555	90 555
Coûts d'adm. du prog.	595 108	912 476	878 121	802 195	802 195
Dépenses récupérables (EP 6587)
DSTIFootnote 2	2 374	33 053	66 102
Dépenses salariales	1 920 355	1 943 262	2 126 833
Dépenses non salariales	458 614	330 798	220 105
Total des coûts récupérablesFootnote 3	2 381 343	2 307 113	2 413 040
Total (base + récupérables)Footnote 3	2 976 451	3 219 589	3 291 161
Moins : coûts recouvrés	-2 381 343	-2 307 113	-2 413 040
Coûts nets de programme	595 108	912 476	878 121
Budget/cible	527 000	527 000	527 000
Excédent (déficit)	-68 108	-385 476	-351 121
Notes: Footnote 1  Pour les années à venir, le budget de base du Programme a été majoré de 400 000 $. Return to footnote 1 referrer Footnote 2 Pour les années à venir, les coûts de la DSTI seront couverts sous la rubrique des recettes recouvrables. Return to footnote 2 referrer Footnote 3 Source : Données agrégées du système financier. Return to footnote 3 referrer

En avril 2009, le Programme des CDR a été transféré à la Division de l’accès aux microdonnées. Pour l’exercice financier 2009-2010, le déficit accusé au titre de l’initiative des centres de données de recherche s’est chiffré à 351 121 $. Pour remédier à la situation, une proposition à long terme visant à assurer un financement permanent qui permettrait de couvrir les coûts du bureau central a été soumise. Pour les années à venir, le financement du programme a été établi à 800 000 $ par année.

À partir de maintenant, on s’attend à ce que les coûts opérationnels des CDR respectent les budgets établis. 

Recommandation 1

Il est recommandé que le statisticien en chef adjoint du Secteur de la statistique sociale, de la santé et du travail veille à ce que les indicateurs de rendement soient mesurés en fonction des cibles opérationnelles établies pour le programme et que les résultats du programme soient intégrés au Rapport ministériel sur le rendement pour servir de points de référence ultérieurs.

Réponse de la direction

La direction accepte la recommandation. Les mesures des indicateurs de rendement et les résultats font maintenant partie intégrante de l’Examen de rendement de programme, qui comprend des renseignements intégrés au modèle logique de programme sur les résultats et les méthodes de mesure. La Division de l’accès aux microdonnées les inclura donc dans son prochain Examen de rendement de programme. Le rendement du Programme des CDR a été évalué positivement par un groupe international externe et par les clients qui ont fait part de leur satisfaction.

Résultats attendus :

• Intégration des indicateurs et des mesures de rendement à l’Examen de rendement de programme et au Rapport ministériel sur le rendement – d’ici le 31 mars 2011
• Intégration des résultats du programme à l’Examen de rendement de programme et au Rapport sur les plans et priorités – d’ici le 31 mars 2011.

Gestion des risques

Le Programme des CDR et les CDR n’ont pas adopté de pratiques officielles de gestion des risques, et les risques associés à la poursuite des activités des CDR n’ont pas été évalués dans le cadre des pratiques générales de gestion des risques pour le programme.

Dans un environnement de programme bien contrôlé, la direction doit avoir une compréhension solide et actuelle des facteurs internes et externes susceptibles d’exposer ses objectifs stratégiques et opérationnels à des risques. Les ressources et les risques stratégiques doivent faire l’objet d’un contrôle proactif permettant de faciliter la prise de décisions et le processus de planification à long terme de Statistique Canada. Des pratiques structurées de gestion des risques permettent aux gestionnaires de programme de cerner, d’évaluer, de suivre et de déclarer les risques qui peuvent donner lieu à des menaces ou à des possibilités. Bien que certains risques relatifs au Programme des CDR soient discutés officieusement dans les réunions, il ne semble y avoir ni de cadre établi de gestion des risques ni de lien au modèle de gestion des risques de Statistique Canada. L’absence d’un cadre structuré de gestion des risques affaiblit la capacité de la direction de cerner et de traiter les risques tout au long du cycle du programme.

La Politique sur la sécurité du gouvernement prévoit que « la continuité des activités et des services du gouvernement est assurée en cas d’incidents de la sécurité, de perturbations ou de situations d’urgence ». La Politique sur le plan de continuité des activités du Ministère indique aussi qu’il incombe au gestionnaire des CDR d’« élaborer et [de] mettre en œuvre un plan de reprise des activités pour chacun des centres de données de recherche et [d’]intégrer le plan avec ceux qui ont été élaborés par l’établissement ou l’université où le centre est situé ». Bien que le Programme des CDR ne soit pas un projet essentiel au mandat, les risques associés à la poursuite des activités des CDR doivent être cernés et évalués dans le cadre des bonnes pratiques globales de gestion des risques du programme.

Recommandation 2

Le statisticien en chef adjoint du Secteur de la statistique sociale, de la santé et du travail devrait veiller à ce que le Programme des CDR soit intégré au modèle de gestion des risques de Statistique Canada et à ce que les risques associés à la poursuite des activités des CDR soient cernés et évalués dans le cadre des pratiques globales de gestion des risques du programme.

Réponse de la direction

La direction accepte la recommandation. Le Programme des CDR a déterminé les risques lors de la préparation du document de Statistique Canada sur la gestion des risques en juillet 2010. Les risques associés aux opérations des CDR feront partie intégrante de l’Examen de rendement de programme, ce qui comprend leur inscription au registre des risques. Le gestionnaire de programme poursuivra ses travaux sur le plan de continuité des activités pour le programme.

Résultats attendus :

• Intégration d’un plan de continuité des activités au document de Statistique Canada sur la gestion des risques et intégration d’une évaluation des risques à l’Examen de rendement de programme – d’ici le 31 mars 2011.

Accès aux données

La vérification a révélé que les chercheurs effectuent leurs travaux dans des infrastructures physiques et technologiques sûres à accès restreint, ce qui réduit les risques de violation des règles de confidentialité. Les renseignements traités dans les CDR sont assujettis à des exigences gouvernementales en matière de confidentialité et de sécurité. Toutefois, les CDR n’ont pas fait l’objet d’inspections périodiques permettant de vérifier la conformité aux règles de sécurité. Quelques manquements aux règles de sécurité ont été observés dans le cadre d’un certain nombre de contrôles de sécurité faits sur place. Une formation sur la sécurité est offerte aux nouveaux analystes, mais il ne semble pas y avoir de programmes continus de sensibilisation. Enfin, le processus de divulgation mis en place pour le programme est appliqué rigoureusement et systématiquement, et aucune divulgation involontaire n’a été constatée.

On s’attend à ce que les mécanismes de contrôle qui régissent l’accès aux données de Statistique Canada dans les CDR soient conformes aux politiques et procédures du gouvernement et de Statistique Canada en matière de sécurité et de confidentialité. Les demandes sont présentées par l’intermédiaire du Conseil de recherches en sciences humaines et sont évaluées à Statistique Canada par la Direction de la statistique sociale et démographique (DSSD), le secteur spécialisé, les Services d’accès et de contrôle des données (SACD) et les divisions collaborant avec le Programme des CDR. Une fois l’accès accordé, les universités fournissent les locaux des CDR et Statistique Canada s’assure que les lieux respectent les politiques du Ministère en matière de sécurité physique et de confidentialité. La vérification a révélé que les chercheurs effectuent leurs travaux dans des infrastructures physiques et technologiques sûres à accès restreint, ce qui réduit les risques de violation des règles de confidentialité. Aucune divulgation involontaire n’a été observée dans le cadre de la vérification. Les renseignements traités dans les CDR sont assujettis à des exigences gouvernementales en matière de confidentialité et de sécurité.

Infrastructure

Avant d’approuver l’accès des CDR aux données de Statistique Canada, on doit s’assurer que l’infrastructure physique et technologique des CDR respecte les exigences de sécurité de l’organisme. Les universités fournissent les locaux et le soutien TI, et Statistique Canada s’assure que les lieux respectent ses exigences de sécurité, lesquelles sont fondées sur la Politique sur la sécurité du gouvernement du SCT. Pour évaluer la sécurité de l’infrastructure, on a établi une liste de contrôle pour l’inspection de sécurité. Les inspections portent sur des éléments physiques de l’infrastructure de sécurité comme l’accès aux locaux, les serrures et les clés, ainsi que sur des éléments électroniques de l’infrastructure de sécurité comme l’accès au serveur et les mots de passe. Cette liste de contrôle d’inspection de sécurité sert à assurer le respect des exigences de sécurité de Statistique Canada lors de l’ouverture d’un nouveau CDR ou d’une nouvelle succursale. À l’été 2009, la Division des services d’accès et de contrôle des données a examiné la liste de contrôle d’inspection de sécurité pour s’assurer que les exigences de la nouvelle Politique sur la sécurité du gouvernement étaient toujours respectées. Lors de l’examen d’un échantillon de listes de contrôle d’inspection de sécurité, on a noté que plusieurs n’avaient été que partiellement remplies. Par conséquent, on ne dispose pas de renseignements suffisants pour affirmer que des inspections de sécurité complètes ont été effectuées.

La Politique sur la sécurité du gouvernement du SCT, faisant référence à la Directive sur la gestion de la sécurité ministérielle, recommande des inspections de sécurité périodiques des lieux de travail afin de détecter les risques de sécurité. Dans les faits, les CDR n’ont pas fait l’objet de réinspections depuis leur ouverture, certains depuis dix ans. Quelques manquements aux règles de sécurité ont été observés dans le cadre d’un certain nombre de contrôles de sécurité faits sur place. Par exemple, le Manuel des pratiques de sécurité de Statistique Canada prévoit que « pour protéger l’intégrité des renseignements du Ministère et la disponibilité des données, tous les renseignements doivent être stockés dans des serveurs et des lecteurs de disque réseau qui font l’objet de sauvegardes quotidiennes automatiques ». La vérification a révélé que, dans certains cas, les procédures de stockage de sauvegarde n’étaient pas appliquées systématiquement, comme le prévoit le Manuel.

La Politique sur la sécurité du gouvernement du SCT prévoit ce qui suit : « Un programme de sensibilisation à la sécurité ministérielle couvrant tous les aspects de la sécurité des ministères et du gouvernement est créé, géré, exécuté et actualisé pour s’assurer de renseigner les personnes et de leur rappeler régulièrement les questions et les préoccupations liées à la sécurité ainsi que leurs responsabilités à ce titre. » L’exigence de l’organisme quant à la formation sur la sécurité est observée par l’utilisation du cours KLICK sur la sécurité offert aux analystes des CDR. Cependant, on ne semble pas avoir mis en place, depuis l’ouverture des centres, de mécanismes permettant d’assurer la sensibilisation continue des analystes de Statistique Canada. 

La demande d’accès aux données continue d’augmenter. Par conséquent, la direction du programme de Statistique Canada examine actuellement d’autres moyens pour améliorer l’accès aux données, comme l’accès à distance et le recours aux fichiers de données synthétiques.

Confidentialité

La protection de la confidentialité des données et des répondants est une valeur fondamentale à Statistique Canada. Les données traitées par les CDR doivent respecter les exigences de l’organisme en matière de confidentialité et de sécurité. Les données demandées par les chercheurs sont extraites au bureau central, chiffrées puis stockées sur disque et transmises au CDR par services de messageries, conformément aux règles de confidentialité s’appliquant aux renseignements protégés (B). Les données sont déchiffrées par l’analyste de Statistique Canada et installées sur le serveur du CDR, qui n’est pas branché à un réseau. Les chercheurs obtiennent un accès à des échantillons de données de Statistique Canada au moyen de comptes d’utilisateurs individuels pour chacun de leurs projets de recherche. Les directives sur la divulgation sont appliquées au sein du Ministère pour éviter la diffusion publique de renseignements protégés. Pour assurer la protection de l’information de Statistique Canada au sein des CDR, les analystes de Statistique Canada effectuent une analyse de divulgation statistique avant la publication des résultats. Les chercheurs soumettent leur information aux analystes, qui l’examinent et qui en retirent les éléments pouvant donner lieu à la divulgation de renseignements confidentiels. La vérification a révélé que le processus de divulgation mis en place pour le programme est appliqué rigoureusement et systématiquement.

Recommandation 3

Le statisticien en chef adjoint du Secteur de la statistique sociale, de la santé et du travail devrait collaborer avec les Services intégrés pour instaurer des inspections périodiques afin que l’infrastructure, régissant l’accès aux données, continue de respecter les exigences des politiques du Ministère en matière de sécurité.

Réponse de la direction

La direction accepte la recommandation. En plus des inspections initiales des lieux, le Programme des CDR effectuera des inspections périodiques de tous les CDR. La Division de l’accès aux microdonnées a mis en place un certain nombre de procédures pour assurer la sécurité physique et électronique des centres et de leurs données

Résultats attendus :

• Les inspecteurs des Services intégrés rendront compte de la sécurité des CDR en soumettant la liste de contrôle de sécurité remplie – Les premières réinspections des CDR seront effectuées au cours de l’exercice financier 2011-2012. Tous les CDR actuels seront réinspectés d’ici 2015-2016.

Annexes

Annexe A : Objectifs et critères de la vérification

Objectif 1 :Les activités soutenant le cadre de gouvernance sont adéquates et efficaces et permettent la prestation des services aux chercheurs.

Gouvernance et orientation stratégique : Examiner l’utilité du cadre de contrôle de la gestion du programme, y compris des processus et des pratiques se rapportant à la planification, à l’organisation, au contrôle, à la direction et aux communications.

• Des liens existent entre le plan stratégique et les objectifs des programmes.
• Les rôles et les responsabilités sont définis et communiqués par le programme.
• Une structure organisationnelle claire est établie et documentée, et les liens hiérarchiques sont efficaces.
• La promotion des valeurs et de l’éthique est faite auprès des partenaires.
• Le processus de communication en place permet de communiquer les activités du programme.
• Un cadre efficace de gestion du rendement et de redditions des comptes est en place pour mesurer le rendement et pour en rendre compte.

Gestion des risques :

• Un mécanisme de gestion des risques devrait être mis en place pour détecter, évaluer, suivre les risques et pour en faire état.

Gestion de l’investissement/financement :

• Les processus actuels de planification du financement et d’établissement des budgets sont efficaces. Les coûts prévus sont définis et évalués en fonction des bénéfices prévus.

Objectif 2 : L’accès aux données respecte les politiques et les procédures du gouvernement et de Statistique Canada.

Infrastructure :

• Les infrastructures physiques et technologiques sont sûres.

Sécurité et confidentialité de l’information :

• Le contrôle de l’accès aux données électroniques est efficace.
• La confidentialité est assurée et les données sont bien protégées.
• Les mesures adoptées empêchent la divulgation involontaire.

Planification de la poursuite des activités :

• On doit définir la poursuite des activités pour assurer la continuité des opérations.

Annexe B : Aperçu du Réseau des CDR

Description : Aperçu du Réseau des Centres de données de recherche

Source : Examen de programme quadriennal : 2000-2008, page 22.

Rapport de vérification final
Vérification de la protection des biens et de la gestion de leur cycle de vie

Services de vérification interne Statistique Canada
Le 30 septembre 2009

• Résumé
  • Opinion de vérification
  • Principales constatations
• Introduction
  1. Contexte
  2. Objectifs de la vérification
  3. Portée de la vérification
  4. Critères et contrôles connexes
  5. Approche et méthodologie
  6. Remerciements
  7. Énoncé d’assurance
• Constatations, recommandations et réponse de la direction
  1. Intégralité de l’inventaire
  2. Mécanismes de sécurité prévus pour assurer la protection des biens
  3. Obtention des autorisations requises
  4. Traitement approprié des opérations dans une perspective comptable
  5. Conformité à la norme comptable du conseil du trésor
• Annexe A – Critères et contrôles connexes

Résumé

La présente vérification a été menée à la suite d’une demande faite dans un contexte de gestion fondée sur le risque. Le Comité de vérification interne a approuvé le mandat de vérification le 7 octobre 2007. La vérification s’inscrit dans le plan d’ensemble portant sur les pratiques de suiviet la sécurité des immobilisations en vigueur à Statistique Canada.

Au 31 mars 2007, l’inventaire du matériel informatique et des véhicules de Statistique Canada comptait près de 22 000 articles, dont la valeur comptable estimative dépassait les 22 millions de dollars. Les immobilisations entrant dans la catégorie du matériel informatique sont essentielles au bon déroulement des opérations courantes de Statistique Canada.

L’objectif de la vérification consistait à évaluer l’efficacité des mesures de contrôle servantà assurer la surveillance et la comptabilisation des biens corporels. La vérification a porté principalement sur deux catégories de biens corporels – le matériel informatique et les véhicules – au bureau central de Statistique Canada dans la région de la capitale nationale. Les contrôles de vérification ont porté sur l’achat de biens au cours de la période allant du 1er avril 2001 au 31 mars 2007.

Les Services de vérification interne de Statistique Canada ont confié à Services de vérification Canada la tâche d’effectuer la vérification de la protection des biens et de la gestion de leur cycle de vie.

Opinion de vérification

La vérification a permis de constater que le système de contrôle interne mis en place par Statistique Canada à l’appui de la gestion des immobilisations présentait certaines lacunes. Des améliorations devraient être apportées aux processus d’autorisation, d’achat, de suivi et de rapprochement au regard des immobilisations à la Division des services de soutien intégrés(DSSI) et à la Division des opérations et des systèmes de gestion financière (DOSGF).

Principales constatations

Les rapports comptables établis à Statistique Canada confirment que l’achat, l’amortissement et la cession des biens sont effectués conformément à la Norme comptable 3.1 – Immobilisations du Conseil du Trésor (la « Norme comptable 3.1 »), à quelques exceptions près dans le cas d’aspects comme la délégation des pouvoirs de signature en matière de finances, les achats, le suivi et le rapprochement des biens. La vérification a aussi confirmé que la documentation del’inventaire d’immobilisations est présentée de façon exacte et que des procédures de sécurité sont en place pour assurer la surveillance des biens.

Au cours de leurs travaux, les vérificateurs ont observé que des politiques et des procédures étaient en cours d’élaboration dans le but de garantir l’observation de la Norme comptable 3.1. La direction souscrit aux recommandations formulées et exprime dans sa réponse sa volonté de prendre des mesures à la lumière des résultats de la vérification. De fait, la direction a déjà commencé à prendre bon nombre des mesures proposées afin de donner suite aux constatations; à l’heure actuelle plusieurs des produits livrables sont devenus des pratiques commerciales alorsque ce qui reste des plans d’action sera terminé en mars 2010 au plus tard.

Introduction

1. Contexte

La vérification de la protection des biens et de la gestion de leur cycle de vie a pour objet d’évaluer, à l’intention de la direction, l’efficacité des mécanismes de contrôle relatifs à l’achat, à la comptabilisation et à la surveillance des biens corporels ¹ ainsi qu’aux rapports connexes. En principe, des mécanismes de contrôle appropriés sont en place pour assurer la protection et la gestion de ces biens. La vérification portera sur les processus rattachés aux immobilisations afin de déterminer dans quelle mesure les contrôles en vigueur satisfont aux exigences énoncées dansles normes comptables du Secrétariat du Conseil du Trésor (SCT).

