Audit de la gestion de l’information du processus budgétaire fédéral

Rapport d’audit

Préparé par :
Direction de la vérification interne
Juillet 2018

Version PDF - [345 Ko]

Pour consulter un fichier PDF (format de document portable), votre ordinateur doit avoir un lecteur PDF. Si vous n'en avez pas déjà un, il existe de nombreux lecteurs PDF que vous pouvez télécharger gratuitement ou acheter dans Internet.

Table des matières

Sommaire exécutif

Renseignements généraux

Objectif et portée de l’audit

Approche

Opinion

Énoncé de conformité

Constatations détaillées et recommandations

Conclusion

Recommandations, réponse et plan d’action de la direction

Annexe A : Critères d’audit

Annexe B : Acronymes

Sommaire exécutif

Ce que nous avons examiné

L’objectif de cet audit était de fournir une assurance raisonnable de l’efficacité du cadre de contrôle de la gestion du ministère des Finances Canada (le Ministère) portant sur la gestion de l’information (GI) dans le cadre du processus d’élaboration du budget fédéral (le budget).

La portée de l’audit comprenait l’évaluation du cadre de contrôle de la gestion du Ministère en lien avec la GI produite dans le cadre de la planification et de la préparation du budget de 2017 et dans le cadre des premières étapes de la planification du budget de 2018. Plus particulièrement, cet audit était axé sur la collecte (création et réception), la distribution, la conservation (utilisation et protection) et la destruction des données budgétaires.

Afin d’évaluer le cadre en question, nous avons examiné les structures de gouvernance en place (les comités, les rôles et les responsabilités définies) ainsi que les politiques, les procédures et les outils utilisés pour soutenir la GI produite dans le cadre du processus budgétaire. Une attention particulière fut apportée à l’évaluation des contrôles d’accès de la technologie de l’information (TI) ayant été mis en place pour protéger les données budgétaires.

Pourquoi est-ce important?

L’information est un bien ministériel de base. La gestion efficace et efficiente de cette information est requise afin de permettre au Ministère de fournir des conseils stratégiques éclairés et d’agir en tant qu’organisme fondé sur le savoir souple et réactif, tout en protégeant les renseignements de nature très délicate qu’il possède.

Le budget annuel du gouvernement du Canada (le gouvernement) constitue l’un des produits livrables principaux du Ministère. Le budget rend compte des mesures financières du gouvernement et de ses priorités en matière de politiques. Dans le cadre la planification et de la préparation du budget, le Ministère est responsable d’une quantité importante de renseignements de nature très délicate. Le Ministère tient à s’assurer qu’il détient le contrôle effectif de toutes les données budgétaires. Ce contrôle effectif aidera le Ministère à s’assurer que les documents budgétaires clés sont bien gérés, que les conseils qu’il prodigue sont bien soutenus et que les renseignements qu’il possède, ainsi que sa réputation, sont protégés de manière adéquate.

Ce que nous avons constaté

En général, nous avons constaté que le Ministère a bel et bien établi un cadre de contrôle de la GI au sein de son processus d’élaboration du budget. Toutefois, ce cadre n’est pas entièrement efficace et nous avons relevé des points à améliorer.

Nous avons constaté que le Ministère a approuvé une nouvelle politique ministérielle sur la GI en mars 2018. Au moment où le présent audit s’est produit, le Ministère procédait encore à l’élaboration de directives supplémentaires.

Le Ministère a établi des rôles et responsabilités clairs pour l’équipe de coordination du processus budgétaire et pour les coordonnateurs du budget. Nous avons constaté que l’équipe de la Direction des politiques économique et budgétaire, responsable de la coordination du processus budgétaire, a ouvert la voie à l’augmentation de l’adoption et de l’utilisation du système budgétaire SharePoint dans l’ensemble du Ministère, ce qui a amélioré les processus d’échange de renseignements et de collaboration.

Nous avons constaté que les renseignements et les documents produits dans le cadre du processus budgétaire ne sont pas gérés conformément avec les politiques ministérielles et les politiques du Conseil du Trésor (CT). Une certaine surveillance de la conformité y était effectuée. Toutefois, nous n’avons trouvé aucun plan de surveillance documenté qui veillerait à ce que le Ministère réponde aux exigences de la Politique sur la gestion de l’information du CT et aux exigences de sa politique ministérielle sur la gestion de l’information.