Le nombre de biens entrant dans la catégorie du matériel informatique a sensiblement augmenté au cours de la dernière décennie. On a jugé qu’il serait utile de procéder à une vérification afin de s’assurer que des mécanismes de contrôle adéquats existent pour protéger les biens de grande valeur. On a aussi inclus les véhicules dans le champ de la vérification en raison d’achats récentsprésentant une grande valeur pour Statistique Canada.

Le Bureau du contrôleur général (BCG) a désigné des biens dans le cadre de son plan de vérification horizontale. Le risque a été évalué comme étant élevé à l’échelle de l’administration publique. On a estimé qu’une vérification serait utile du point de vue de Statistique Canada, car cela donnerait l’assurance que l’on a dûment mis en application les procédures, les lignes directrices et les politiques pertinentes à l’intérieur de l’organisme.

Le 1er avril 2001, l’État a apporté des modifications à ses systèmes comptables dans le cadre de la mise en oeuvre de la Stratégie d’information financière, y compris l’adoption de la méthode de comptabilité d’exercice. De façon à mettre en application cette modification, le SCT a mis de l’avant des normes comptables en se fondant sur les recommandations du Conseil sur la comptabilité dans le secteur public. La Norme comptable 3.1 du Conseil du Trésor – Immobilisations, qui constitue la norme pertinente dans le contexte de la présente vérification, définit les immobilisations comme étant des biens corporels achetés, construits ou mis au point qui sont destinés à une utilisation continue et ne sont pas destinés à être revendus dans le cours normal des activités. Aux termes de la Norme comptable 3.1, l’information relative à la valeur et à l’amortissement des immobilisations est publiée dans les états financiers du gouvernement, toutcomme l’information au sujet des gains ou des pertes constatés lorsqu’un organisme disposed’immobilisations, le cas échéant.

L’inventaire de matériel informatique et de véhicules de Statistique Canada au 31 mars 2007 comptait près de 22 000 articles, dont la valeur comptable estimative dépassait 22 millions de dollars. Le matériel informatique constitue une catégorie d’immobilisations jouant un rôle essentiel aux fins des opérations de Statistique Canada, permettant à l’organisme d’exécuter ses activités courantes.

La Division des opérations et des systèmes de gestion financière (DOSGF) aide Statistique Canada à se conformer aux objectifs de l’État et des organismes centraux grâce à la conceptualisation, à la définition, à la mise en oeuvre et au perfectionnement du cadre de gestion financière et de l’infrastructure qui sous-tend l’élaboration des politiques, la constatation des revenus et des dépenses, la préparation des états et rapports financiers, l’exécution des programmes et la prestation des services. Elle a aussi pour tâche d’exercer un leadership fonctionnel et de fournir des conseils et une orientation concernant tous les systèmes et processusde production de rapports financiers.

La DOSGF a récemment élaboré un cadre (matériel informatique) de surveillance de l’observation de la Norme comptable 3.1. Ce cadre comprend des lignes directrices ² qui énoncent des critères servant à faire le suivi de différentes catégories de biens et à se dessaisir deces biens lorsqu’ils atteignent le terme de leur vie utile.

La Division des services de soutien intégrés (DSSI) est responsable de la gestion des installations ainsi que des services du matériel et des marchés. Elle a recours au Système automatisé d’information sur la gestion du matériel (SAIGM) pour faire le suivi des achats, de l’emplacement, de l’utilisation et de la cession des immobilisations. Chaque bien est saisi dans cette base de données et se voit attribuer un numéro d’article.

En consultation avec la DSSI, la DOSGF effectue chaque mois un rapprochement des données du SAIGM et de celles du Système financier ministériel commun (SFMC) afin de vérifier la concordance de l’inventaire avec les documents financiers de Statistique Canada.

Les opérations sont autorisées en vertu des pouvoirs délégués relativement à chaque étape du cycle de vie des biens, en conformité avec les articles 32, 33 et 34 de la Loi sur la gestion des finances publiques (LGFP). Aux fins d’exercer les pouvoirs délégués en vertu de la LGFP, le fonctionnaire doit être titulaire d’un poste correspondant aux pouvoirs en question, d’après la matrice de délégation des pouvoirs de signature en matière de finances, et il doit posséder unecarte de spécimen de signature valide.

2. Objectifs de la vérification

L’objectif de la vérification consistait à évaluer l’efficacité des mesures de contrôle relatifs à lasurveillance et à la comptabilisation des biens corporels.

Voici l’exposé détaillé des objectifs de la vérification:

1. Vérifier que l’inventaire des immobilisations est complet.
2. Vérifier que des mécanismes de contrôle sont en place pour protéger les biens contre le vol et contre tout accès non autorisé.
3. Vérifier que des procédures efficaces sont prévues pour établir la valeur des biens, en tenant compte d’éléments comme l’apport d’améliorations, l’amortissement et la durée de vie utile estimative des immobilisations.
4. Vérifier que les procédures en vigueur à Statistique Canada au regard des immobilisations sont conformes à la Norme comptable 3.1. Les biens doivent faire l’objet d’une gestion fondée sur le cycle de vie, et il doit exister un plan d’amortissement aboutissant à la cession des biens.

3. Portée de la vérification

La vérification s’est concentrée sur l’évaluation de l’inventaire et la comptabilisation des biens corporels (matériel informatique et véhicules) au bureau central de Statistique Canada dans la région de la capitale nationale. L’univers de vérification comprenait les biens corporels groupés et individuels qui ont une vie utile d’au moins un an et un coût supérieur ou égal à $10 000. La vérification a examiné la conformité aux politiques et procédures d’intérêts de Statistique Canadaainsi qu’à la Norme comptable 3.1.

Les processus généraux se rattachant aux risques réels ou perçus pour l’organisme et la présence d’un cadre de contrôle bien défini ont fait l’objet d’un examen à l’étape de la détermination de la portée de la vérification.

Le contrôle de vérification a porté sur des biens acquis entre le 1er avril 2001 et le 31 mars 2007. La vérification a été menée à l’intérieur de la DSSI et de la DOSGF de Statistique Canada. Au 31 mars 2007, la valeur comptable estimative du matériel informatique était de plus de 21 millions de dollars. Les dix véhicules se composaient de huit automobiles et de deux remorques hautement spécialisées qui sont utilisées dans le cadre de l’Enquête canadienne sur les mesures de la santé.

4. Critères et contrôles connexes

Les critères suivants ont servi à évaluer l’efficacité des mécanismes de contrôle de lasurveillance et de la constatation des biens corporels:

• rapport d’inventaire adéquat;
• codage correct et exactitude mathématique de l’information présentée dans les rapports;
• mécanismes de sécurité en place pour protéger les biens;
• obtention des autorisations requises;
• documentation englobant le cycle de vie;
• traitement approprié des opérations dans une perspective comptable;
• conformité à la Norme comptable 3.1 et au cadre élaboré par la DOSGF et utilisé à Statistique Canada pour surveiller la conformité à ladite norme.

5. Approche et méthodologie

Les méthodes suivantes ont été utilisées dans le cadre de la vérification:

• entrevues avec des personnes remplissant des fonctions clés et examen de documents pertinents, notamment les politiques et les procédures organisationnelles ayant trait aux deux catégories de biens visées (matériel informatique et véhicules);
• documentation du cadre de contrôle;
• examen d’un échantillon d’articles appartenant aux deux catégories de biens visés en vue de déterminer si les mécanismes de contrôle sont adéquats;
• vérification portant sur des biens choisis afin de voir s’ils ont été comptabilisés comme il se doit;
• vérification de l’existence physique de biens choisis.

On a établi au départ un échantillon aléatoire de 149 enregistrements du SAIGM entrant dans la catégorie du matériel informatique (biens individuels et groupés), catégorie qui comptait au total 21 944 enregistrements dont la valeur comptable estimative dépassait les 21 millions de dollars. L’évaluation a englobé tous les véhicules, car il n’y en avait que dix, dont la valeur était de 1 million de dollars. Dans le cas du matériel informatique, le programme de vérification précisait que, pour chaque article de l’échantillon, il fallait remonter aux documents d’expédition, aux factures, aux bons de commande, aux rapports comptables et à l’emplacement physique afin de vérifier la pertinence et l’efficacité des contrôles à chaque étape de chaque processus. Le matériel informatique individuel a représenté 58 % de l’échantillon et les biens groupés, 42 %(on a accordé un poids supérieur au matériel informatique individuel parce que sa valeur globale était plus élevée).

Au début de l’étape de l’examen, l’échantillon a fait l’objet d’un ajustement en raison de la perte de documents justificatifs à la suite d’une inondation qui s’est produite à Statistique Canada en janvier 2007. Le nombre d’enregistrements de l’échantillon est ainsi passé de 149 à 100, mais la répartition a été maintenue entre le matériel informatique et les biens groupés (58 % et 42 %, respectivement). Cette réduction de l’échantillon n’a pas eu d’incidence sur la qualité de la vérification.

6. Remerciements

Les Services de vérification interne tiennent à remercier les membres du personnel et de la direction de Statistique Canada de leur dévouement ainsi que de leur coopération lors dudéroulement de cette mission de vérification puis de la préparation du rapport.

7. Énoncé d’assurance

Services de vérification Canada a transmis l’énoncé suivant aux Services de vérification interne:

Services de vérification Canada (SVC) a effectué la vérification en conformité avec les normes de vérification interne dans l’administration publique fédérale du Canada, telles qu’énoncées dans la Politique sur la vérification interne du Conseil du Trésor. Conformément à cette politique et d’après notre jugement professionnel, SVC a examiné suffisamment d’éléments probants et obtenu des renseignements et des explications suffisants pour étayer l’exactitude des conclusions présentées dans ce rapport. Les conclusions reposent sur une comparaison de lasituation prévalant au moment de la vérification avec les critères de vérification.

Constatations, recommandations et réponse de la direction

La vérification a permis de constater que le système de contrôle interne en place à Statistique Canada à l’appui de la gestion des immobilisations présentait certaines lacunes. Les rapports comptables produits à Statistique Canada ont confirmé que l’achat, l’amortissement et la cession des biens avaient été faits en conformité avec l’orientation fournie dans la Norme comptable 3.1 du Conseil du Trésor – Immobilisations, sous réserve de quelques exceptions touchant la délégation des pouvoirs de signature en matière de finances ainsi que les activités de suivi et derapprochement des biens.

La vérification a établi que la documentation de l’inventaire des immobilisations était exacte et que des procédures de sécurité étaient prévues afin d’exercer une surveillance à l’égard desbiens. De plus, les vérificateurs ont constaté que des politiques et des procédures étaient élaborées afin de garantir l’observation de la Norme comptable 3.1.

1. Intégralité de l’inventaire

L’inventaire d’immobilisations doit être complet et faire l’objet de rapports appropriés. Il faut en outre que l’information contenue dans les rapports soit mathématiquement exacte et que lescodes applicables soient utilisés.

La vérification a permis de conclure que la documentation était exacte et reposait sur l’examen des rapports fournis par la DOSGF. Les rapports comptables ont été étudiés dans le but de relever les éléments établissant que l’on avait procédé à un examen de supervision ainsi qu’à des rapprochements avec d’autres rapports. Les vérificateurs ont vérifié l’existence d’écritures de redressement, étayées par des pièces de journal préparées par la DOSGF.

Les vérificateurs ont observé que certains numéros d’article n’apparaissaient pas dans l’inventaire de matériel informatique. La séquence numérique de l’inventaire a été vérifiée dans la base de données du SAIGM. Il a été établi que le système ne permet pas les mises à jour automatiques; à titre d’exemple, des changements peuvent être requis en raison d’erreurs de codage ou de l’archivage de données relatives à des biens dont on s’est départi. On a constaté que de tels changements de codage donnent lieu à des ruptures dans la séquence de l’inventaire.

De telles ruptures pourraient signifier que la tenue de livres est déficiente et que les documents ne correspondent pas à l’inventaire physique.

Recommandation 1

La Division des services de soutien intégrés devrait s’assurer qu’il existe une procédure d’examen et d’autorisation de tous les changements de codage, et également qu’un enregistrement automatisé ou manuel est effectué chaque fois qu’un changement de codage estapporté dans le Système automatisé d’information sur la gestion du matériel.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

Dans le but d’éviter toute rupture dans la séquence des enregistrements, la DSSI:

• examinera les lignes directrices qui régissent le codage;
• élaborera des procédures opérationnelles normalisées concernant le codage et les changements de codage;
• élaborera les procédures de concert avec la DOSGF;
• informera les employés de l’unité de la gestion des biens dont les responsabilités englobent le codage au sujet des modifications apportées aux procédures;
• surveillera l’application des nouvelles procédures pendant une période de six mois pour garantir que tous les employés les appliquent correctement.

Remarque: les changements de codage sont effectués uniquement par le personnel de l’unité dela gestion des biens (les clients n’ont plus accès à cette fonction).

• Des changements ne seront apportés que s’il y une fiche donnant lieu à un cas Heat (GDS), ce qui permet aux clients de demander l’apport de changements relatifs aux biens puis d’en faire la gestion et le suivi.
• Les changements ne sont effectués que lorsqu’ils sont soumis par un CRF autorisé.
• Un renvoi au système GDS est inscrit dans le SAIGM afin que l’on dispose d’une piste de vérification adéquate.
• Un renvoi à l’auteur des changements est inscrit dans le dossier Heat et dans le SAIGM pour faciliter le suivi.
• Des procédures seront affichées sur le site Web de la DSSI afin de fournir une orientation aux clients.
• Un communiqué sera diffusé pour informer les clients que le site Web a été mis à jour.
• Les normes opérationnelles normalisées au regard du SAIGM seront examinées et mises à jour au besoin.

L’unité de la gestion des biens procédera à des examens mensuels pour vérifier que les codes sont actifs, et elle enverra des rapports aux clients concernés au sujet des mises à jour et des changements de codage. Les changements de codage relèvent du CRF et non de la DSSI.

Responsabilités et échéanciers

DSSI/chef d’unité, gestion des biens – Directives, juillet 2009.

DSSI/superviseur, gestion des biens /bureau d’aide du SAIGM – Rapport de surveillance,février 2010:

• Changements autorisés seulement.
• Pistes de vérification.
• Documentation.
• Affichage, examen et mise à jour des procédures.
• Examens mensuels.
• Communiqué.

2. Mécanismes de sécurité prévus pour assurer la protection des biens

Les biens immobilisés doivent être sécurisés et protégés contre le vol et contre tout accès nonautorisé.

La vérification a permis de constater que des procédures de sécurité sont en place pour exercer une surveillance à l’égard des biens. Elle a aussi confirmé que la section du contrôle de la qualité et de la gestion des biens attribue un numéro d’identification aux biens. L’information sur lesbiens et leur emplacement est ensuite enregistrée dans le SAIGM.

La procédure de transfert de propriété était bien documentée, depuis la section du contrôle de la qualité et de la gestion des biens jusqu’au client final, en passant par le service d’expédition et de réception. Ce dernier transfère la propriété des biens à la section du contrôle de la qualité et de lagestion des biens afin qu’un numéro d’identification leur soit attribué.

La vérification a aussi montré que la section du contrôle de la qualité et de la gestion des biens dresse chaque année l’inventaire des immobilisations. Si une divergence est observée, on cherche à la résoudre. Si l’on ne retrouve pas le bien, une mise à jour est effectuée pour que les donnéesd’inventaire dans le SAIGM soient exactes. On a en outre observé que les marchandises sontconservées dans des cages fermées à clé jusqu’à leur envoi aux divisions clientes.

Lors d’un contrôle visant à établir l’existence physique des biens de l’échantillon,. il n’a pas été possible de remonter jusqu’à l’emplacement de certains biens. Il y a eu dix cas où l’emplacement précisé dans le SAIGM était inexact, mais des recherches plus poussées ont permis à l’équipe de vérification de trouver les biens. Toutefois, dans le cadre du contrôle de vérification portant sur l’existence physique des biens, on n’a pas été en mesure de retrouver 15 de 93 biens (16 %) à partir de l’information contenue dans le SAIGM. Les raisons suivantes ont été données pour expliquer la chose:

• les biens ont fait l’objet d’un dessaisissement;
• les biens ne faisaient pas partie du champ de la vérification, parce qu’ils se trouvaientà l’extérieur du bureau central et de la région de la capitale nationale ou que la date d’achat était antérieure au 1^er avril 2001;
• les biens étaient utilisés à ce moment (un véhicule et deux remorques).

La vérification a mis en lumière des problèmes liés au rapprochement de ces 15 biens avec lesfactures d’origine.

On ne peut garantir l’intégralité de l’inventaire des biens et la sécurité de ces derniers s’il n’est pas possible de faire des rapprochements entre l’exigence physique des biens et l’information du système de gestion de l’inventaire.

Il incombe au client d’informer la section du contrôle de la qualité et de la gestion des biens lorsqu’il est nécessaire de mettre à jour l’information relative à l’emplacement d’un bien dans le SAIGM.

Certains employés de Statistique Canada commandent et achètent des biens pour le compte d’employés et de divisions. Bien qu’il ne s’agisse pas à l’heure actuelle d’une exigence, certains de ces employés – mais pas tous – tiennent des listes détaillées faisant état de l’endroit auquelont été imputés les biens commandés.

Les divisions responsables de l’achat de biens et de leur imputation à de multiples utilisateurs pourraient juger bon de tenir une base de données de suivi afin de faire des rapprochements périodiques avec le SAIGM.

Recommandation 2

La section du contrôle de la qualité et de la gestion des biens devrait procéder à une prise d’inventaire annuelle pour fins de rapprochement des biens avec l’information contenue dans le Système automatisé d’information sur la gestion du matériel. L’information du SAIGMconcernant l’emplacement des biens devrait être tenue à jour.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

Il n’y a pas de procédure officielle de prise d’inventaire par l’unité de la gestion des biens en vue du rapprochement des biens et de l’information contenue dans le SAIGM; cette unité, de concert avec le client, effectuera une telle prise d’inventaire en vue du rapprochement de tous les biens avec l’information du SAIGM, conformément à l’article 9.1 de la Politique sur la gestion du matériel du Conseil du Trésor.

Dans le but d’assurer que des rapprochements soient effectués, la DSSI:

• examinera les politiques du CT ainsi que les instruments rattachés à la LGFP qui ont trait à la prise d’inventaire et aux rapprochements portant sur les biens en inventaire;
• déterminera les types de vérification à effectuer;
• définira les responsabilités reliées à la prise d’inventaire;
• établira les processus de prise d’inventaire et de rapprochement;
• déterminera les modalités relatives aux compensations et aux radiations;
• évaluera la documentation relative à la prise d’inventaire et à la vérification des comptes;
• déterminera la fréquence des prises d’inventaire et des rapprochements ainsi que la procédure à suivre;
• établira les calendriers de prise d’inventaire et de rapprochement dans le cas de biens spécialisés (immobilisations);
• évaluera les rapports produits à partir du SAIGM.