Nous avons constaté que le Ministère a établi des directives pour ses employés concernant la conservation et l’élimination des renseignements. Nous avons cependant remarqué des incohérences au niveau de la diffusion de ces directives entre les différents médias et plateformes. Certains employés n’ont pas connaissance de leurs responsabilités en lien avec la politique ministérielle sur la gestion de l’information ou en lien avec l’utilisation de SharePoint.

Les questions et les initiatives liées à la GI sont présentées aux comités de haute direction du Ministère. Nous n’avons toutefois pas été en mesure de déterminer l’efficacité des délibérations de ces comités, puisque deux de ces comités sur trois n’ont pas produit de comptes rendus des décisions.

Nous avons constaté que le Ministère planifie d’intégrer GCdocs[1] à son réseau ouvert (*caviardé*), afin de veiller à la conservation des documents et des renseignements clés, comme requis. Nous remarquons toutefois que ce plan n’a toujours pas été mis en œuvre. De plus, nous n’avons constaté aucun plan de ce genre pour le réseau *caviardé* du Ministère.

Nous avons constaté qu’il y a de multiples contrôles en place pour protéger les données budgétaires, sans toutefois qu’ils aient les effets escomptés, puisque l’effectif n’adhère pas de manière constante à leurs exigences. Nous avons également constaté qu’un contrôle clé servant à accéder électroniquement aux fichiers en lien avec le budget n’est toujours pas défini.

Kari Swarbrick
Dirigeante principale de la vérification

Renseignements généraux

  1. L’Audit de la gestion de l’information du processus budgétaire fédéral a été autorisé dans le cadre du Plan d’audit axé sur les risques du ministère des Finances Canada (le Ministère) pour la période de 2017 à 2020, qui a été approuvé par le sous-ministre le 9 juin 2017.

Gestion de l’information

  1. La gestion de l’information (GI) est une discipline qui oriente et appuie une gestion efficace et efficiente de l’information au sein d’un organisme, dès l’étape de la planification à celle de l’élimination de l’information ou de sa conservation à long terme. Le Ministère produit un grand éventail d’informations, y compris des données, des documents, des graphiques, des enregistrements, des gazouillis et des articles de blogues.
  2. Tel qu’énoncé dans le Plan d’activités intégré du Ministère de 2017-2018, l’information constitue un bien ministériel principal. Le Ministère mise sur une GI efficace et efficiente pour dispenser des conseils stratégiques éclairés et œuvrer en tant qu’organisme fondé sur le savoir souple et réactif, tout en protégeant les renseignements de nature très délicate qu’il possède. La GI est la responsabilité de tous les employés du Ministère et comprend la création, la collecte, l’organisation, la détermination d’une classification de sécurité, la réutilisation et l’échange de renseignements, ainsi que l’élimination des renseignements qui n’ont pas de valeur opérationnelle (c.-à-d. l’information temporaire).

La gestion de l’information au ministère des Finances Canada

  1. Le sous-ministre est responsable de la gestion efficace et bien coordonnée de l’information pour tout le Ministère. La Division de la gestion de l’information et de la technologie (DGIT), gérée par le dirigeant principal de l’information (DPI), est responsable de fournir une gestion de l’information et des technologies efficace et novatrice afin de soutenir les objectifs opérationnels du Ministère.
  2. Le Ministère enregistre son information électronique sur deux réseaux : le réseau *caviardé*, un réseau ouvert connecté à des services extérieurs d’internet et de courriel; et le réseau *caviardé*, un réseau isolé avec des capacités de connexion externe limitées. Au début de 2017, le Ministère avait annoncé qu’il planifiait utiliser un logiciel connu sous le nom de SharePoint en vue de gérer son information électronique de manière efficace. SharePoint permet aux utilisateurs de créer, échanger et réutiliser l’information de façon collaborative dans l’ensemble du Ministère, tout en facilitant l’examen et l’approbation des documents. Après avoir utilisé une version de SharePoint aux fonctionnalités limitées lors des trois derniers cycles d’élaboration du budget, le Ministère planifiait de déployer SharePoint au réseau *caviardé* en juin 2017 et au réseau *caviardé* en automne de la même année. Lors d’une étape ultérieure, le Ministère planifiait connecter SharePoint à GCdocs par l’entremise du réseau *caviardé*[2].