Responsabilités et échéanciers

DSSI – Rapprochement effectué en 2008.

DSSI/chef d’unité, gestion des biens – Procédures pour la prise d’inventaire, les compensations et les radiations – Décembre 2009.

Recommandation 3

La Division des services de soutien intégrés devrait élaborer des pratiques opérationnelles pour garantir que les divisions et les clients informent la section du contrôle de la qualité et de la gestion des biens de toute opération devant donner lieu à une mise à jour du Système automatisé d’information sur la gestion du matériel, incluant le transfert de biens vers un emplacement différent.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

La réponse de la DOSGF concernant la recommandation 5 a également trait à toute la question du rapprochement des factures.

Les clients étaient en mesure de mettre à jour l’information du SAIGM sur l’emplacement des biens ou de présenter une demande à l’unité de la gestion des biens par l’entremise du Système de GDS pour faire effectuer cette mise à jour, mais on a maintenant établi une procédure exigeant que le client informe, au moyen du Système de GDS, l’unité de la gestion des biens de tout changement touchant l’information sur les biens (emplacement, personne-ressource, description, etc. ).

Un communiqué sera diffusé pour informer les clients que le site Web a été mis à jour.

Responsabilités et échéanciers

DSSI – Directive et communiqué – Juillet 2009.

3. Obtention des autorisations requises

Les biens immobilisés doivent être autorisés, acquis et payés à l’aide d’un mécanisme efficace dedélégation de pouvoirs.

Dans l’ensemble, on faisait une distinction adéquate entre les pouvoirs prévus par les articles 32, 33 et 34 de la LGFP relativement à toutes les opérations examinées. Le contrôle des approbations fondées sur la délégation des pouvoirs de signature en matière de finances a révélé plusieurs cas où les cartes de spécimen de signature n’étaient pas valides. Plus précisément, sur un échantillonde 84 enregistrements:

• dans 21 cas, le signataire en vertu de l’article 32 ne disposait pas d’une carte de spécimen de signature valide à la date de l’achat ou au regard du centre de responsabilité financière (CRF) auquel l’achat était imputable;
• dans quatre cas, le signataire en vertu de l’article 34 ne disposait pas d’une carte de spécimen de signature valide à la date de l’achat ou au regard du CRF auquel l’achat était imputable;
• dans deux cas, le signataire en vertu de l’article 33 ne disposait pas d’une carte de spécimen de signature valide à la date de l’achat ou au regard du CRF auquel l’achat était imputable.

Au cours de la vérification, on a observé des cas où la carte de spécimen de signature ne correspondait pas aux pouvoirs délégués à l’employé dans les faits ni à l’information figurantdans le système de délégation des pouvoirs de signature en matière de finances.

En l’absence d’élément probant pour garantir l’exercice de pouvoirs dûment délégués, il existera un risque que des fonds soient utilisés de façon non autorisée.

Statistique Canada ne dispose pas encore d’une procédure d’achat de fournitures de bureau pour définir les achats qu’un signataire est fondé à effectuer.

Il était très difficile de retrouver les factures d’origine archivées et les documents justificatifs connexes. Au départ, environ 45 % des factures d’origine étaient manquantes. Un examen plus approfondi des factures archivées a permis aux vérificateurs de retracer certaines factures qui avaient été mal classées. À la fin de cet examen, il manquait encore 20 des 55 factures (36 %). Du fait que les factures d’origine sont conservées par leurs auteurs à l’intérieur de l’organisme, la DOSGF escompte que ces derniers seront disposés à lui transmettre ces factures à la fin de l’exercice. Ce système n’est pas efficace et devrait être modifié. On recommande aussi que la DOSGF dispose des reçus d’origine aux fins des autorisations en vertu de l’article 33.

Recommandation 4

La Division des opérations et des systèmes de gestion financière devrait veiller à ce que les employés comprennent et appliquent les procédures de vérification des signatures pourl’application des articles 32, 33 et 34.

La Division des opérations et des systèmes de gestion financière devrait examiner périodiquement les cartes de signature pour vérifier qu’elles concordent avec les autorisations énoncées dans la matrice de délégation des pouvoirs de signature en matière de financesrelativement à chaque poste à Statistique Canada; elle devrait aussi veiller à ce qu’il existe desprocédures de vérification des signatures pour l’application des articles 32, 33 et 34, et à ce queces procédures soient respectées.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

La DOSGF a offert récemment une formation à tous les employés auxquels des pouvoirs sont délégués afin que tous comprennent et appliquent de façon uniforme les procédures relatives aux articles 32, 34 et 33; cette activité s’est déroulée d’octobre 2008 à mars 2009. Tous les employés peuvent maintenant suivre en tout temps cette formation.

La DOSGF a examiné toutes les cartes de signature, et elle procédera sur une base annuelle à laconfirmation de ces cartes pour en assurer l’exactitude.

Responsabilités et échéanciers

DOSGF – Formation – Activité achevée en avril 2009

D. Bain – Examen des cartes de signature – Activité achevée en avril 2009

Recommandation 5

La Division des opérations et des systèmes de gestion financière devrait établir une procédure révisée afin de garantir que l’on dispose des factures d’origine préalablement à l’exercice du pouvoir d’autorisation prévu à l’article 33 de la LGFP. Cette nouvelle procédure devrait faire l’objet d’un suivi dans le but de vérifier qu’elle est appliquée comme il se doit.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

La DOSGF a mis en place une nouvelle procédure de gestion des documents en janvier 2009. Tous les documents (sauf dans le cas des déplacements régionaux) se rapportant au bureau central et aux bureaux régionaux seront conservés dans un emplacement central. La DOSGF veillera à ce que les documents entreposés soient classés correctement afin qu’il soit possible de les consulter subséquemment.

Responsabilités et échéanciers
DOSGF – Procédure de gestion des documents – Tâche menée à bien en janvier 2009

4. Traitement approprié des opérations dans une perspective comptable

Les opérations comptables doivent être traités comme il se doit; y compris l’établissement de la valeur d’un bien, du coût à engager pour apporter des améliorations, de l’amortissement et de ladurée de vie utile estimative d’une immobilisation.

Dans le but de documenter la durée de vie utile des biens, un contrôle de vérification a été effectué afin d’évaluer l’observation de la Norme comptable 3.1 du Conseil du Trésor – Immobilisations. L’une des lignes directrices énoncées dans cette norme consiste à préciser la durée de vie utile estimative par catégorie de biens. Le contrôle a permis de constater que les dispositions de la Norme comptable 3.1 sont généralement appliquées (se reporter également à la section 2.5 du présent rapport).

Dans le cadre de l’évaluation préliminaire des opérations de la DOSGF, les vérificateurs ont examiné des rapports et ont confirmé que la DOSGF dispose d’un système documenté de suivi de l’information concernant la valeur, l’amortissement, l’amélioration, la réduction de valeur et la durée de vie estimative des biens. On a aussi pu confirmer que les biens pris individuellement étaient dûment amortis la plupart du temps et que leur cession était effectuée de la manièreappropriée.

De plus, l’une des lignes directrices que comporte la Norme comptable 3.1 précise qu’il faut établir la durée de vie utile estimative pour certaines catégories de biens.

Aux termes de la Norme comptable 3.1, il est possible de grouper des biens pour fins de capitalisation et d’amortissement; pour sa part, Statistique Canada a choisi de grouper des achats déterminés de moins de 10 000 $ si la valeur totale du groupe de biens est supérieure à 1 million de dollars. Les catégories de biens que l’on groupe pour fins de capitalisation sont les écrans, les ordinateurs de bureau, les ordinateurs portatifs, les commutateurs de communication, les imprimantes laser externes et les lecteurs de disque dur externes. Si un achat est inférieur à 10 000 $ et que le bien acheté n’entre pas dans l’une des catégories dont les biens sont groupés, l’achat est passé en charges. La vérification a permis de constater que tous les biens étaient classés comme il se doit entre biens groupés et bien individuels.

Chaque mois, l’information sur les achats et les cessions est extraite du SAIGM par la DOSGF, et des rajustements sont apportés aux groupes. La DOSGF procède manuellement au calcul de l’amortissement des biens groupés, car le SAIGM ne comporte pas cette fonction. Ce calcul est examiné par le chef de la section des états financiers (DOSGF); par la suite, la pièce de journal est approuvée par le chef des opérations comptables (DOSGF), conformément à l’article 33 de la LGFP.

L’examen de l’échantillon de vérification a montré que 22 des 38 biens (57,8 %) avaient été passés en charge alors qu’ils auraient pu faire l’objet de groupements aux fins de capitalisation. Du fait que l’information sur les achats et les cessions n’est extraite que sur une base mensuelle, il peut arriver que certains biens ne soient pas groupés aux fins de capitalisation parce que les données saisies dans le SAIGM sont antidatées.

Le rapprochement des biens groupés avec le SAIGM et le SFMC pourrait permettre de repérer des biens qui devraient être capitalisés plutôt que passés en charge.

Les recommandations relatives aux sections 2.4 et 2.5 ont été regroupées et sont présentéesci-après.

5. Conformité à la Norme comptable du Conseil du Trésor

Conformément à la Norme comptable 3.1, la durée de vie utile estimative d’une immobilisation doit être réévaluée périodiquement et être révisée lorsqu’il est démontré clairement qu’unemodification est de rigueur. Il existe des mesures, par exemple la gestion du cycle de vie, qui permettent de s’assurer qu’il existe des procédures à Statistique Canada pour faire rapport sur lesimmobilisations conformément à la norme du SCT.

Durant la période considérée, la DOSGF n’a pas effectué d’examen de la durée de vie estimative, et elle ne dispose pas non plus de critères relatifs à la cession des immobilisations. Par contre, les vérificateurs remarquent que la DOSGF élabore actuellement des procédures en vue de l’examen de la durée de vie estimative des biens.

Le chef de la section de l’infrastructure et du soutien des RL a indiqué qu’il incombe aux divisions de faire le suivi des biens, de déterminer le moment de leur cession et d’informer l’administrateur de RL. Il n’existe pas actuellement de critères relatifs à la cession des biens. Les divisions peuvent se départir de biens si ceux-ci sont brisés et ne peuvent être réparés, ou si le temps est venu de les remplacer, ce qui pourra varier selon l’emplacement et la fonction.

Recommandation 6

La Division des opérations et des systèmes de gestion financière devrait effectuer périodiquement le rapprochement des données sur les biens pouvant être groupés aux fins de capitalisation dans le Système automatisé d’information sur la gestion du matériel avec les données sur les biens qui sont capitalisés de façon regroupée et qui sont amortis dans le SFMC. La Division des opérations et des systèmes de gestion financière devrait examiner périodiquement la durée de vie estimative des biens admissibles.

Réponse de la direction et plan d’action

La direction accepte la recommandation.

La DOSGF effectuera la validation de tous les biens devant être groupés à la fin de l’exercice afin de vérifier que tous les biens antidatés sont comptabilisés de la façon appropriée. Au besoin, un rajustement final sera apporté au compte des biens groupés. La DOSGF comparera unrapport produit par le SAIGM et le rapport manuel préparé par la DSSI À la fin de l’exercice, la DOSGF vérifiera si la durée de vie utile indiquée est exacte.

Responsabilités et échéanciers

DOSGF – Comptabilisation des biens antidatés et vérification de la durée de vie utile – Tâchemenée à bien en avril 2009

Recommandation 7

La Division des services de soutien intégrés devrait fournir une orientation claire aux employés qui entrent des données antidatées concernant des biens, et elle devrait fournir chaque mois uneliste de ces biens à la Division des opérations et des systèmes de gestion financière.

La Division des services de soutien intégrés devrait aussi fournir une orientation claire aux employés concernant la cession des biens (y compris au sujet des critères servant à établir laraison de la cession).

Réponse de la direction et plan d’action

La direction accepte la recommandation.

Dans le but d’éviter toute rupture dans la séquence des enregistrements, la DSSI:

• examinera les pratiques relatives aux biens antidatés;
• élaborera des procédures opérationnelles normalisées concernant les biens antidatés et les procédures à suivre pour le traitement de ces biens;
• assurera une liaison avec le bureau d’aide du SAIGM au sujet des rapports;
• élaborera des instructions de concert avec la DOSGF;
• informera les employés de l’unité de la gestion des biens dont les responsabilités englobent le codage au sujet des modifications apportées aux lignes directrices;
• surveillera l’application des nouvelles lignes directrices pendant une période de six mois pour garantir que tous les employés les appliquent correctement.
• Un communiqué sera diffusé pour informer les clients que le site Web a été mis à jour.

La DSSI a mis de l’avant des procédures provisoires afin de fournir une orientation claire au personnel responsable de la saisie des données et pour veiller à ce que les biens antidatés soientcomptabilisés comme il se doit.

La DSSI examine les procédures internes et formulera une orientation claire concernant la cession des biens, notamment en ce qui touche les critères servant à définir la raison de lacession.

Dans le but de garantir l’exhaustivité de la procédure de cession de biens, la DSSI:

• examinera les pratiques régissant actuellement la cession des biens;
• assurera une liaison avec le bureau d’aide du SAIGM pour garantir une utilisation uniforme des codes de cession;
• élaborera des instructions, de concert avec les parties prenantes;
• communiquera l’information pertinente par écrit à tous les employés de l’unité de la gestion des biens qui remplissent des fonctions reliées à la cession de biens.

Plus précisément, la DSSI:

• élaborera des procédures opérationnelles normalisées de cession des biens, notamment :
• la définition des biens excédentaires;
• la cession des biens excédentaires – Groupe de distribution des biens de la Couronne (GDBC) et programme Ordinateurs pour les écoles;
• la préparation de rapports sur les biens excédentaires;
• les pouvoirs d’approbation des cessions de biens;
• le matériel mis au rebut;
• la garde des biens déclarés excédentaires;
• le dessaisissement de biens excédentaires visés par la réglementation régissant l’accès et le transfert à l’égard de la technologie contrôlée;
• les instructions de cession spéciales;
• la surveillance de l’application des nouvelles lignes directrices pendant une période de six mois afin de s’assurer que tous les employés appliquent correctement ces lignes directrices.
• Un communiqué sera diffusé pour informer les clients que le site Web a été mis à jour.

Responsabilités et échéanciers

DSSI/gestion des biens – Procédure relative aux biens antidatés, rapport de surveillance et communiqué – Mars 2010

DSSI – Procédure provisoire visant les biens antidatés – Tâche menée à bien en mai 2009

DSSI – Procédure – Tâche menée à bien en juillet 2009

DSSI/gestion des biens – Pratiques révisées – Décembre 2009

DSSI/gestion des biens – Procédure de cession des biens – Mars 2010

 Annexe A: Critères et contrôles connexes

 

Note

 

1. On parle aussi de biens durables.
2. Au moment où s’est déroulée la vérification, ce cadre était encore à l’état d’ébauche. Il a été approuvé le 2 mars 2009.

Rapport final
Approuvé par le Comité de la vérification interne, le 10 octobre 2007

Division de la vérification interne
Juin 2007

• Énoncé du vérificateur
• Introduction
  • Contexte
  • Objectifs
  • Portée
  • Critères
• Méthodologie
• Constatations et recommandations
  • Paie
  • Recommandations relatives à la paie
  • Enquête de sécurité sur le personnel
  • Recommandations relatives à l'enquête de sécurité sur le personnel
  • Surveillance de l'ATR
  • Recommandations relatives à l'ATR
• Conclusion
• Annexe A – Plan d'action de la direction

Énoncé du vérificateur

Nous avons effectué une vérification du Recensement de 2006 du point de vue de certaines pratiques de sécurité, administratives et d’assurance de la qualité. Les objectifs étaient les suivants : s’assurer que la paie est traitée de façon exacte et ponctuelle, conformément aux lois, aux politiques et aux procédures établies; s’assurer que les enquêtes de sécurité sur le personnel nouvellement recruté pour le recensement en vertu de la Loi sur la statistique, sont menées conformément à la Politique du gouvernement sur la sécurité (2002) et la Norme sur la sécurité du personnel (1994); s’assurer que ces employés prêtent le serment professionnel¹ en vertu de la Loi sur la statistique et qu’ils ont obtenu une cote de fiabilité avant d’avoir accès à un ordinateur connecté à un réseau de Statistique Canada; s’assurer des contrôles de gestion efficaces relatives à la surveillance des téléphonistes de l’Assistance téléphonique du recensement (ATR) qui répondent au grand public canadien ou qui communiquent avec eux pour obtenir de l’information dans le cadre d’un suivi des questionnaires rejetés au contrôle.

Les principales activités ont porté sur la visite de dix sites sur le terrain ayant fait partie du Rencensement de 2006, où l’on a examiné un échantillon de dossiers, questionné certains fonctionnaires sur chaque site, examiné des documents et, dans le cas des trois sites de l’ATR, administré un questionnaire aux surveillants.

La paie a été traitée de façon exacte, la plupart du temps conformément aux lois, aux politiques et aux procédures établies. Par contre, les paiements aux employés n’ont pas toujours été versés de façon ponctuelle, car la rationalisation et le rajustement de certains contrôles étaient nécessaires pour établir la preuve d’une diligence raisonnable.

Les enquêtes de sécurité sur les nouveaux employés recrutés en vertu de la Loi sur la statistique pour le recensement rencontrent la majorité des exigences de la Politique du gouvernement sur la sécurité (2002) et la Norme sur la sécurité du personnel (1994). Des vérifications de fiabilité ont été menées avant que les employés ne commencent à travailler, cependant des améliorations doivent être apportées à certains outils et procédures en prévision des opérations sur le terrain du Recensement de 2011. Les employés ont prêté le serment professionnel en vertu de la Loi sur la statistique et avaient obtenu leur cote de fiabilité avant d’avoir accès à un ordinateur connecté à un réseau de Statistique Canada.

Dans l’ensemble, des contrôles de gestion étaient en place pour surveiller les téléphonistes de l’ATR qui répondaient au grand public canadien ou qui communiquaient avec eux pour obtenir de l’information dans le cadre d’un suivi des questionnaires rejetés au contrôle. Cependant, leur efficacité devrait être améliorée.

Ces conclusions se fondent sur l’évaluation des constatations par rapport aux critères définis et acceptés par le Comité de vérification interne le 5 avril 2006; elles reflètent le travail de vérification mené principalement en juin et en juillet 2006.

Selon moi, un travail de vérification suffisant et convenable a été accompli, et les preuves recueillies soutiennent les conclusions contenues dans le présent rapport de vérification.

Francine Hardy, directrice, Division de la vérification interne.

Introduction

Gén 1. Le recensement du Canada constitue le plus grand projet statistique au pays. Tous les cinq ans, le recensement recueille des renseignements sur l’ensemble de la population du Canada. Ces renseignements sont utilisés pour déterminer la représentation à la Chambre des communes, calculer les transferts fiscaux, et élaborer et surveiller des programmes sociaux et d’autres programmes des gouvernements fédéral, provinciaux et municipaux au pays². Le 16 mai 2006 a été un jour de recensement et a exigé un immense effort de collecte et de traitement pour manipuler les questionnaires envoyés à plus de 13 millions de logements. Environ 25 000 employés temporaires ont dû être recrutés, des espaces de travail ont dû être aménagés pour eux ou pour offrir du soutien administratif.

Contexte

Gén 2. L’embauche d’un grand nombre d’employés temporaires pendant une très courte période, dont bon nombre d’entre eux étaient nouveaux à Statistique Canada, a donné lieu à des défis, car il fallait s’assurer que chacun respecte les pratiques en matière de sécurité, que les employés soient payés de façon exacte et rapide et que le travail accompli soit de grande qualité. Statistique Canada réussit à entretenir sa réputation et la confiance des Canadiens lorsque les normes de sécurité sont respectées, que les pratiques administratives sont empreintes d’une diligence raisonnable et que des services de grande qualité sont offerts aux répondants.

Gén 3. Statistique Canada a apporté d’importants changements à ses activités de collecte et de traitement de données du recensement depuis 2001, dont le recours à des sous‑traitants qui fournissent les systèmes principaux. L’organisme a pris des mesures sans précédent pour s’assurer que les systèmes mis sur pied par les sous‑traitants étaient sécuritaires. Par exemple, on a mis sur pied un groupe d’étude indépendant pour surveiller trois évaluations indépendantes. Une partie de ce travail comprenait une inspection physique des sites d’assistance téléphonique de recensement de Toronto, d’Edmonton et de Moncton. Statistique Canada a mené des évaluations de sécurité internes et accordé un contrat visant l’inspection de sécurité du Centre de traitement des données (CTD). Ainsi, cette vérification s’est concentrée sur un autre élément de sécurité – l’enquête de sécurité sur le personnel. Les Canadiens s’attendent à ce que quiconque recueille ou traite les renseignements fournis dans le cadre du recensement détienne la cote de fiabilité exigée pour tous les employés du gouvernement. Bien qu’il y ait une faible probabilité qu’un incident survienne auprès d’un employé n’ayant pas fait l’objet d’une vérification, l’incidence éventuelle sur la réputation de Statistique Canada pourrait être grande.

Gén 4. Dans le passé, une assistance téléphonique directe a été offerte aux répondants dans le cadre du recensement. Pour 2006, ces services ont été élargis. De 250 à 350 téléphonistes ont non seulement offert de l’assistance générale aux appelants à chacun des trois sites, mais ils ont également communiqué avec les répondants pour effectuer un suivi des questionnaires rejetés au contrôle³. Ces téléphonistes constituent une part importante de la facette publique du recensement, et les services professionnels touchant les répondants sont importants – qu’ils soient liés aux appels du public ou à ceux que les téléphonistes font aux répondants. Les Canadiens méritent des échanges de grande qualité avec Statistique Canada et s’y attendent. En retour, cela a des retombées sur la réputation et la réussite de l’organisme. La surveillance de cette activité était une fonction planifiée de supervision qui a exigé des efforts et de la diligence, particulièrement en raison de la courte période de référence et des employés temporaires participant à une opération de grande envergure telle que le recensement.

Gén 5. Le processus de paie doit donner lieu à des paiements exacts et rapides – une tâche compliquée par le grand nombre de personnes embauchées pendant une courte période pour travailler, dans la plupart des cas, quelques semaines seulement. Le risque supplémentaire ainsi créé est accru par le fait que les employés ne sont pas fonctionnaires et ne sont donc pas payés su moyen des systèmes existants. Pour ce recensement, Statistique Canada a mis sur pied un nouveau système de paie visant les employés temporaires.

Gén 6. Ainsi, le but de cette vérification est de fournir à la direction de Statistique Canada une évaluation de l’exactitude et de la rapidité d’exécution des processus de paie, des enquêtes de sécurité sur le personnel et des contrôles de gestion de la qualité des services offerts par les téléphonistes de l’ATR.

Objectifs

Concernant la paie

1. Gén 7. S’assurer que la paie est traitée de façon exacte et rapide, conformément aux lois, aux politiques et aux procédures établies.

Concernant la sécurité

1. Gén 8. S’assurer que les enquêtes de sécurité des nouveaux employés recrutés en vertu de la Loi sur la statistique pour le recensement sont menées conformément à la Politique du gouvernement sur la sécurité (2002) et à la Norme sur la sécurité du personnel (1994), que ces employés prêtent le serment professionnel⁴ en vertu de la Loi sur la statistique et obtiennent une cote de fiabilité avant d’avoir accès à un ordinateur connecté à un réseau de Statistique Canada (source : Manuel des pratiques de sécurité de Statistique Canada, chapitre 5).

Concernant les bureaux d’assistance téléphonique du recensement

1. Gén 9. Assurer des contrôles de gestion efficaces relatifs à la surveillance des téléphonistes de l’ATR qui répondent au grand public du Canada ou qui communiquent avec eux pour obtenir de l’information dans le cadre d’un suivi des questionnaires rejetés au contrôle.

Portée

Gén 10. Pour ce qui est des objectifs relatifs aux enquêtes de sécurité sur le personnel et à la paie, la portée s’applique aux employés temporaires embauchés dans le cadre du recensement pour mener des opérations sur le terrain⁵ en vertu de la Loi sur la statistique.

Gén 11. Seuls certains aspects de la Norme sur la sécurité du personnel ayant trait à l’enquête de sécurité au moment de l’embauche des employés seront évalués, et non les autres sections, par exemple celles liées aux mises à jour, à l’élimination des dossiers et à la cessation d’emploi.

Critères

Paie
Gén 12. Nous nous attendions à trouver que :

• le paiement des salaires et des traitements était exact et actuel;
• les rôles et responsabilités étaient été clairement définis;
• des contrôles appropriés étaient en place.

Sécurité
Gén 13. Pour ce qui est de l’objectif sur l’enquête de sécurité sur le personnel, nous nous attendions à trouver :

• un programme d’enquête de sécurité en place, conforme à la Politique du gouvernement sur la sécurité (2002) et à la Norme sur la sécurité du personnel (1994) lors de l’embauche d’employés pour le recensement en vertu de la Loi sur la statistique;
• que les vérifications nécessaires avaient été autorisées, consenties et menées avant l’entrée en poste des employés;
• qu’un serment ou une affirmation d’office et de discrétion avait été signé en vertu de la Loi sur la statistique;
• qu’un code d’utilisateur avait été obtenu de façon appropriée après l’octroi d’une cote de fiabilité.

Surveillance des téléphonistes de l’ATR
Gén 14. Nous nous attendions à trouver que :

• les téléphonistes avaient reçu une formation adéquate;
• les surveillants avaient effectué une surveillance, tel que prévu;
• les évaluations avaient été conservées convenablement dans les dossiers personnels (conformément au Manuel des pratiques de sécurité de Statistique Canada);
• les gestionnaires détenaient des contrôles efficaces pour évaluer les résultats de la surveillance;
• des mesures appropriées avaient été prises lorsque les résultats étaient inacceptables;
• des mesures de gestion étaient en place pour répondre aux plaintes du public à l’égard des téléphonistes.

Méthodologie

Gén 15. Dix sites ont fait l’objet d’une visite entre le début juin et la mi‑juillet 2006. Huit d’entre eux étaient des bureaux locaux du recensement : Dartmouth, Québec, Trois‑Rivières, Montréal, Whitby, Sudbury, Hamilton et Edmonton, auxquels s’ajoutaient les trois sites d’assistance téléphonique du recensement situés à Moncton, à Toronto et à Edmonton. Celui d’Edmonton a été traité comme un site à deux composantes. Pour chaque site, un échantillon aléatoire des employés visés a été choisi selon l’information sur l‘enquête de sécurité sur le personnel fournie par le Projet des opérations sur le terrain (POT) en mai 2006, auquel une transaction de paie choisie au hasard a été attribuée. Des mises en lot des demandes de paie dans lesquelles ces transactions étaient regroupées à des fins de transmission à Travaux publics et Services gouvernementaux Canada ont également été sélectionnées. Les échantillons prélevés sur le site ont été augmentés en ajoutant quelques cas choisis par le vérificateur.

Gén 16. Pour ce qui est des enquêtes de sécurité sur le personnel, 1 375 cas ont été examinés, alors qu’il y en a eu 1 315 pour la paie. Trois cent vingt cas de téléphonistes de l’ATR ont été vérifiés.

Gén 17. À l’aide des échantillons, la documentation connexe a été vérifiée : dans le cas de l’enquête de sécurité sur le personnel, il s’agissait des formulaires de vérification de consentement et d’autorisation (Formules 26B); pour la paie, les formulaires de paie relatifs aux transactions sélectionnées et les lots de paie dans lesquels elles ont été regroupées pour traitement ultérieur; et, pour la surveillance de l’ATR, les formulaires de rétroaction sur la surveillance et l’observation, appelées ultérieurement Formule 87.

Gén 18. Dans le cas de la paie on a également fait une analyse du Système financier ministériel commun (SFMC), des demandes relatives au système de paie du recensement et des dates de paiement. Cette analyse a servi principalement à étudier l’aspect de la rapidité d’exécution du processus de paie. Au total, 311 000 paiements ont fait partie de l’étude.

Gén 19. Le site d’assistance téléphonique du recensement de Moncton a été le premier à faire l’objet d’une visite au début juin, et a servi de site pilote. Étant donné que c’était tôt par rapport à l’objectif de l’ATR, une entrevue de suivi a eu lieu avec le gestionnaire du site en août 2006. Même avec un site pilote, des adaptations ont dû être apportées à la méthodologie en fonction des circonstances locales, particulièrement pour atteindre l’objectif de l’ATR. Par exemple, à Edmonton, les Formules 87 n’ont pas été gardées dans les dossiers personnels⁶ tel que prévu, mais organisées dans des classeurs, selon le prénom – tous les dossiers de « A » à « D » ont été mis ensemble, non triés. À Toronto, les dossiers ont été remis, de façon appropriée, au surveillant, et quelques‑uns n’étaient pas disponibles lors de notre visite sur le site. Ainsi, la taille de l’échantillon a été réduite et la capacité de juger de la fréquence de la surveillance a été plus limitée que prévu, particulièrement à Edmonton, où les événements de surveillance enregistrés étaient limités à un maximum de quatre par téléphoniste.

Gén 20. La vérification de la documentation a été complétée par l’examen des documents, des entrevues et, dans le cas des sites de l’ATR, un questionnaire qu’on a fait compléter par les surveillants des téléphonistes des ATR de remplir. On leur a demandé de dire s’ils étaient d’accord ou en désaccord avec des énoncés portant sur les outils de surveillance utilisés.

Constatations et recommandations

Gen 21. Le tableau 1 de la page suivante présente un aperçu des résultats de la vérification pour les trois objectifs. Après le tableau, des constatations détaillées sont présentées en trois sections, et des recommandations relatives à chaque objectif se trouvent à la fin de chacune des sections.

Tableau 1 : Aperçu des résultats de la vérification (V=vert, pour OK; J= jaune, pour attention)

Critères	Résultat	Note	Évaluation du risque résiduel7
			Probabilité	Incidence
Paie
Contrôles appropriés en place	Entièrement conforme	V	F	F
Rôles et responsabilités définis	Généralement conforme	V	F	F
Paiement du salaire exact et actuel	Partiellement conforme	J	M	M
Enquête de sécurité sur le personnel
Serment prêté en vertu de la Loi sur la statistique	Fait de façon uniforme sur tous les sites	V	F	F
Programme en place	Des procédures existent, notamment lorsque des résultats négatifs surviennent; l’information est gardée en sécurité et les employés sont au courant. Des améliorations sont nécessaires pour mettre en œuvre un formulaire d’information et améliorer les procédures relatives au formulaire de consentement et d’autorisation, en mettant l’accent sur ceux qui sont autorisés à accorder la cote. L’évaluation des impacts importants reconnaît un risque sérieux pour la réputation, dans le pire des scénarios, si un employé n’a pas été bien vérifié ou en cas d’incident.	J	F	É
Consentement donné, vérifications faites et autorisées	Généralement OK; manque de cohérence à propos de l’autorisation sur certains sites qui découle des procédures, tel que mentionné précédemment.	V8	F	F
Code d’utilisateur donné après l’achèvement de l’enquête de sécurité	Vérification de la cote de fiabilité effectuée de façon actuelle, de sorte que les employés engagés en vertu de la Loi sur la statistique devant accéder à un réseau de Statistique Canada (surtout ceux des sites de l’ATR) étaient prêts à recevoir un code d’utilisateur. Procédures appropriées en place.	V	F	F
Surveillance de l’ATR
Téléphonistes formés	Téléphonistes adéquatement formés.	V	F	F
Surveillance des surveillants	Possibilité d’améliorer la surveillance; l’objectif d’observation « d’une fois par semaine » des Formules 87 n’a pas été atteint.	J	M	F
Contrôles efficaces	Les gestionnaires ont effectué des contrôles, mais il y aurait lieu de les améliorer, p.ex. quantifier l’information sur l’étendue	J	M	F
Mesures appropriées prises	Les surveillants et les gestionnaires ont traité les résultats inacceptables lorsqu’ils les ont repérés	V	F	F
Plaintes traitées	Pratiques de gestion en place pour les traiter	V	F	F
Évaluations gardées en sécurité	Les évaluations de la surveillance des Formules 87 ont été rangées dans des dossiers qui ne respectent pas les normes de Statistique Canada	J	F	F

Paie

1. Contrôles et processus adéquats pour assurer l’exactitude
   Paie 1. En général, les contrôles et les processus ont été jugés adéquats pour assurer l’exactitude des transactions de paie. Par exemple, nous avons remarqué que des processus étaient en place pour saisir les trop‑perçus. Ces derniers étaient rares; ils étaient récupérés à même le chèque de paie à venir de l’employé, ou directement auprès de la personne si elle n’était plus employée. Nous nous attendions à ce résultat.

2. Rôles et responsabilités clairement définis dans la plupart des cas
   Paie 2. Dans la plupart des cas, les rôles et les responsabilités étaient clairement définis. Par exemple, les articles 33 et 34 ainsi que les paiements d’urgence ont été effectués de façon appropriée. Par contre, un formulaire de paie (Formule 1C) introduite au cours du processus de paie ne comprenait pas tous les contrôles compris dans les autres formulaires. Selon le Bureau de gestion de recensement, l’utilisation de formulaire sera abandonnée. On a relevé un problème en ce qui a trait aux commis de paie qui effectuaient leur propre vérification; mais, grâce aux autres contrôles en place, tels que le rapprochement, le risque a été atténué.

3. Cartes de signature non utilisées
   Paie 3. Les cartes de signature des surveillants et du personnel de niveau supérieur n’étaient pas utilisées par le personnel de la paie. Ces cartes étaient soit rangées dans le dossier personnel de l’employé, soit envoyées au bureau régional, soit simplement non remplies, de sorte que le personnel de la paie n’avait aucun spécimen de signature pour confirmer la véritable signature. Les gestionnaires de quelques bureaux locaux de recensement ont indiqué que le personnel de la paie était devenu habitué avec la signature des autorités appropriées, mais cela ne constitue pas un bon contrôle. Les cartes de signature n’étaient pas utilisées, principalement parce qu’on comprenait mal leur utilité, mais également pour des raisons opérationnelles, telles que le nombre de cartes à récupérer et à analyser et les contraintes de temps. Le risque de fraude constitue une incidence éventuelle liée à la non‑utilisation des cartes de signature. Ce risque, par contre, est grandement atténué par les autres contrôles en place, tels le rapprochement, la vérification des commis de la paie et la reconnaissance des signatures. Si l’approbation électronique des formulaires n’est pas instaurée pour le Recensement de 2011, un ensemble complet de signatures devra être fourni au personnel de la paie.

4. Certaines signatures sont manquantes, mais peuvent être redondantes
   Paie 4. Sur la majorité des formulaires de demande de paie – environ les trois quarts – il manquait au moins une date de signature, par exemple les dates accompagnant la signature de l’agent recenseur, celle du surveillant ou celle du surveillant des opérations sur le terrain (au besoin), ainsi que la vérification du commis de la paie. Dans les cas où les dates étaient présentes aux diverses étapes du processus, l’enchaînement des opérations était adéquat. Environ le tiers des Formules 33⁹ n’était pas signé par les surveillants, certaines en raison de la distance entre les agents recenseurs et les surveillants ou de la confiance vouée au formulaire quotidien d’état récapitulatif de la paie (Formule 32) qui était signée par les surveillants. L’incidence découlant de la non‑signature des formulaires de demande de paie par les surveillants est le risque éventuel de fraude. Par contre, comme les Formules 32 étaient signées par les surveillants, le risque de fraude était certainement réduit de manière significative. La nécessité, pour les surveillants, de signer le formulaire de demande de paie et le formulaire d’état récapitulatif de la paie (Formule 32) peut être redondante ou, du moins, jugée ainsi; cela peut avoir contribué à l’absence des signatures sur la Formule 33. Cette question de redondance devrait être examinée pour assurer de meilleurs contrôles des demandes de paie.

5. La rapidité d’exécution pourrait être mieux contrôlée
   Paie 5. Lorsque nous avons analysé la rapidité d’exécution, nous nous sommes penchés sur 311 000 demandes de paiement. Nous avons constaté que le guide de paie prévoyait un délai de paiement de deux semaines après la période de travail. Par contre, les employés, en raison de leurs conditions de travail, s’attendaient à recevoir leur chèque de paie dans un délai de trois semaines suivant la période de travail. C’est cet objectif que nous avons examiné, et il a été atteint dans 74 % des cas. Cela laisse donc place à l’amélioration. Quelques autres observations sur la rapidité d’exécution :

• Paie 6. Les bureaux décentralisés étaient plus efficaces que ceux centralisés. En effet, les bureaux décentralisés ont atteint les objectifs dans 78 % des cas, alors que les bureaux centralisés les ont atteintes dans 69 % des cas. La même relation s’applique à l’autre extrémité du spectre, étant donné que le nombre de paiements en retard et le délai de paiement ont été plus grands dans les bureaux centralisés;
• Paie 7. On a noté une légère amélioration du délai, de la première à la dernière crête d’activité. Du début juin à la fin août, le nombre moyen de jours pour être payé, après la période de référence, est passé de 21,5 à 17,5. Cela peut s’expliquer par les améliorations instaurées au cours de cette période (p. ex. l’assouplissement du rapprochement, planifié en partie) et par la réorganisation du travail qui est survenue dans divers bureaux locaux;
• Paie 8. Une analyse de régression entre le volume de transactions d’un bureau et la rapidité d’exécution a montré une faible corrélation (r = 0,45);
• Paie 9. Le temps nécessaire pour effectuer toutes les transactions de paie indique qu’il y avait une distribution avec une longue queue. À preuve, le traitement de 10 000 demandes, qui représentaient 3 % du total des demandes, a pris neuf semaines ou plus après la période de travail et le traitement de 1 000 d’entre elles (0,3 %) a duré 17 semaines ou plus. Un rapport qui énumérait les demandes en retard a été envoyé aux régions de façon régulière. Le Bureau de gestion du recensement nous a dit que les retards étaient principalement attribuables aux agents recenseurs qui ne soumettaient pas leurs demandes de façon actuelle ou à la mauvaise qualité des demandes. Néanmoins, nous pouvons convenir d’un manque de contrôle relatif au nombre de semaines nécessaires pour traiter les demandes, même si nous n’avons pu trouver des documents expliquant les causes de cette longue queue.