Préparation du budget

  1. L’un des principaux produits livrables du Ministère est l’élaboration du budget fédéral annuel (le budget) pour le gouvernement du Canada (le gouvernement). Le budget annuel est présenté au Parlement au début de chaque année (habituellement en février ou en mars) et établit le programme économique et financier du gouvernement. La préparation du budget exige les conseils et la contribution directe des neuf directions du Ministère.
  2. La Direction des politiques économique et budgétaire (DPEB) joue un rôle important dans la GI du budget, puisqu’elle dirige la coordination du budget au sein du Ministère. Toutes les directions, à l’exception de la Direction des services ministériels, ont un coordinateur du budget. Ce dernier est responsable d’assurer la liaison avec la DPEB durant le cycle budgétaire et de gérer les contributions internes de leur direction au budget.
  3. L’audit des pratiques de la GI dans le cadre du processus budgétaire est essentiel à l’évaluation de la GI effectuée par les directions. Cet audit constitue également le seul soutien existant pour les analystes de politiques. Par ailleurs, les récents audits réalisés par le Bureau du vérificateur général, à l’égard des politiques, ont décelé des problèmes quant à la disponibilité des renseignements servant à appuyer l’analyse des politiques et les recommandations connexes.

Objectif et portée de l’audit

Objectif

  1. Le but de l’audit était de fournir une assurance raisonnable de l’application adéquate et efficace du cadre de contrôle de la gestion du Ministère portant sur la gestion de l’information dans le cadre du processus de l’élaboration du budget fédéral.

Portée

  1. La portée de cet audit comprenait l’évaluation du cadre de contrôle de la gestion du Ministère en lien avec la GI, en y incluant la gestion des documents pour le cycle budgétaire de 2017 et les débuts du cycle budgétaire de 2018.

    La portée de cet audit ne s’étend pas à l’évaluation des éléments suivants :
  • Les décisions stratégiques prises dans les documents budgétaires et les conseils prodigués au Ministre des Finances par les directions ministérielles durant le processus d’élaboration du budget;
  • L’infrastructure de la sécurité de la technologie de l’information (TI) en lien avec les menaces externes à l’endroit des données budgétaires, puisque l’examen de la gouvernance de la TI et de la gestion de projet est prévu pour l’exercice financier 2018-2019;
  • Les rôles et les responsabilités des intervenants externes, comme le Bureau du Conseil privé.

Approche

  1. Au cours de l’audit, nous avons :
  • examiné des documents pertinents, comme la Politique sur la gestion de l’information du Conseil du Trésor (CT) et les directives connexes, la Politique sur la gestion de l’information du Ministère, ainsi que ses directives en matière de GI et un nombre de comptes rendus des décisions découlant des réunions de gouvernance;
  • l’entretien avec le personnel des neuf directions du Ministère, y compris le DPI et les coordonnateurs du budget des directions;
  • effectué des examens des structures de classement dans les disques partagés et dans SharePoint;
  • effectué l’analyse des données des contrôles d’accès aux systèmes.
  1. Le travail sur place pour cet audit s’est en grande partie achevé le 22 décembre 2017. En mars 2018, une fois nos travaux d’audit terminés, le Ministère a approuvé une nouvelle politique ministérielle de gestion de l’information, qui fut examinée durant la rédaction du présent rapport.

Opinion

  1. Des procédures suffisantes et appropriées ont été effectuées et des éléments de preuve ont été recueillis en vue de soutenir l’exactitude de la conclusion de l’audit. Les constatations et les conclusions observées dans cet audit sont fondées sur une comparaison des conditions qui existaient au moment de l’audit par rapport aux critères préétablis ayant été approuvés par la haute gestion.
  2. Les constatations et la conclusion s’appliquent uniquement à l’entité examinée et, ce, uniquement à l’égard de la portée et de la période couvertes par l’audit.