La rapidité d’exécution a été compromise par :

• Paie 10. la centralisation des bureaux. Tel qu’il a été mentionné, les bureaux décentralisés rencontraient plus fréquemment les délais quant aux deux ensembles de normes ainsi que pour tous les paiements;
• Paie 11. la complexité et la variété des formulaires de paie. En raison de la quantité de travail nécessaire pour rapprocher les divers formulaires de paie, il est clair que ces multiples formulaires ont été mal compris par certains agents recenseurs. Presque tous les gestionnaires locaux nous ont dit qu’il en était ainsi;
• Paie 12. le mauvais contrôle relatif au suivi et à la documentation des demandes en retard. La preuve en est la distribution avec la longue queue et les cas problèmes qui ont mené à des articles dans les journaux;
• Paie 13. le processus rigoureux, étant donné que la rapidité d’exécution s’est améliorée lorsque les règles étaient assouplies. Des contrôles sévères sont nécessaires dans ce domaine, alors cet aspect ne peut être trop assoupli. Il est nécessaire de trouver le bon équilibre entre les contrôles suffisants et les contrôles trop nombreux;
• Paie 14. l’objectif double des formulaires. Selon le Bureau de gestion du recensement, il s’agit d’un concept américain qui n’a pas fonctionné pour nous. Cela a contribué à rendre les formulaires plus compliqués que nécessaire aux fins exclusives de la paie. Le Bureau de gestion du recensement a dit que la séparation des fonctions a été effectuée avant la fin du traitement de la paie du recensement. L’expérience tirée du Recensement de 2006 a indiqué que les formulaires devraient être conçus à des fins de paie ou de production, séparément.

Paie 15. Le versement des salaires et des traitements aux employés non effectué de façon actuelle peut être très nuisible pour le moral des employés et la réputation de l’organisme. Les employés qui ne sont pas payés de façon actuelle peuvent être démoralisés. Dans le cas du Recensement de 2006, les retards liés au paiement de certains de nos employés ont donné lieu à des articles dans les journaux et à une mauvaise presse.

Paie 16. Nous ne pouvons prétendre savoir précisément ce que constituerait la norme idéale pour que les gens soient payés de façon régulière (premier chèque de paie suivi de paies régulières). Par contre, il est important de détenir un contrôle qui mesure la période de traitement et un mécanisme qui gère les cas ayant dépassé un certain objectif ou, autrement dit, qui n’ont pas été terminés selon une échéance préétablie. Ce processus devrait empêcher l’escalade des paiements en retard, ce qui mettrait l’organisme dans l’embarras ou nuirait aux employés. De plus, la consignation des paiements en retard permettrait aux chefs du recensement de connaître plus précisément la cause du problème et de prendre des mesures pour rectifier la situation de façon appropriée.

Recommandations relatives à la paie

Paie 17. Recommandation 1 : Réduire le nombre et la complexité des formulaires de paie

• De telles mesures sont nécessaires pour réduire ou éviter les longs retards. La séparation des fonctions de paie et de production sur les formulaires pourrait aider. Le processus de paie devrait être simplifié et la possibilité d’automatisation plus poussée devrait être explorée.

Paie 18. Recommandation 2 : Simplifier les contrôles reliés à la signature des surveillants

• Dans les cas où la distance est grande entre l’agent recenseur et le surveillant, les signatures sont difficiles à obtenir, ce qui retarde le processus de paie. L’approbation électronique des formulaires pourrait s’avérer une option. D’autre part, ce contrôle (la signature du surveillant apposée à la Formule 33) pourrait être éliminé si la signature du surveillant sur l’état récapitulatif quotidien (Formule 32) était jugée suffisante.

Paie 19. Recommandation 3 : Améliorer le suivi des demandes en retard

• Un contrôle devrait être ajouté au processus de paie pour empêcher l’escalade des formulaires de paie en retard. Après un certain temps suivant une période de référence, un processus de suivi devrait être mis en route. Ce processus doit être en mesure de détecter le problème, de l’analyser et de trouver une solution. Il est très important de consigner toutes les étapes franchies, car cela montrera que nous avons fait preuve de diligence raisonnable.

Enquête de sécurité sur le personnel

1. Serment prêté en vertu de la Loi sur la statistique
   ESP 1. Avant d’entrer en fonction en vertu de la Loi sur la statistique, tous les employés, conformément à l’article 6 de cette Loi doivent prêter le serment ou l’affirmation solennelle selon laquelle ils se conformeront aux exigences de la Loi dans l’exercice de leurs fonctions et ne divulgueront pas sans autorisation – ni ne feront connaître – l’information à laquelle ils pourraient avoir accès dans le cadre de leur emploi¹⁰.

   ESP 2. Les personnes employées pour le recensement en vertu de la Loi sur la statistique signent le serment et les administrateurs l’autorisent. La chronologie est telle que cela se fait avant que l’employé commence à travailler, le jour où il entre en poste, ou encore un ou deux jours après. Des procédures étaient en place pour que les employés signent ce serment; le fait de les avoir respectées a entraîné un résultat positif.

2. Améliorer la délégation et la consignation reliées au programme d’enquête de sécurité
   ESP 3. Un programme d’enquête de sécurité permet de faire preuve de diligence lors de l’embauche d’employés pour éviter ceux dont le dossier de candidature donne à penser qu’ils ne peuvent combler les exigences de Statistique Canada en matière de sécurité. Un tel programme comporte plusieurs composantes : des procédures qui touchent les vérifications de sécurité et informent les employés sur leurs obligations en matière de sécurité; un processus d’autorisation visant à accorder une cote de fiabilité, notamment un mécanisme pour gérer les résultats négatifset des moyens de garder en lieu sûr les documents sur les enquêtes de sécurité.

   ESP 4. Dans le cadre des opérations sur le terrain du Recensement de 2006, un programme permettait de mener à bien des enquêtes de sécurité sur le personnel. Par contre, deux grands changements seront nécessaires pour assurer la conformité aux directives du Conseil du Trésor (CT) lorsque les opérations de collecte sur le terrain dans le cadre du Recensement de 2011 commenceront : déterminer qui est nommé responsable d’accorder la cote de fiabilité, dans quelles circonstances et de quelle façon, puis faire en sorte que les résultats se reflètent dans des procédures et des outils modifiés; prévoir une séance d’information officielle sur la sécurité, consignée jusqu’à l’achèvement du Certificat d’enquête de sécurité et profil de sécurité du CT, qui est exigé par le CT (formule SCT 330‑47(révisé en février 2006)).

   ESP 5. Le reste de la présente section donne des précisions sur le programme d’enquête de sécurité – ce qui était prévu. À la section 3, qui commence à la page 15, un critère associé, mais distinct, est abordé – l’information sur ce qui s’est passé.

   Programme d’enquête de sécurité pour déterminer qui accordent la cote de fiabilité
   ESP 6. L’un des contrôles clés, qui permet de faire preuve de diligence raisonnable est de mener une enquête de sécurité adéquate sur ceux qui sont embauchés et de leur faire compléter un formulaire de consentement et d’autorisation (Formule 26B) , appelé Vérification de fiabilité du recensement dans le cadre du Recensement de 2006. Ce formulaire consigne les étapes principales du programme : obtenir le consentement des candidats pour mener une enquête de sécurité; vérifier l’identification et mener un contrôle des références; faire effectuer une vérification du casier judiciaire par la Gendarmerie royale du Canada (GRC). D’autres activités soutiennent ces étapes, telles que les procédures à suivre lorsque les empreintes digitales sont nécessaires et les responsabilités de prise de décision lorsque des situations ou des résultats négatifs se produisent dans un cas où le retard dû à l’enquête de sécurité était inévitable. Par contre, un aspect important n’a pas été inclus dans le formulaire – la détermination de la personne qui est en charge d’accorder la cote de fiabilité.

   ESP 7. Une ancienne version du formulaire de consentement et d’autorisation du Conseil du Trésor a été utilisée et, par conséquent, ne contenait pas les changements apportés un peu avant 2002, par exemple les derniers changements au libellé concernant la section du formulaire qui couvre la Loi sur la protection des renseignements personnels. Le risque en utilisant un ancien formulaire est faible, car les vérifications pertinentes n’ont pas changé. Par contre, la bonne gestion interne exige que le formulaire de recensement de 2011 tienne compte du formulaire de consentement et d’autorisation du CT. Peu importe la version du formulaire en vigueur lors du Recensement de 2011, elle devrait être appropriée. Il est important d’intituler le formulaire adéquatement – formulaire de consentement et d’autorisation – pour en clarifier l’objet. Le formulaire de recensement de 2006 ne contenait pas d’espace pour autoriser la cote de fiabilité, espace qui aurait dû être séparé de la certification qui indique que les vérifications ont été menées. Les fonctionnaires du Recensement de 2006 n’ont pas été informés des changements apportés au formulaire du CT lorsqu’ils ont transmis leur formulaire à la Division des services d’accès et de contrôle des données (SACD) dans le cadre de l’examen approfondi de décembre 2004.

   ESP 8. Les procédures devraient décrire qui est la personne qui est autorisée à certifier que toutes les étapes ont été franchies et qui peut accorder la cote de fiabilité. Normalement, l’approbation de la cote de fiabilité ne peut être donnée que par un fonctionnaire autorisé responsable de la sécurité organisationnelle. Évidemment, lorsque des milliers de personnes sont embauchées durant une courte période. Statistique Canada doit déléguer cette responsabilité au fonctionnaire approprié, conformément aux contraintes opérationnelles.

   ESP 9. La GRC effectue des vérifications nominales du casier judiciaire et traite les empreintes digitales au besoin pour déterminer si un candidat a un casier judiciaire ou non. Statistique Canada utilise ces résultats ainsi que ceux des autres vérifications menées pour décider s’il accorde une cote de fiabilité. La GRC ne prend pas cette décision. Par contre, certaines procédures normales pour les employés des opérations sur le terrain donnent cette impression, et il faudrait que cette question soit abordée. Par ailleurs, les documents sur le rôle et les responsabilités des comités de sécurité régionaux décrivent, de façon appropriée, que la prise de décisions revient à Statistique Canada.

   Comités de sécurité régionaux : une composante positive
   ESP 10. Dans le cadre du Recensement de 2006, on a mis sur pied des comités de sécurité régionaux qui traitaient deux types de cas où l’embauche était souhaitable : lorsque la vérification nominale du casier judiciaire ne donnait aucun résultat concluant et que les résultats des empreintes digitales n’étaient pas encore disponibles, ou lorsque le candidat avait un casier judiciaire. Si, dans de telles circonstances, le Comité de sécurité régional autorisait la décision d’accorder une cote de fiabilité sur le formulaire de consentement et d’autorisation, cela améliorerait le contrôle.

   ESP 11. Le recours aux comités de sécurité régionaux est une initiative de Statistique Canada et n’est pas exigé par le CT. La stratégie a été bonne pour le Recensement de 2006, et il serait bénéfique de l’améliorer pour 2011. Les comités devaient rendre compte tous les mois, mais leurs rapports ont été plutôt sporadiques, particulièrement lorsque la collecte était à son sommet, en raison de priorités plus pressantes. De plus, ces rapports devaient être transmis à l’agent de sécurité ministériel du SACD à des fins de documentation. Ces contrôles pourraient être perçus comme un moyen d’évaluer la façon dont les comités régionaux ont travaillé; cependant, pour une raison ou pour une autre, ils n’ont pas été utilisés avant le début mai 2007. Le contenu varie selon les régions, et la couverture semble sporadique en l’absence de rapports « néant ». Les rapports ne font aucune différence entre ces deux types de cas. Si des comités d’examen de la sécurité régionaux sont nécessaires en 2011, leurs rapports seraient en mesure de fournir un portrait consolidé et ministériel dans le cadre du recensement, dès que les exigences en matière de documentation auraient été examinées et améliorées, afin d’être normalisées et conçues pour combler les besoins déterminés. La nécessité des comités régionaux peut disparaître si un logiciel en mesure de fournir des résultats sur les empreintes digitales en quelques jours est utilisé par la GRC et mis à la disposition de Statistique Canada lorsque le travail sur le terrain du Recensement de 2011 commencera.

   ESP 12. Les fonctionnaires de la Division du SACD ont eu des échanges avec le CT à propos du caractère acceptable des comités de sécurité régionaux qui accordent des cotes de fiabilité temporaires dans le contexte d’une norme provisoire du CT visant les enquêtes de sécurité sur le personnel. Cependant, les résultats n’avaient pas été consignés au moment où la politique de Statistique Canada a été créée, même s’ils étaient en vigueur. La norme provisoire de novembre 2006 ne couvre pas explicitement les circonstances du recensement de Statistique Canada, bien qu’une interprétation raisonnable les couvre implicitement. Cela devrait être confirmé et consigné lors de la préparation du Recensement de 2011, de concert avec toute autre clarification nécessaire.

   Information transmise aux employés au sujet de la confidentialité, mais pas dans le cadre d’une séance d’information officielle
   ESP 13. Les employés ont été mis au courant de l’importance de la sécurité et de la protection de la confidentialité des répondants par l’intermédiaire de procédures écrites. Les employés ont prêté serment, en vertu de la Loi sur la statistique, de protéger la confidentialité des répondants. Les modalités d’emploi contenaient de l’information semblable.

   ESP 14. Cependant, aucune séance d’information officielle n’a eu lieu, ce qu’exige pourtant la directive du Conseil du Trésor sur l’Enquête de sécurité sur le personnel (1994). De plus, si une telle séance avait eu lieu, elle aurait dû être prouvée par l’attribution d’un Certificat d’enquête de sécurité et profil de sécurité requis par le CT. La meilleure pratique consiste à donner une séance d’information verbale pour compléter la signature du certificat. Le fait de prêter serment et de recevoir de l’information sur les exigences du gouvernement en matière de sécurité sont deux événements différents, quoique complémentaires, dans le cas de Statistique Canada. Par contre, l’un ne peut remplacer l’autre. De plus, le Certificat d’enquête de sécurité et profil de sécurité indique à l’employé son niveau d’autorisation.

   ESP 15. Statistique Canada n’utilise pas le Certificat d’enquête de sécurité et profil de sécurité du Conseil du Trésor pour les employés détenant une cote de fiabilité. Il n’est donc pas étonnant que les fonctionnaires du Recensement de 2006 qui ont préparé des procédures pour les étapes relatives aux enquêtes de sécurité sur le personnel n’en connaissaient pas l’existence. Lorsqu’ils ont consulté les fonctionnaires ministériels responsables de la sécurité au sujet des procédures d’enquête de sécurité sur le personnel, ils n’ont pas été mis au courant du formulaire de consentement et d’autorisation , simplement parce que ce dernier n’était pas utilisé par Statistique Canada. Afin de décrire l’importance de la sécurité au sein de Statistique Canada, il conviendrait de se conformer à cette exigence en offrant une séance d’information verbale, à laquelle chaque employé reconnaîtrait avoir assisté en remplissant le profil de sécurité. De plus, cela renforcerait la valeur fondamentale que l’organisme accorde au respect de la confidentialité.

   ESP 16. Afin d’incorporer le profil de sécurité aux opérations du Recensement de 2011, il faudra mener un examen attentif afin d’effectuer cette tâche pour des milliers d’employés pendant une courte période. Les fonctionnaires du recensement et les responsables de la sécurité de l’organisme peuvent mettre à contribution les conseils du CT en interprétant la Norme sur la sécurité du personnel dans sa forme actuelle lorsque des décisions opérationnelles relatives au Recensement de 2011 devront être prises. Les exigences liées à un recensement national imposent des contraintes opérationnelles susceptibles de nécessiter un processus différent de celui qu’on pourrait mettre en place en d’autres circonstances.

   Les classeurs sont verrouillés, mais les clés ne sont pas sécuritaires
   ESP 17. L’information relative aux enquêtes de sécurité recueillie et générée a été gardée en toute sécurité¹¹ dans des classeurs verrouillés. De plus, le périmètre de sécurité était généralement bon, même s’il existait des points faibles : dans un bureau local de recensement, le nombre de classeurs n’était pas suffisant et les dossiers des employés étaient gardés dans des boîtes ou des bureaux non verrouillés. Dans les bureaux locaux, il est nécessaire d’améliorer la gestion des clés de sorte que les clés des classeurs ne soient pas « cachées » à des endroits faciles d’accès. Bien que les risques relatifs soient faibles, au sein d’un organisme fier de sa capacité de protéger les renseignements personnels, la pratique d’une bonne gestion des clés contribue à renforcer la valeur de base de l’organisme, qui est de respecter la confidentialité.

3. Les vérifications ont fait l’objet d’un consentement et ont été effectuées de façon actuelle
   ESP 18. À la section précédente, nous avons relevé des façons d’améliorer le programme d’enquête de sécurité, p. ex. la nécessité d’une délégation claire des pouvoirs. La présente section rend compte de ce qui s’est passé dans la pratique.

   ESP 19. Les employés ont consenti aux vérifications de sécurité du personnel. Les vérifications ont eu lieu¹², et la plupart ont été terminées avant que les employés commencent à travailler. Les comités de sécurité régionaux ont pris des décisions sur les cas où il y avait présence d’un casier judiciaire et ceux exigeant une cote de fiabilité temporaire, conformément aux procédures ministérielles. Les cotes de fiabilité n’ont cependant pas été autorisées de façon appropriée sur plusieurs sites.

   Consentement donné pour les vérifications nécessaires
   ESP 20. Les vérifications de sécurité du personnel ont été menées avec le consentement des employés. On a intégré au processus d’embauche le fait de compléter cette portion du formulaire de consentement et d’autorisation connexe aux enquêtes de sécurité sur le personnel (Formule 26B).

   ESP 21. Par contre, ce ne sont pas tous les cas qui ont été vérifiés, car ces formulaires n’ont pas encore été reçues du terrain. Dans 50 cas sur environ 1 380, la Formule 26B n’a pas été trouvée. Ainsi, environ la moitié des cas (23) provenait du bureau local du recensement de Québec. À Edmonton, ce nombre s’élèvait à 11 et à Sudbury, à 9. Quelques employés sur le terrain n’ont pas suivi la directive de la transférer; c’est du moins ce qui ressort des résultats des entrevues menées à Sudbury et à Québec. Ces trois sites couvraient de vastes zones de recrutement, dans lesquelles le personnel sur le terrain se trouvait loin des bureaux locaux du recensement, ce qui a rendu le contrôle plus difficile.