Énoncé de conformité

  1. L’audit a été réalisé conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, comme le démontrent les résultats du Programme d’assurance et d’amélioration de la qualité.

Constatations détaillées et recommandations

Gouvernance

  1. La gouvernance est un agencement de processus et de structures mis en place par une organisation afin d’éclairer, de diriger, de gérer et de surveiller ses activités en vue de réaliser ses objectifs. Nous nous attendions à ce que le Ministère ait établi des processus et des structures de gouvernance adéquats et efficaces en vue de gérer les données budgétaires. On inclut ici l’établissement de structures de comités et hiérarchique, ainsi que l’établissement de rôles et de responsabilités veillant à la gestion et la surveillance efficace des données budgétaires.
  2. Le processus d’élaboration du budget est gouverné principalement par deux comités : le Comité ministériel de coordination (CMC) et le Comité exécutif (COEX). Le CMC, présidé par un sous-ministre adjoint associé, est un forum de discussion portant sur la coordination des priorités ministérielles, axé sur la mise en œuvre horizontale et l’exécution. Le COEX, présidé par le sous-ministre (SM), est le plus haut comité de gestion du Ministère. Il constitue le dernier niveau d’approbation pour tout ce qui se rapporte aux questions liées à la politique de gestion ministérielle, aux stratégies, à la gérance et aux recommandations formulées par un autre comité ministériel. Le COEX est chargé de l’approbation annuelle du Plan intégré de gestion de l’information et de technologie de l’information, ainsi que de l’approbation des politiques et des outils de GI ministériels.
  3. Les comptes rendus de décisions sont importants puisqu’ils facilitent l’établissement d’une structure et d’une compréhension commune entre les membres d’un comité, en plus d’orienter les activités. Ils précisent comment, quand, pourquoi et par qui les décisions ont été prises. Essentiellement, ces comptes rendus soutiennent la transparence et la responsabilisation, puisqu’ils indiquent les responsabilités particulières de chacun. Ils capitulent également le compte rendu de décisions officiel, qui est partagé avec les intervenants.
  4. Nous avons constaté l’absence d’un compte rendu des décisions rédigé ou préparé pour le CMC et le COEX. Ce manque d’information a créé des problèmes auprès des membres, qui ont de la difficulté à s’exécuter efficacement sur les plans et les enjeux importants, tout en rendant la communication des décisions aux intervenants au sein de l’organisme plus difficile. La raison principale qu’on nous a donnée pour expliquer le fait que les comités ne gardent pas de comptes rendus des décisions est que les membres devraient avoir un environnement « sûr » où discuter des enjeux de nature délicate.
  5. Comme aucun compte rendu des décisions formel n’a été conservé par le COEX ou le CMC, nous n’avons pas été en mesure d’examiner les décisions et les approbations de politiques, de stratégies et d’outils de GI en lien avec le budget. De plus, nous ne sommes pas en mesure de conclure sur l’efficacité de la surveillance ou de la supervision de la GI du processus budgétaire.
  6. La Direction de la vérification interne a effectué un audit de la protection des renseignements de nature délicate en parallèle avec cet audit. Les deux audits ont relevé cette même lacune. Une recommandation à cet égard sera remise dans le cadre de l’Audit de la protection des renseignements de nature délicate. Par conséquent, le présent rapport n’en produira aucune.