   Les vérifications ont été effectuées
   ESP 22. Quatre vérifications devaient être effectuées; elles sont liées au code d’utilisateur, aux antécédents professionnels, aux références et au casier judiciaire. Les initiales de l’agent de dotation qui effectue la vérification doivent être apposées à la formule 26B. Cette preuve facilite le travail de la personne responsable d’attester que les vérifications ont eu lieu et d’autoriser la cote de fiabilité. Si les initiales ne sont pas apposées, du travail supplémentaire de confirmation doit être accompli par l’agent autorisateur, ce qui dédouble les efforts.

   ESP 23. Le code d’utilisateur a été bien vérifié partout. Les instructions étaient précises, le formulaire était pratique pour l’agent de dotation et la vérification était jugée importante. À Montréal, à Whitby et à Moncton, on a indiqué que les vérifications des antécédents professionnels, des références et du casier judiciaire ont été effectuées au complet, à l’aide du formulaire de consentement et d’autorisation (Formule 26B). Leur réussite est attribuable aux bons contrôles déployés lors du processus, grâce au personnel de recrutement à proximité.

   ESP 24. Par contre, ces trois vérifications ont été moins bien menées sur les autres sites – encore une fois, à l’aide du formulaire de consentement et d’autorisation. Cet outil ne remplit pas complètement son rôle de contrôle principal de la gestion. On a jugé qu’il répétait l’information contenue dans le Système de recrutement automatisé du recensement (SRAR), que les procédures n’étaient pas claires (elles ne correspondaient pas toutes à la Formule 26B) et que le contrôle était difficile lorsque les secteurs étaient vastes. Par contre, les gestionnaires ont mentionné que les vérifications avaient également été menées dans de tels cas.

   ESP 25. La tenue du contrôle des références et de la vérification du casier judiciaire est attestée par l’information contenue dans le SRAR. Les dossiers contenaient la date à laquelle les références avaient été contrôlées et la date à laquelle la vérification nominale du casier judiciaire avait été effectuée.

   Autorisation pas toujours obtenue de façon conforme
   ESP 26. Dans environ la moitié des cas, la certification n’a pas été autorisée de façon appropriée¹³. Les chefs adjoints – Recrutement devaient signer le formulaire de consentement et d’autorisation, quoique les procédures ne l’expliquaient pas clairement. Même lorsque les chefs adjoints signaient le formulaire – et attestaient probablement que toutes les vérifications avaient été effectuées –, la date de signature correspondait souvent à la journée où le candidat avait donné son consentement. Cela est impossible, car il faut au moins 24 heures pour effectuer une vérification nominale de casier judiciaire. D’autres participants au processus d’embauche avaient signé dans l’espace prévu pour l’autorisation; parfois, il s’agissait de personnel sur le terrain ‑ des chefs d’équipe.

   ESP 27. Sur certains sites, l’autorisation a été donnée de façon appropriée par les chefs adjoints – Recrutement (à Montréal, à Moncton, à Dartmouth et, dans une moindre mesure, à Trois‑Rivières). Sur la plupart des autres sites, c’était généralement un autre employé qui signait. Cela était acceptable pour les chefs adjoints parce qu’ils maintenaient avoir effectué les vérifications, même si les écritures relatives à la Formule 26B ne le reflétaient pas. Les fonctionnaires chargés de l’embauche n’ont pas été bien servis par tous les aspects des procédures, ce qui leur a causé des difficultés considérables. Malgré tout, les fonctionnaires ont reconnu l’importance de la diligence raisonnable dans ce processus et le rôle qu’ils y jouaient.

   ESP 28. L’autorisation est l’étape qui accorde une cote de fiabilité, c’est pourquoi il s’agit d’un contrôle essentiel. Lorsqu’elle fait défaut, elle soulève des questions quant à la diligence de la direction et à la prise de décisions transparente. Statistique Canada souhaite non seulement faire preuve de diligence raisonnable, mais également être vu comme un organisme qui produit une documentation valable.

   Les employés ont fait l’objet d’une enquête de sécurité avant d’entrer en poste
   ESP 29. Dans l’ensemble, les enquêtes de sécurité ont eu lieu avant que les employés entrent en poste ou que le Comité de sécurité régional prenne une décision conforme à ses responsabilités. Dans une poignée de cas, à Edmonton, à Sudbury et à Québec, les employés ont été embauchés sans que les procédures appropriées aient été suivies.

   ESP 30. Dans le cadre du Recensement de 2006, des milliers d’employés ont été embauchés dans l’ensemble du Canada pour des emplois de courte durée, selon une période de référence serrée. Notre échantillon ne nous a révélé que quelques cas problèmes, qu’il serait tentant de laisser de côté. Cependant, la confidentialité constitue une valeur très importante à Statistique Canada, et une enquête de sécurité sur le personnel appropriée aide à la maintenir. Ainsi, les répercussions sont grandes si un cas où la diligence raisonnable n’a pas été observée entraîne des préjudices au répondant ou à un autre employé. La tolérance de Statistique Canada doit être extrêmement faible, c’est pourquoi il est intéressant de demander ce qui a donné lieu aux quelques cas repérés.

   ESP 31. Plusieurs causes sont possibles. Tout d’abord, les procédures d’autorisation n’étaient pas claires, tel qu’il a déjà été mentionné. Ensuite, les employés sur le terrain – dont certains sont très autonomes – ne comprenaient pas tous que l’enquête devait être menée avant l’entrée en poste. Contrairement aux recensements précédents, il n’était plus acceptable d’effectuer l’enquête une fois les employés en poste. Troisièmement, le SRAR ne détenait aucun contrôle intégré pour empêcher ces cas de lui échapper. Quatrièmement, les gestionnaires voulaient des résultats dans une courte période de référence et ont pris un risque calculé; nous avons des preuves selon lesquelles le Comité de sécurité régional a approuvé le cas éventuellement. Finalement, les cas du Comité de sécurité régional devaient être consignés et un registre devait être tenu; par contre, les détails précis ont été laissés à la discrétion de chaque comité. Parfois, les détails précis n’étaient pas toujours transmis au sujet des cas particuliers.

4. Code d’utilisateur obtenu après l’octroi d’une cote de fiabilité
   ESP 32. Un processus doté de contrôles appropriés était en place, de sorte que les personnes employées en vertu de la Loi sur la statistique devant accéder à un réseau de Statistique Canada n’ont obtenu l’accès qu’une fois les vérifications relatives à leur cote de fiabilité effectuées. Dans les bureaux locaux du recensement, les cas ont été extrêmement limités où de tels employés ont dû y avoir accès. Sur les sites d’ATR, les employés devaient accéder au réseau de recensement. L’accès a été accordé une fois qu’il a été autorisé par le directeur adjoint du recensement de chaque région et, de plus, le véritable accès a été possible par l’intermédiaire des administrations centrales – car les représentants locaux de l’informatique ne pouvaient permettre l’accès.

Recommandations relatives à l’enquête de sécurité sur le personnel

ESP 33. Recommandation 1 : Conformément au calendrier du Recensement de 2011, examiner les procédures relatives à l’enquête de sécurité sur le personnel et déterminer clairement qui est nommé responsable d’accorder la cote de fiabilité, dans quelles circonstances et la façon de le faire. Réfléter les résultats par des procédures et des outils modifiés, élaborés à l’aide de la consultation, tel qu’expliqué ci‑dessous.

ESP 34. Outils : Un tableau de « délégation des pouvoirs en matière de sécurité » pour le Recensement de 2011 serait un outil utile pour transmettre de façon concise ce type d’information. Un deuxième outil serait un Formulaire de vérification de sécurité, de consentement et d’autorisation (actuellement appelé TBS/SCT 330‑23E (révisé en février 2006)) mis à jour. Un troisième outil serait la mise en œuvre du Certificat d’enquête de sécurité et profil de sécurité (TBS/SCT 330‑47 (révisé en février 2006)). Les deux derniers outils sont exigés par la directive du CT.

ESP 35. Procédures : Elles devraient être plus complètes (incluant les procédures et les normes de documentation des comités de sécurité régionaux et indiquant de façon évidente pourquoi les tâches individuelles sont nécessaires et qui est autorisé à les accomplir), et inclure l’établissement des formulaires appropriés. Elles devraient également comprendre un rôle particulier pour les gestionnaires de site concernant l’inspection et la surveillance de la manière dont les formulaires de consentement et d’autorisation sont remplis, si le fonctionnaire approbateur en matière de sécurité n’est pas le gestionnaire de site.

ESP 36. Consultation : Conformément au calendrier du Recensement de 2011, les fonctionnaires de la Division du SACD devraient formellement chercher à obtenir des conseils des fonctionnaires responsables de la sécurité du CT, pour déterminer si Statistique Canada interprète adéquatement la norme provisoire sur les enquêtes de sécurité du personnel (ou sa version finale) telle qu’elle s’appliquera dans le contexte du Recensement de 2011. De plus, ils doivent documenter les résultats et apporter les changements nécessaires au Manuel des pratiques de sécurité de Statistique Canada.

ESP 37. Recommandation 2 : Instaurer un contrôle supplémentaire pour que les employés ne puissent être affectés à un poste tant que leur enquête de sécurité n’est pas terminée ou tant qu’une cote provisoire n’a pas été accordée par le Comité de sécurité régional. Ce contrôle détectera tout cas qui échappera aux points de contrôle préventifs précédents.

ESP 38. Recommandation 3 : Fournir suffisamment de classeurs et de clés, puis donner des directives sur la gestion appropriée des clés.

Surveillance de l’ATR

ATR 1. Les trois sites d’assistance téléphonique du recensement (ATR) ont fait l’objet d’une visite – Moncton, au début juin; Edmonton, à la fin juin et Toronto, en juillet. Étant donné que la production totale n’a commencé qu’au début mai, nous avions rendu visite à Moncton au début du processus – ce site avait donc eu moins de temps pour s’adapter aux défis liés à la collecte dans le cadre du recensement.

ATR 2. Pour répondre aux préoccupations relatives à la protection des renseignements personnels, pour donner accès à Internet aux répondants et pour obtenir du rendement grâce à la technologie, le Recensement de 2006 s’est avéré plus centralisé et automatisé que les recensements précédents. Par conséquent, le Recensement de 2006 a été le premier dans le cadre duquel les téléphonistes de l’ATR ont communiqué avec les répondants pour effectuer un suivi des questionnaires rejetés au contrôle. En 2001, ces activités avaient été menées par des agents recenseurs. À l’instar des recensements précédents, une assistance téléphonique du recensement était offerte. En raison d’un personnel sur le terrain très réduit en 2006, le service d’assistance téléphonique a pris une importance accrue alors que les Canadiens ont effectué 1,8 million d’appels, comparativement à 0,8 million en 2001.

1. Téléphonistes formés de façon adéquate
   ATR 3. Il existe un programme de formation dont les détails se trouvent dans le Manuel du surveillant de l’ATR (Formule 80B). Du matériel de formation supplémentaire existe également, par exemple un guide de formation (Formule 57A), du matériel d’autoformation (Formule 57B) et un cahier de formation (Formule 57C).

   ATR 4. La formation a été suivie et jugée positive par les téléphonistes, qui ont présenté des suggestions d’amélioration dans certains cas – par exemple une expérience plus pratique lors de la formation. De plus, cette rétroaction et celle des gestionnaires des ATR sur la formation consignée dans les rapports de compte rendu – dans lesquels sont présentés de nombreuses suggestions – constituent des mécanismes de contrôle pour permettre une amélioration continue afin de guider les changements en prévision de 2011.

   ATR 5. Deux jours de formation en classe ont été prévus pour les téléphonistes, mais celle-ci ne visait pas à faire en sorte qu’ils soient « prêts à la production ». Dans le cadre du recensement, la collecte est une opération à court terme; de ce fait, les attentes étaient modestes selon lesquelles les téléphonistes devaient accomplir le travail adéquatement. On ne s’attendait pas à ce qu’ils deviennent des professionnels aguerris en peu de temps. Tout de même, un gestionnaire de site a mentionné que la formation devait être meilleure, car la réputation de Statistique Canada est très importante pour son succès. La formation officielle des téléphonistes devait être complétée par une formation en cours d’emploi. Par contre, la mesure dans laquelle cela a pu être possible a été modifiée à cause d’un volume d’appels beaucoup plus élevé que prévu aux environs du jour du recensement, le 16 mai 2006, et les jours suivants. Il y avait trop de travail pour laisser aux surveillants le temps nécessaire pour effectuer la surveillance et donner une rétroaction. Cela fait l’objet d’une discussion complète à la prochaine section qui revêt une grande importance parce que, tout comme la formation, elle est adéquate.

2. La surveillance peut être améliorée
   ATR 6. Les surveillants peuvent surveiller le travail des téléphonistes de diverses façons : examiner quotidiennement les échantillons de travail, utiliser les rapports du Système d’information de la gestion (SIG), et écouter ou observer les appels. Les résultats de l’écoute ou de l’observation formelle des appels ont été consignés sur les Formules 87 et ont fait l’objet d’une discussion avec le téléphoniste. Un tel type de surveillance est appelé « surveillance relative aux Formules 87 ». Ces outils sont des contrôles qui visent à s’assurer que le travail est mené de façon efficace et rentable au niveau de la supervision¹⁴.

   Surveillance quotidienne
   ATR 7. Les surveillants se sont dits responsables (à 91 %) de mener une surveillance quotidienne, ce qui indique que presque tous comprenaient cette responsabilité. Ceux qui n’ont pas reconnu cette responsabilité se trouvaient tous à Moncton. C’est pourquoi le gestionnaire a évalué que les rôles et responsabilités de supervision devaient être clarifiés, particulièrement étant donné l’utilisation qu’on y faisait d’une équipe de surveillance relative aux Formules 87 : la mise sur pied de cette équipe ne relève pas les surveillants de leurs responsabilités de surveillance quotidienne.

   ATR 8. La plupart des surveillants (85 %) d’Edmonton ont dit avoir réussi à examiner quotidiennement le travail de leurs employés (17 sur 20). À Toronto et à Moncton, ce pourcentage est moins élevé : 47 % (7 sur 15) et 38 % (6 sur 16), respectivement. Par contre, un nombre important de surveillants ont répondu de façon neutre, ce qui peut indiquer une incompréhension de la question. Or, il était possible de répondre « ne s’applique pas ». Pour minimiser un tel effet, nous avons examiné la proportion de ceux qui étaient en désaccord avec l’énoncé « Je vérifie le travail accompli par chaque employé tous les jours ». Personne ne s’est montré en désaccord à Edmonton alors que cinq personnes, ou 31 %, l’ont été à Moncton et trois personnes, ou 20 %, l’ont été à Toronto. La surveillance quotidienne était menée, et les surveillants d’Edmonton ont obtenu le plus de succès. Il semble possible d’apporter des améliorations ailleurs.

   ATRL 9. À Edmonton, les surveillants étaient responsables de cette activité – ils devaient remettre leur liste de contrôle quotidienne des tâches¹⁵ après chaque quart de travail. Nous n’avons pas observé ce type de responsabilité quotidienne sur les deux autres sites.

   Les surveillants n’ont pas utilisé les rapports du SIG
   ATR 10. La plupart des surveillants n’utilisent pas les rapports du SIG décrits dans le Manuel du surveillant (Formule 80B). La principale exception est à Toronto, où le rapport FEFUMIS6 a été utilisé et où les surveillants puisaient de l’information pour créer leurs rapports d’équipe. Malgré cette exception, les gestionnaires n’ont pas exigé que les surveillants utilisent leurs rapports du SIG. Selon un surveillant, ils n’étaient « pas très conviviaux » – un sentiment partagé par les autres.

   ATR 11. Les rapports du SIG ne répondaient pas aux besoins quotidiens, immédiats et « en temps réel » des surveillants. Il y en avait trop, et on disposait de trop peu de temps pour apprendre à connaître leur fonctionnement. De plus, ils ne fournissaient pas d’emblée de l’information du point de vue d’un surveillant – par exemple, lorsqu’un surveillant souhaite savoir comment les employés qui doivent lui rendre compte se comportent, l’information doit être organisée de cette façon. Bien que le SIG ait offert la souplesse nécessaire pour personnaliser les rapports, la stratégie qui consistait à laisser les surveillants s’en occuper a prouvé qu’en grande partie, il n’en a pas été ainsi.

   Surveillance relative aux Formules 87¹⁶
   ATR 12. Les Formules 87 sont l’outil de surveillance que le surveillant ou l’observateur remplit pour évaluer un appel. Elle évalue vingt éléments couvrant quatre domaines – la prestation de service (6), le domaine spécialisé (3), l’attitude professionnelle (9) et le traitement des données (2) – soit grâce à l’écoute d’un appel, soit en observant un téléphoniste lors d’un appel. Une rétroaction est transmise au téléphoniste qui doit en accuser réception et entreprendre toute amélioration nécessaire. Le formulaire représente un contrôle important, et il doit être rempli de façon hebdomadaire. De plus, afin d’éviter la « sur‑supervision », il ne doit pas être remplie plus de deux fois par jour.

   ATR 13. Dans les cas où la surveillance relative aux Formules 87 a eu lieu, elle a été bien faite. Malgré sa longueur et le besoin de transmettre une rétroaction accompagnée de la signature du téléphoniste, toutes les étapes ont été suivies. Aucune sur‑supervision n’a eu lieu. Cette surveillance n’a pas respecté le repère de la fréquence hebdomadaire.

   ATR 14. Des trois sites d’ATR, le site d’Edmonton était celui où les téléphonistes d’Edmonton utilisaient les Formules 87 le plus fréquemment, plus que ceux de Moncton et de Toronto. Les résultats d’Edmonton montrent qu’il est possible d’atteindre une surveillance hebdomadaire relative aux Formules 87, du moins pour une portion appréciable des téléphonistes. Les deux autres sites ont indiqué ne pas avoir mené de surveillance hebdomadaire en mai 2006, et les résultats de la vérification le confirment. Des données supplémentaires de Moncton montrent que les taux de surveillance ont augmenté au fil du temps pour atteindre environ un rythme d’une par deux semaines.

   ATR 15. L’approche à la surveillance relative aux Formules 87 était différente à chaque site. À Toronto, une approche d’équipe a été adoptée, et on a accordé de l’importance à la relation téléphoniste‑surveillant afin que les téléphonistes sachent pour qui ils travaillent et qu’une rétroaction uniforme sur la gestion du rendement soit facile à fournir. À Edmonton et à Moncton, un surveillant était affecté aux téléphonistes pendant le quart de travail. À Moncton, les avantages d’une bonne relation téléphoniste‑surveillant ont été reconnus, mais l’ordonnancement a compliqué la tâche qui consistait à garder un téléphoniste jumelé au même surveillant au‑delà d’un quart de travail. À Edmonton, les surveillants ont effectué la surveillance relative aux Formules 87, alors qu’à Moncton, une petite équipe de surveillants sont devenus les surveillants à temps plein des Formules 87. Ainsi, chaque site d’ATR a des leçons précieuses à partager au sujet du Recensement de 2011, en tirant profit de son expérience de 2006.

   Résultats par site
   ATR 16. Les résultats varient en raison des différences décrites plus tôt, et les comparaisons doivent être faites avec prudence.

   Moncton
   ATR 17. Environ 10 % des téléphonistes n’avaient pas été surveillés du tout en date du 7 juin. La plupart ont sans doute commencé à travailler à partir du 2 mai 2007, de sorte qu’ils auraient dû avoir été surveillés à quatre ou à cinq reprises avant le 7 juin. Selon les données de Moncton, la moyenne pour cette période était de 1,4 fois. Ces résultats se sont améliorés avec le temps pour atteindre environ une fois toutes les deux semaines. À Moncton, on a élaboré un outil unique permettant d’évaluer les progrès accomplis vers le repère.

   Toronto
   ATR 18. À Toronto, les téléphonistes ont été surveillés en moyenne de 1,5 à 1,6 fois sur une période de cinq semaines et demie. Ce résultat est presque identique à celui de Moncton, où le taux était de 1,4 fois. Le taux de surveillance n’a pas augmenté en juin ou en juillet : en fait, il était meilleur en mai, mois où un peu plus de la moitié de la surveillance a eu lieu.

   Edmonton
   ATR 19. En mai et en juin, 22 % des téléphonistes n’ont pas été suffisamment surveillés. Cela constitue un pourcentage prudent, car nous n’avons pas accès à tous les dossiers en raison de la façon dont ils sont rangés. La preuve relative à la surveillance hebdomadaire est suffisante pour montrer qu’un tel repère de surveillance est atteignable.

   ATR 20. Comparativement aux sites de Toronto et Moncton, celui d’Edmonton semble obtenir de meilleurs résultats quant à l’application de la surveillance. Le site d’Edmonton a été le seul site à exiger que les surveillants fournissent une liste de contrôle quotidienne, qui comprenait la surveillance, à la fin du quart de travail.

   ATR 21. Plusieurs facteurs expliquent pourquoi la surveillance relative aux Formules 87 n’a pas atteint le repère, en plus du grand volume d’appels reçu aux environs du jour du recensement et après (tel que décrit précédemment). Alors que des différences organisationnelles signifient des emphases différentes pour chaque facteur, la plupart étaient partagés par au moins deux sites.

   • ATR 22. Les téléphonistes n’ont pas été formés de façon à être « prêts à la production » et ont appris en cours d’emploi : les surveillants ont répondu à leurs questions, particulièrement au début des opérations, et non fait de la surveillance.

   • ATR 23. Les surveillants ne connaissaient pas toujours très bien les techniques d’encadrement. Le recrutement a eu lieu dans un délai serré et l’embauche du personnel a été difficile. À Edmonton, on a expliqué clairement les attentes aux candidats s’occupant de la supervision et cela a donné à penser qu’il s’agit d’un important facteur de succès. Une évaluation après‑coup menée à Moncton appuie ce point de vue. Le fait de déterminer quels candidats sont intéressés au travail d’ATR plutôt qu’au travail sur le terrain (bureau local de recensement), grâce à un meilleur site Web de Statistique Canada, améliorerait le processus d’embauche des surveillants, selon au moins un gestionnaire de site. La direction du recensement devrait envisager cela pour 2011.

   • ATR 24. Les attentes des surveillants en matière de rendement ne comprenaient pas l’exigence de quantifier dans quelle mesure la surveillance relative aux Formules 87 était effectuée. Cependant, à Edmonton, les surveillants devaient remettre leurs listes de contrôle des tâches quotidiennes, ce qui montrait clairement que divers niveaux de surveillance étaient possibles (ce qui n’est pas le cas pour la surveillance relative aux Formules 87, toutefois, peut‑être parce qu’elle était « hebdomadaire ». Toutefois, cela pourrait être envisagé dans une liste de contrôle révisée).

   • ATR 25. La conception des Formules 87 utilisait une approche « accepté ou rejeté » que de nombreux surveillants détestaient, car il était plus difficile de fournir une rétroaction. Elle détournait l’énergie de la tâche de surveillance parce qu’elle était jugée injuste : elle a provoqué un débat et, dans le cas du site de Moncton, a exigé la formation d’une équipe de surveillance séparée travaillant à temps plein. Les téléphonistes qui faisaient un très bon travail étaient parfois recalés pour ne pas avoir suivi le scénario à la lettre. Les surveillants doivent passer du temps ensemble pour élaborer une norme de mise en œuvre afin d’éviter ce type de résultat. Si les surveillants ne sont pas expérimentés, ils risquent d’être trop durs – recaler un téléphoniste qui a dit « ouin » au lieu de « oui », par exemple – ce qui aura un effet contre‑productif. Certains éléments des Formules 87 étaient jugés plus importants et menaient automatiquement à « rejeté », mais certains surveillants étaient en désaccord avec cette évaluation – et disaient plutôt que toutes les dimensions étaient importantes –, ce qui a provoqué un débat. Cela a été plutôt fort dans certains milieux; un observateur a même déclaré que la pire partie du travail consistait à remplir ce formulaire. Bien que ce point de vue soit extrême, il sert à illustrer la passion provoquée et l’énergie dépensée. Le site de Moncton a rejeté davantage de téléphonistes, ce qui donne à penser qu’on y a appliqué les normes plus sévèrement, ce qui a mené à une plus grande controverse.

   • ATR 26. Aucun outil n’était disponible pour faciliter la surveillance relative aux Formules 87 : les surveillants pouvaient écouter un appel, mais ne pouvaient voir comment les téléphonistes utilisaient le Système de référence des téléphonistes. Il était difficile de localiser les téléphonistes (au début des opérations, le simple fait de les reconnaître est ardu et l’approche d’équipe n’est pas utilisée), et le transfert pour leur parler à des fins de surveillance était long à effectuer. Les systèmes téléphoniques utilisaient une vieille technologie et variaient selon le site; il n’y avait donc aucune uniformité.

   • ATR 27. La logistique de l’organisme n’a pas facilité la surveillance. Tout d’abord, il faut déterminer qui doit être surveillé. Si ce n’est pas le surveillant ou si le surveillant change, alors cela devient difficile. Idéalement, on souhaite surveiller un appel complet. L’observateur doit déterminer ce qui suit soit visuellement (le téléphoniste doit être à portée de vue), soit techniquement : trouver le téléphone à écouter et savoir que l’appel commence. Ensuite, le surveillant a besoin de temps pour effectuer la surveillance et ne pas être interrompu par les autres. Les surveillants surveillent sur place afin de voir comment le système de référence des téléphonistes est utilisé et d’être prêts à intervenir. Une fois l’appel surveillé terminé, il transmet une rétroaction : idéalement, il le fait immédiatement pour créer le plus d’effet. Cela peut être difficile, car le téléphoniste peut avoir pris un autre appel, être rendu à sa pause, etc. Si la rétroaction est confidentielle, le surveillant doit la transmettre dans un lieu privé, ce qui peut être difficilement disponible.

   • ATR 28. Le temps nécessaire pour surveiller une personne une fois qu’elle se trouve dans les circonstances décrites ci‑dessus (sans outil efficace) est trop long. Les anomalies mèneront au report d’un événement. Les étapes mentionnées ci‑dessus indiquent les vraies possibilités que cela se produise.

   • ATR 29. Les observateurs, à Moncton, n’avaient pas accès au SRAR; ils n’ont donc pas été en mesure de récupérer facilement les dates d’entrée au travail des employés pour les indiquer dans le chiffrier qui guidait leurs efforts de surveillance. La date d’entrée au travail constitue une information clé pour maximiser la probabilité qu’un téléphoniste soit surveillé rapidement.

   ATR 30. Lorsque les téléphonistes parlent aux répondants, ils sont la facette publique de Statistique Canada. Il est donc important que ce public reçoive un service professionnel. De plus, les téléphonistes contribuent à la qualité des résultats du recensement en faisant leur travail correctement. Ainsi, la surveillance relative aux Formules 87 constitue un contrôle clé. Quoique l’absence de surveillance ne signifie pas que les téléphonistes font mal leur travail, elle signifie que les surveillants sont incapables d’améliorer la manière dont le travail est accompli. En outre, le fait même de savoir qu’une opération rejoint les attentes constitue un contrôle. La surveillance relèvera le traitement inefficace des appels (p. ex. le fait de ne pas utiliser efficacement les outils à la disposition des téléphonistes), le manque de politesse auprès des répondants (p. ex. le tutoiement) ou les importants écarts au script. Mieux les téléphonistes travaillent, plus les résultats sont efficaces.

3. Contrôles efficaces
   ATR 31. Dans la section ci‑dessus, divers types de surveillance – et particulièrement celle relative aux Formules 87 – ont été discutés et trois sites ont été décrits. La présente section porte sur les contrôles que les gestionnaires ont utilisés pour superviser ce qui se passait aux niveaux inférieurs. L’accent est mis sur le contrôle de la surveillance relative aux Formules 87, qui est envisagée dans le contexte plus vaste de la gestion du rendement des téléphonistes en règle générale.

   ATR 32. Les gestionnaires détenaient des contrôles pour évaluer les résultats de la surveillance, même s’il est possible de les améliorer. La surveillance relative aux Formules 87 serait améliorée par une meilleure connaissance de sa fréquence, afin que le gestionnaire de site puisse effectuer une évaluation et que ceux relevant directement de lui s’ajustent. Les employés de Moncton ont élaboré un contrôle de gestion pour évaluer la fréquence et les résultats de la surveillance relative aux Formules 87. Or, même dans ce cas, les rapports présentés au gestionnaire de site sur les résultats n’étaient pas requis.

   ATR 33. Pour évaluer le rendement de façon générale, les gestionnaires ont utilisé une variété d’outils. Ils ont décrit la nature complémentaire des éléments du bon rendement et créé des outils pour gérer le rendement dans l’ensemble. Ils ont mis l’accent sur le contexte dans lequel la surveillance avait lieu : nature changeante des opérations quotidienne et importance de la souplesse pour s’adapter rapidement. Ils ont trouvé des façons d’améliorer la surveillance à l’avenir, tant au niveau de la surveillance relative aux Formules 87 que, de façon plus générale, par des changements qui pourraient être apportés, même malgré les contraintes imposées par la nature à court terme du travail.

Surveillance relative aux Formules 87
ATR 34. Les gestionnaires ont jugé la surveillance relative aux Formules 87 importante et savaient, en règle générale, quand elle n’était pas effectuée aussi fréquemment que prévu. Par exemple, mai a été choisi à titre de mois problème tant à Toronto qu’à Moncton, car les téléphonistes étaient nouveaux et les opérations battaient leur plein. À ce moment, la surveillance aurait été la plus utile pour résoudre les problèmes au début des opérations, mais la surveillance relative aux Formules 87 a été laissée de côté au profit du règlement de problèmes opérationnels plus pressants. Toutefois, une meilleure information sur la portée de cette surveillance aurait pu fournir l’élan nécessaire à l’amélioration, comme ce fut le cas à Moncton, où la direction a exercé un contrôle sur la surveillance relative aux Formules 87. Le fait de détenir ce contrôle a permis au gestionnaire du site de prendre des mesures pour améliorer l’efficacité. Cela se serait produit bien avant si les rapports relatifs aux résultats de la surveillance avaient été obtenus dès le début.

Autre surveillance
ATR 35. Sur chaque site, les gestionnaires ont créé ou emprunté différents outils. Tel que mentionné précédemment, la surveillance quotidienne a été accentuée à Edmonton grâce à l’utilisation de listes de contrôle des tâches quotidiennes que les surveillants devaient remettre. Le Système de compte rendu de l’intervieweur a été utilisé (un emprunt au bureau de la Région de l’Ouest et territoires du Nord) pour consigner les problèmes de rendement. À Moncton, les téléphonistes ont présenté des fiches quotidiennes de leur production – un contrôle de gestion instauré après le début des opérations, au moment où les niveaux de production devaient être augmentés. À Toronto, les surveillants remettaient des résumés hebdomadaires montrant la production quotidienne des téléphonistes.

ATR 36. En règle générale, les gestionnaires ont indiqué qu’ils utilisaient des techniques courantes telles que : établir des repères indépendants aux sites; accorder la priorité aux cas problèmes; tenir des réunions des gestionnaires et s’envoyer des courriels; tenir des entretiens particuliers au sujet du rendement pour régler les problèmes repérés lors de la surveillance; et compétitioner grâce à l’affichage des objectifs et des résultats atteints pour mousser la production. Les gestionnaires ont remarqué qu’il valait mieux présenter un portrait intégré du rendement au téléphoniste (taux de production, qualité de la production, présence). Cela restreint les risques d’une fausse interprétation des messages sur le rendement, la rétroaction relative aux Formules 87 ne constituant qu’un seul de ces messages.

ATR 37. De façon individuelle, chaque site a adapté des outils, en a instauré de nouveaux et a reconnu l’importance de ceux qui intègrent l’information sur le rendement. Le fait de se concentrer sur l’amélioration, en prévision de 2011, axée sur l’adaptation des pratiques individuelles permet généralement une approche sage fondée sur l’expérience.

• Mesures appropriées prises
  ATR 38. Des mesures appropriées ont été prises lorsque les résultats étaient inacceptables. L’un des principaux mécanismes utilisés pour transmettre une rétroaction aux téléphonistes de l’ATR était les Formules 87. Lorsqu’un surveillant en remplissait une, elle était signée par le téléphoniste pour montrer qu’il recevait couramment une rétroaction. Tel qu’indiqué précédemment, certains surveillants préféraient donner une rétroaction positive et considèrent les termes du formulaire – accepté ou rejeté – comme une pierre d’achoppement. De plus, les gestionnaires ont utilisé d’autres outils, telle la surveillance d’autres rapports connexes au rendement, pour les aider à prendre des mesures appropriées. À Toronto, par exemple, on a mis l’accent sur l’utilisation d’une approche d’équipe et l’établissement de mesures du rendement faciles à utiliser et à comprendre. À Edmonton, les surveillants ont consigné les questions du rendement dans une base de données pour faciliter la communication avec les autres surveillants susceptibles de s’occuper des employés lors d’un autre quart de travail afin de suivre la résolution des problèmes. À Moncton, on a établi un chiffrier pour aider à surveiller la fréquence et les résultats (accepté ou rejeté) de la surveillance relative aux Formules 87. Il comprenait de l’espace pour indiquer quand un gestionnaire principal avait dû intervenir.

  ATR 39. Les gestionnaires ont bel et bien déterminé le besoin d’un outil supplémentaire – remontée des paliers hiérarchiques lorsque le rendement n’était pas acceptable. Il est nécessaire de fournir des détails à l’avance pour que les activités se déroulent sans heurts en 2011. Le partage des outils et des détails connexes qui indiquent quand et comment ils seront utilisés sur les sites d’ATR en 2011 permet de faciliter davantage l’aisance avec laquelle des mesures appropriées sont prises.

• Plaintes traitées
  ATR 40. Des pratiques de gestion sont en place pour traiter les plaintes du public relatives à la qualité du travail des téléphonistes. Il existe des procédures écrites pour les appels difficiles et les plaintes, qui se trouvent dans les manuels à l’intention des téléphonistes, des surveillants et des gestionnaires. De plus, les procédures de supervision qu’on retrouve dans ces manuels se complètent et constituent des contrôles raisonnables pour veiller à ce que les plaintes à l’égard des téléphonistes soient gérées efficacement. Les gestionnaires ont été d’accord pour dire que les plaintes ne représentaient pas un problème. Les pratiques de gestion relatives aux appels qui remontent las paliers sont appropriées.

• Évaluations rangées dans des classeurs dotés de verrous intégrés
  ATR 41. Les évaluations des Formules 87 ont été rangées dans des classeurs dotés de verrous intégrés. Ces classeurs ne respectaient pas les normes internes de Statistique Canada, mais correspondaient aux normes gouvernementales sur l’entreposage d’information « Protégé B ». Sur le site d’ATR de Toronto, les surveillants avaient leur propre classeur (et leurs clés) dans lequel ranger les évaluations de leur équipe. Dans les deux autres bureaux d’ATR, les dossiers étaient rangés de façon centrale.

  ATR 42. Lors de l’évaluation du site de Moncton, le gestionnaire de l’ATR a remarqué qu’il n’y avait pas suffisamment de classeurs dotés de verrous et qu’il n’existait aucune ligne directrice ou estimation sur le nombre de classeurs nécessaires. À Toronto, le gestionnaire a indiqué qu’à l’avenir, des arrangements devraient être pris à l’avance pour fournir à chaque surveillant un classeur à deux tiroirs.

  ATR 43. Sur les sites, on prévoit d’autres mesures de sécurité pour minimiser la possibilité que ceux qui n’ont pas « besoin de savoir » ait accès à l’information, par exemple en assurant la sécurité du périmètre, en faisant de l’observation et en aménageant des bureaux fermés dont les portes se verrouillent. Par ailleurs, certains éléments portent sur les personnes de l’extérieur, et non sur les autres employés. De plus, un risque supplémentaire lié à l’utilisation de classeurs non dotés de moraillons et de verrous appropriés réside dans le fait que quelqu’un pourrait entrer sans qu’on s’en rende compte – les verrous intégrés sont faciles à crocheter. L’autre risque est le fait que l’abaissement des normes, pour rendre les verrous intégrés acceptables, aurait un effet d’entraînement négatif au sein de Statistique Canada. Une évaluation de la menace et des risques relatifs à la collecte sur le terrain dans le cadre du Recensement de 2011 serait utile.

  ATR 44. Des coûts seront encourus pour localiser les classeurs usagés dotés de moraillons. (Les moraillons permettent l’utilisation de cadenas non intégrés.) Ils seront plus coûteux à acheter et peut‑être plus difficiles à trouver, car ce sont des classeurs de meilleure qualité.

Recommandations relatives à l’ATR

ATR 45. Recommandation 1 : Améliorer l’efficacité de la surveillance relative à la Formule 87 grâce à des outils améliorés et à de l’information, et augmenter la responsabilité des surveillants concernant la surveillance

• Améliorer les outils utilisés par les surveillants pour que les événements de surveillance soient effectués plus rapidement. Cela comprend l’amélioration de la conception des Formules 87 (p. ex. remplacer l’évaluation « accepté ou rejeté »). Les autres secteurs d’amélioration possibles sont la capacité de surveillance du système téléphonique, les outils d’ordonnancement et les méthodes de rétroaction ne reposant pas seulement sur une rencontre surveillant‑téléphoniste. L’automatisation du formulaire pourrait constituer une solution de rechange.
• Les gestionnaires de site ne devraient pas avoir à analyser quelle solution organisationnelle est la meilleure sur le terrain. Cela devrait avoir été envisagé à l’avance relativement aux contraintes de fonctionnement et aux outils disponibles, afin d’être intégré le plus efficacement possible. La promotion d’une approche uniforme dans l’ensemble des sites facilite l’évaluation.
• Examiner dans quelle mesure le contrôle des Formules 87 fonctionne – les gestionnaires devraient être en mesure de répondre à cette question de façon quantitative : dans quelle mesure le repère de surveillance est‑il atteint?