Rôles et responsabilités en matière de gestion de l’information

  1. La documentation de rôles et de responsabilités bien définis, et la communication de ceux-ci au personnel, aide à soutenir la responsabilisation et la bonne gestion. Nous nous attendions à ce que le Ministère ait défini les rôles et les responsabilités de la GI pour le processus d’élaboration du budget et qu’il les ait communiqués à tous les intervenants.
  2. Au sein du Ministère, les rôles et les responsabilités de la GI sont généralement répartis entre deux groupes d’intervenants. Le premier groupe est composé de spécialistes fonctionnels appartenant à la Division de la gestion de l’information et de la technologie (DGIT). Ces spécialistes fournissent leur soutien et leurs conseils aux employés, afin de les aider à s’acquitter de leurs responsabilités de gestion des documents. Ils offrent également des services de gestion de documents, de bibliothèque et d’architecture de l’information pour l’ensemble du Ministère. Ces services ne se limitent pas à la GI dans le cadre du processus budgétaire. Le deuxième groupe d’intervenants est constitué d’employés qui créent des documents et qui utilisent l’information. Ces employés sont responsables de la gestion des documents appartenant aux axes opérationnels qui leur sont propres, dont le processus budgétaire. La Direction des politiques économique et budgétaire (DPEB) coordonne le processus budgétaire et effectue un examen financier de tous les éléments budgétaires proposés. De plus, toutes les directions, à l’exception de la Direction des services ministériels, ont un coordinateur du budget. Ce dernier est responsable d’assurer la liaison avec la DPEB durant le cycle budgétaire et de gérer les contributions internes de leur direction au budget.
  3. Nous avons constaté que les rôles et les responsabilités de haut niveau pour la GI cadrant dans le processus budgétaire sont définis et ont été communiqués aux intervenants.

Politiques sur la gestion de l’information

  1. Les politiques officielles servent à soutenir les employés dans l’application uniforme de la GI dans l’ensemble du Ministère. Nous nous attendions à ce que les politiques de la GI soient harmonisées avec les politiques applicables du CT et à ce qu’elles soient définies, documentées et communiquées aux intervenants.
  2. Nous avons constaté que le Ministère a approuvé une politique sur la gestion de l’information en mars 2018. Cette politique fournit un aperçu de haut niveau des rôles et des responsabilités du Ministère en matière de la GI. Le Ministère travaille actuellement à l’élaboration de guides supplémentaires, qui dénombreront en détail les rôles et les responsabilités aux groupes d’utilisateurs. Toutefois, la nouvelle politique et les nouvelles directives n’ont toujours pas été pleinement communiquées au personnel.
  3. La surveillance périodique des politiques ministérielles et gouvernementales veille à assurer la conformité auxdites politiques et à l’efficacité des opérations ministérielles. La Politique sur la gestion de l’information du CT exige que les ministères surveillent la conformité en fonction de cet ensemble de politiques. Nous nous attendions à ce que le Ministère surveille sa conformité à l’ensemble de politiques.
  4. Nous avons constaté que le Ministère effectuait une surveillance partielle de sa conformité avec les politiques du CT. Plus précisément, le Ministère surveille uniquement les parties de la politique examinées lors des évaluations de son Cadre de responsabilisation de gestion. Celles-ci ne représentent qu’une catégorie des exigences établies dans le cadre de l’ensemble de politiques du CT.
  5. La politique ministérielle sur la gestion de l’information enjoint la DGIT à surveiller l’adhérence du Ministère aux politiques du CT et à ses propres politiques. Nous avons demandé à la DGIT de nous fournir son plan de surveillance. La DGIT n’a toutefois pas été en mesure de nous remettre un plan de surveillance documenté nous permettant d’effectuer ces évaluations.
  6. Des lacunes au niveau de la surveillance de la conformité aux politiques pourraient exposer le Ministère à des risques. Le Ministère pourrait ignorer s’il est conforme aux politiques ou non, ce qui rend difficile pour le Ministère de déterminer si ses pratiques de GI s’améliorent ou non.

Recommandation no 1

Le dirigeant principal de l’information devrait s’assurer que :

  • la politique ministérielle sur la gestion de l’information et les guides sur la mise en œuvre de celle-ci sont harmonisés avec la Politique sur la gestion de l’information du Conseil du Trésor et les directives qui s’y rapportent; ces politiques doivent être transmises aux employés;
  • un plan de surveillance est élaboré et mis en œuvre en vue d’assurer la conformité du Ministère avec la Politique sur la gestion de l’information du Conseil du Trésor et les directives qui s’y rapportent, en plus de se conformer à sa propre politique sur la gestion de l’information.