ATR 46. Recommandation 2 : Fournir de meilleurs outils d’information de gestion relatives au rendement des téléphonistes

• Fournir aux surveillants et aux gestionnaires des outils intégrés relatifs au rendement qui serviront à enregistrer l’information sur le rendement, et par lesquels ils pourront partager l’information qu’ils génèrent (p. ex. les résultats des Formules 87, l’information sur la remontée des paliers hiérarchiques, la présence) et qui résumeront l’information. Instaurer l’installation pour l’enregistrement de l’information sur la remontée des paliers hiérarchiques et établir des repères appropriés à ce sujet.
• Réduire le choix d’information relative à la production mise à la disposition des surveillants et se concentrer sur l’information la plus pertinente, en la formatant le plus utilement possible : joindre de l’information très actuelle sur chaque téléphoniste.

ATR 47. Recommandation 3 : Mener une évaluation de la menace et des risques pour déterminer si les classeurs à verrous intégrés sont suffisants

• Cela pourrait entraîner une norme unique à Statistique Canada, qui serait utilisée pour le Recensement de 2011.
• Cela donnerait aux surveillants une installation où ranger l’information sur le personnel grâce aux verrous et aux clés appropriés, tout en respectant le principe du « besoin de savoir ».

Conclusion

Gén 22. La paie a été traitée de façon exacte, la plupart du temps conformément aux lois, aux politiques et aux procédures établies. Par contre, les paiements aux employés n’ont pas toujours été versés de façon ponctuelle, car la rationalisation et le rajustement de certains contrôles étaient nécessaires pour établir la preuve d’une diligence raisonnable.

Gén 23. Les enquêtes de sécurité sur les nouveaux employés recrutés en vertu de la Loi sur la statistique pour le recensement rencontrent la majorité des exigences de la Politique du gouvernement sur la sécurité (2002) et la Norme sur la sécurité du personnel (1994). Des vérifications de fiabilité ont été menées avant que les employés ne commencent à travailler, cependant des améliorations doivent être apportées à certains outils et procédures en prévision des opérations sur le terrain du Recensement de 2011. Les employés ont prêté le serment professionnel en vertu de la Loi sur la statistique et avaient obtenu leur cote de fiabilité avant d’avoir accès à un ordinateur connecté à un réseau de Statistique Canada.

Gén 24. Dans l’ensemble, des contrôles de gestion étaient en place pour surveiller les téléphonistes de l’ATR qui répondaient au grand public canadien ou qui communiquaient avec eux pour obtenir de l’information dans le cadre d’un suivi des questionnaires rejetés au contrôle. Cependant, leur efficacité devrait être améliorée.

Annexe A

Plan d’action de la direction

Recommandations	Plan d’action ou explication relative à la non‑prise de mesures	Responsible du suivi	Date d’achèvement prévue	État
Concernant la paie
Paie 21. Recommandation 1 : Réduire le nombre et la complexité des formulaires de paie De telles mesures sont nécessaires pour réduire ou éviter les longs retards. La séparation des fonctions de paie et de production sur les formulaires pourrait aider. Le processus de paie devrait être simplifié et la possibilité d’automatisation plus poussée devrait être explorée.	Les SIG de la paie et de la production ont été dissociés lors des opérations du Recensement de 2006. À l’heure actuelle, l’hypothèse de planification pour le Recensement de 2011 vise à automatiser le compte rendu de rémunération et l’approbation grâce à l’utilisation d’un portail en ligne. Nous examinons actuellement la possibilité de convertir la rémunération du personnel de terrain de toutes les opérations à un taux de salaire horaire pour 2011. Ce faisant, nous simplifierions le processus et le système de paie.	Marc Hamel	À temps pour le Test du Recensement de 2009
Paie 22. Recommandation 2 : Simplifier les contrôles reliés à la signature des surveillants Dans les cas où la distance est grande entre l’agent recenseur et le surveillant, les signatures sont difficiles à obtenir, ce qui retarde le processus de paie. L’approbation électronique des formulaires pourrait s’avérer une option. D’autre part, ce contrôle (la signature du surveillant apposée à la Formule 33) pourrait être éliminé si la signature du surveillant sur l’état récapitulatif quotidien (Formule 32) était jugée suffisante.	Un compte rendu de rémunération automatisé ainsi qu’un examen et une approbation en ligne du surveillant remplaceraient le besoin de signature physique et créeraient une piste de vérification électronique (tel que mentionné sous Paie 21). En l’absence d’option électronique, la simplification telle que recommandée peut se faire grâce au processus sur papier.	Marc Hamel	À temps pour le Test du Recensement de 2009
Paie 23. Recommandation 3 : Améliorer le suivi des demandes en retard Un contrôle devrait être ajouté au processus de paie pour empêcher l’escalade des formulaires de paie en retard. Après un certain temps suivant une période de référence, un processus de suivi devrait être mis en route. Ce processus doit être en mesure de détecter le problème, de l’analyser et de trouver une solution. Il est très important de consigner toutes les étapes franchies, car cela montrera que nous avons fait preuve de diligence raisonnable.	En 2006, les rapports quotidiens du SIG étaient produits au siège social et envoyés aux régions. Ils relevaient les cas de paiement en retard à des fins de suivi ultérieur. La plupart des demandes de paiement en retard relatives au Recensement de 2006 ne découlaient pas des retards de la part des sous‑sections de la paie des bureaux locaux du recensement, mais davantage des demandes de paie en retard ou erronées effectuées par le personnel sur le terrain. Selon l’hypothèse de planification de 2011, on espère qu’un outil automatisé de compte rendu de la rémunération (tel qu’indiqué sous Paie 21) incitera le personnel sur le terrain à présenter des demandes de façon exacte et actuelle, tout en permettant un examen et une approbation de la supervision plus rapides et en réduisant l’exigence de rapprochement de la paie dans les sous‑sections de la paie des bureaux locaux du recensement. Nous nous efforcerons d’inclure des balises dans l’outil de paie automatisé. Ces balises apparaîtront lorsque les demandes de paie seront en retard et permettront de suivre la date de réception de la demande initiale s’il s’agit d’une erreur et que la demande est retournée pour être corrigée, et de suivre la date de la deuxième réception, le moment du traitement par la sous‑section de la paie, et la mesure de gestion prise au dossier. Les procédures seront également révisées pour officialiser davantage le processus à suivre pour les demandes de paie en retard.	Marc Hamel	À temps pour le Test du Recensement de 2009
Concernant les enquêtes de sécurité sur le personnel
ESP32. Recommandation 1 : Conformément au calendrier du Recensement de 2011, examiner les procédures relatives à l’enquête de sécurité sur le personnel et déterminer clairement qui est nommé responsable d’accorder la cote de fiabilité, dans quelles circonstances et la façon de faire. Refléter les résultats par des procédures et des outils modifiés, élaborés à l’aide de la consultation, tel qu’expliqué ci-dessous.
ESP32a. Outils : Un tableau de « délégation des pouvoirs en matière de sécurité » pour le Recensement de 2011 serait un outil utile pour transmettre de façon concise ce type d’information. Un deuxième outil serait un Formulaire de vérification de sécurité, de consentement et d’autorisation (actuellement appelé TBS/SCT 330-23E (révisé en fév. 2006)) mis à jour. Un troisième outil serait la mise en œuvre du Certificat d’enquête de sécurité et profil de sécurité (TBS/SCT 330-47 (révisé en fév. 2006)). Les deux derniers outils sont exigés par la directive du CT.	ESP32a – Un tableau de « délégation des pouvoirs en matière de sécurité » sera élaboré en collaboration avec le SACD. Il sera intégré aux procédures de 2011 et au matériel de formation. Le POT du Recensement de 2011 utilisera la version la plus récente des formulaires d’enquête de sécurité du CT, dans les limites de l’élaboration des systèmes et des aspects opérationnels. Le POT continuera de travaillé avec le SACD sur ce projet.	Marc Hamel et SACD	À temps pour le Test du Recensement de 2009; examen des formulaires avant les activités de 2011
ESP32b. Procédures : Elles devraient être plus complètes (incluant les procédures et les normes de documentation des comités de sécurité régionaux et indiquant de façon évidente pourquoi les tâches individuelles sont nécessaires et qui est autorisé à les accomplir), et inclure l’établissement des formulaires appropriées. Elles devraient également comprendre un rôle particulier pour les gestionnaires de site concernant l’inspection et la surveillance de la manière dont les formulaires de consentement et d’autorisation sont remplis, si le fonctionnaire approbateur en matière de sécurité n’est pas le gestionnaire de site.	ESP32b – Les procédures du Recensement de 2011 seront améliorées et tireront profit de celles en place pour les comités de sécurité régionaux en 2006. Tout comme en 2006, nous consulterons le SACD pour élaborer toutes les procédures et pratiques connexes à la sécurité et aux enquêtes sur le personnel. Le POT analysera l’utilité de nouvelles technologies telles que la « dactyloscopie numérisée » afin de réduire la complexité et d’augmenter la rapidité d’exécution du processus d’enquête de sécurité.	SACD et Marc Hamel	À temps pour le Test du Recensement de 2009 et les activités de 2011
ESP 32c. Consultation : Conformément au calendrier du Recensement de 2011, les fonctionnaires de la Division du SACD devraient formellement chercher à obtenir des conseils des fonctionnaires responsables de la sécurité du CT pour déterminer si Statistique Canada interprète adéquatement la norme provisoire sur les enquêtes de sécurité du personnel (ou sa version finale) telle qu’elle s’appliquera dans le contexte du Recensement de 2011. De plus, ils doivent documenter les résultats et apporter les changements nécessaires au Manuel des pratiques de sécurité de Statistique Canada	ESP32c – Cette recommandation sera adoptée. Le POT du recensement travaillera avec le SACD pour obtenir des conseils du CT.	SACD et Marc Hamel	À temps pour le Test du Recensement de 2009 et les activités de 2011
ESP 33. Recommandation 2 : Instaurer un contrôle supplémentaire pour que les employés ne puissent être affectés à un poste tant que leur enquête de sécurité n’est pas terminée ou tant qu’une cote provisoire n’a pas été accordée par le Comité de sécurité régional. Ce contrôle détectera tout cas qui échappera aux points de contrôle préventifs précédents	Les procédures actuelles seront examinées avant le Test du Recensement de 2009 pour s’assurer que les vérifications appropriées sont mises en œuvre. On examinera l’ajout d’un signal au SRAR dans les cas où une cote de sécurité finale ou temporaire n’aurait pas encore été accordée.	Marc Hamel	À temps pour le test du Recensement de 2009
ESP 34. Recommandation 3 : Fournir suffisamment de classeurs et de clés, puis donner des directives sur la gestion appropriée des clés.	Cette recommandation sera adoptée pour le Recensement de 2011	Marc Hamel	À temps pour le Test du Recensement de 2009
Concernant l’ATR
ATR 42. Recommandation 1 : Améliorer l’efficacité de la surveillance relative aux Formules 87 grâce à des outils améliorés et à de l’information, et augmenter la responsabilité des surveillants concernant la surveillance Améliorer les outils utilisés par les surveillants pour que les événements de surveillance soient effectués plus rapidement. Cela comprend l’amélioration de la conception des Formules 87 (p. ex. remplacer l’évaluation « accepté ou rejeté »). Les autres secteurs d’amélioration possibles sont la capacité de surveillance du système téléphonique, les outils d’ordonnancement et les méthodes de rétroaction ne reposant pas seulement sur une rencontre surveillant‑téléphoniste. L’automatisation du formulaire pourrait constituer une solution de rechange. Les gestionnaires de site ne devraient pas avoir à analyser quelle solution organisationnelle est la meilleure sur le terrain. Cela devrait avoir été envisagé à l’avance relativement aux contraintes de fonctionnement et aux outils disponibles afin d’être intégré le plus efficacement possible. La promotion d’une approche uniforme dans l’ensemble des sites facilite l’évaluation. Examiner dans quelle mesure le contrôle des Formules 87 fonctionne – les gestionnaires devraient être en mesure de répondre à cette question de façon quantitative : dans quelle mesure le repère de surveillance est‑il atteint?	Le formulaire de surveillance  (Formules 87) sera examiné et réorganisé avant le Recensement de 2011. Le POT examinera la faisabilité d’un formulaire de surveillance automatisé. L’hypothèse actuelle de planification demande qu’un site d’ATR soit colocalisé avec le CTD pour le prochain recensement. Cela devrait éliminer la question d’uniformité entre les sites. Le POT recommandera qu’un nouveau poste de surveillant ou d’observateur soit ajouté à la structure organisationnelle de l’ATR pour assurer une rétroaction autonome et uniforme sur la surveillance. Le POT recommandera également que les téléphonistes de l’ATR reçoivent des rapports de productivité comparant leur production personnelle à un repère ou à une moyenne de groupe.	POT et CTD	À temps pour le Test du Recensement de 2009 et les activités de 2011
ATR 45. Recommandation 2 : Fournir de meilleurs outils d’information de gestion relatives au rendement des téléphonistes Fournir aux surveillants et aux gestionnaires des outils intégrés relatifs au rendement qui serviront à enregistrer l’information sur le rendement, et par lesquels ils pourront partager l’information sur le rendement qu’ils génèrent (p. ex. les résultats des Formules 87, l’information sur la remontée des paliers hiérarchiques, la présence) et qui résumeront l’information. Renforcer l’installation d’enregistrement de l’information sur la remontée des paliers hiérarchiques et établir des repères appropriés à ce sujet. Réduire le choix d’information relative à la production mise à la disposition des surveillants et se concentrer sur l’information la plus pertinente, en la formatant le plus utilement possible : joindre de l’information très actuelle sur chaque téléphoniste.	Le POT recommandera que les téléphonistes de l’ATR reçoivent des rapports de productivité comparant leur production personnelle à un repère ou à une moyenne de groupe. L’hypothèse actuelle de planification demande un SIG plus simplifié dans le but de créer des indicateurs clés pour les gestionnaires et les surveillants. Un processus de remontée des paliers hiérarchiques sera précisé et recommandé à la direction de l’ATR.	POT et CTD	À temps pour le test du Recensement de 2009 et les activités de 2011
ATR 46. Recommandation 3 : Mener une évaluation de la menace et des risques pour déterminer si les classeurs à verrous intégrés sont suffisants Cela pourrait entraîner une norme unique à Statistique Canada, qui serait utilisée pour le Recensement de 2011. Cela donnerait aux surveillants une installation où ranger l’information sur le personnel grâce aux verrous et aux clés appropriés, tout en respectant le principe du « besoin de savoir ».	Nous nous efforcerons d’utiliser seulement des classeurs sécuritaires dotés de moraillons et de verrous approuvés. Étant donné que la supervision et la surveillance des téléphonistes de l’ATR sont souvent partagées entre les surveillants, des classeurs centralisés et partagés dotés d’un contrôle des clés accru seront recommandés pour 2011.	POT et CTD	À temps pour le Test du Recensement de 2009 et les activités de 2011

Notes

1. Les employés jurent de ne pas divulguer d’information confidentielle.
2. Rapport sur le rendement de Statistique Canada, période prenant fin le 31 mars 2004, p.20.
3. Le suivi des questionnaires rejetés au contrôle est un processus du recensement par lequel les questionnaires qui n’ont pas été acceptés aux contrôles de la qualité sont repérés et les répondants, recontactés pour obtenir les bons renseignements.
4. Les employés jurent de ne pas divulguer d’information confidentielle.
5. Les opérations sur le terrain comprennent celles liées aux sites d’assistance téléphonique de recensement, aux centres régionaux du recensement, aux bureaux locaux de recensement (BLR) et aux bureaux infralocaux de recensement (BIR).
6. Les Formules 87 remplies ont été rangées dans les dossiers personnels. Nous nous attendions à trouver des dossiers individuels pour chaque employé ayant rempli ces formules. Nous ne nous attendions pas à les trouver jumelées au dossier personnel gardé par les ressources humaines, car les formules sont utilisées à des fins opérationnelles après avoir été remplies, au moins pour deux sites.
7. Il s’agit de l’évaluation du risque résiduel du vérificateur, fondé sur ses résultats. Elle donne au lecteur un bon aperçu de l’incidence pour Statistique Canada.
8. Ce critère pourrait être classé « attention », mais nous jugeons bon de le classer « OK », malgré les problèmes avec l’autorisation. Cela rend compte de l’interdépendance entre ce critère et le précédent et, selon nous, équilibre le message sans le surévaluer de façon inappropriée.
9. Les formules 30, 33 (a à g) et 34 sont des formulaires de paie hebdomadaires remplies par l’employé. Le type de travail accompli indique le formulaire à utiliser. La Formule 1C a été instaurée tard dans le processus; elle était également remplie par les employés. La Formule 32 est l’état récapitulatif quotidien du surveillant. Les formulaires de paie visent deux objectifs : la paie et la production à entrer dans les rapports du Système d’information de la gestion. Le rapprochement entre les formulaires hebdomadaires de paie et les états récapitulatifs quotidiens était effectué chaque semaine.
10. Statistique Canada. Guide de la Loi sur la statistique, décembre 1999.
11. Les normes du gouvernement concernant les classeurs ont été respectées. Par contre, les normes de Statistique Canada concernant les classeurs ne l’ont pas été. Nous n’avons trouvé aucun classeur doté d’un moraillon ou d’un verrou approprié. Les classeurs étaient plutôt dotés des verrous intégrés généralement utilisés, ce qui contrevient au Manuel des pratiques de sécurité, paragraphe 2.10 b). Une évaluation de la menace et des risques pourrait être menée pour déterminer si une exception devrait s’appliquer au personnel du recensement et aux dossiers de paie.
12. La vérification n’a pu confirmer, indépendamment des résultats de la Formule 26B, que le contrôle des antécédents professionnels a été mené. Il s’agit d’une vérification séparée indiquée sur la Formule 26B. Selon la documentation du recensement (Formule 45-7), cette vérification fait partie du contrôle des références. Cela n’est pas préoccupant, car le formulaire de consentement et d’autorisation du Secrétariat du CT (TBS/SCT 330‑23E (révisé en février 2006)) regroupe aussi ces vérifications. Par contre, il serait utile que le formulaire de consentement et les procédures correspondent.
13. Tel qu’indiqué à la page 12, le formulaire de consentement et d’autorisation du recensement ne prévoyait pas d’espace pour l’autorisation, mais seulement une certification que les vérifications avaient été faites. Ainsi, l’information sur la certification a servi d’approximation.
14. D’autres contrôles sont conçus pour les niveaux de gestion plus élevés. Ils ne font pas l’objet de cette vérification.
15. Cette liste de contrôle a été conçue localement et contient plus d’éléments que celle des tâches quotidiennes de la Formule 80B.
16. Grâce à l’observation, une surveillance informelle a lieu tous les jours, selon les questions posées, les déplacements effectués autour des postes de travail et l’observation de ce que les téléphonistes font – en regardant par-dessus leur épaule un bref moment –, etc.