Outils et pratiques en lien avec la gestion de l’information

  1. Plusieurs organismes s’appuient sur des outils pour les aider dans la GI. Nous nous attendions à ce que le Ministère se soit servi d’outils de façon systématique et cohérente afin de créer, suivre, enregistrer et gérer ses données budgétaires.
  2. Nous avons constaté que le Ministère a déployé SharePoint dans l’ensemble de l’organisme, à titre de système frontal de gestion des documents. Le Ministère s’est servi d’une version de SharePoint aux fonctionnalités limitées (Budget SharePoint) au cours des trois derniers cycles budgétaires. Nous avons constaté que, bien que certaines directions se servent de Budget SharePoint pour créer tous les documents en lien avec le budget, d’autres évitent encore de l’utiliser et sont devenues fortement dépendantes des disques partagés. Certains employés et directions, collaborant à l’élaboration du budget, demeurent incertains quant au moment approprié d’utiliser SharePoint, Budget SharePoint ou de s’appuyer sur les disques partagés.
  3. Le déploiement de SharePoint dans l’ensemble du Ministère, qui s’est produit en 2017, est le résultat d’un projet pluriannuel. En collaboration avec toutes les directions, l’équipe de GI a conçu une architecture de l’information adaptée à SharePoint. Cette architecture comprend les méthodes d’organisation et de contrôle de l’information (comme la navigation, les règles de conservation ou d’élimination et les droits d’accès aux documents). Certaines règles de gestion des documents sont incorporées dans le code de SharePoint (comme les champs de métadonnées en lien avec un type de document, la classification de sécurité d’un document, etc.). D’autres règles de gestion des documents exigent que les employés connaissent les pratiques établies et qu’ils effectuent les fonctions requises. Par conséquent, nous nous attendions à ce que le Ministère ait créé des documents d’orientation sur la manière de gérer l’information en utilisant SharePoint, et à ce que ces documents soient transmis à tous les employés.
  4. Nous avons constaté que la DGIT a créé de nouvelles directives axées sur l’utilisation de SharePoint à l’intention des employés, afin de les aider à assurer la transition vers SharePoint et à mieux gérer l’information. Ces directives sur l’utilisation de SharePoint sont disponibles sur l’intranet et présentent une marche à suivre pour le nouveau système, en plus de détailler les responsabilités des employés quant aux pratiques de gestion des documents. La DGIT a également offert aux employés une formation sur l’utilisation de SharePoint tout au long de l’été et de l’automne 2017. Au printemps 2018, la DGIT a lancé une nouvelle approche servant à communiquer les pratiques exemplaires en matière de GI, qu’elle a présenté à l’aide de démonstrations dans SharePoint.

Stockage des données budgétaires

  1. L’audit a également regardé comment les analystes sauvegardent les documents justificatifs de chaque note d’information budgétaire « à deux pages »[3] (p. ex., les courriels avec les intervenants principaux ou les analyses de données). Nous nous attendions à ce que chaque direction applique une approche uniforme afin de déterminer quels types de documents devraient être sauvegardés et conservés à titre de document officiel.
  2. Nous avons constaté qu’il existe des incohérences importantes dans les méthodes utilisées par les analystes budgétaires du Ministère pour déterminer les types de documents qui devraient être sauvegardés. Nous avons même constaté des incohérences entre les analystes issus d’une même direction. Certains analystes ont démontré qu’ils savaient bien où et comment sauvegarder ces documents, alors que d’autres l’ignoraient. Par exemple, certains analystes prenaient soin d’enregistrer les courriels importants, alors que d’autres ne le faisaient pas.
  3. Nous avons également constaté que la plupart des analystes ne travaillaient pas exclusivement avec Budget SharePoint. Certains analystes travaillaient sur leurs notes « à deux pages » à partir de leur disque personnel ou leur ordinateur de bureau, avant de l’intégrer à Budget SharePoint une fois rendu à l’étape de l’approbation.
  4. Afin d’aborder l’utilisation incohérente de l’outil SharePoint et d’augmenter la conformité à l’égard de la GI, la Communauté de pratique de la GI (CPGI) a été établie. Elle compte parmi ses membres des représentants de chaque direction. La CPGI est actuellement présidée par un directeur principal de la Direction des politiques économique et budgétaire (DPEB), la direction responsable de mener la coordination du budget. La première réunion de la CPGI s’est tenue au début de l’année 2018. Ce nouveau groupe vise à échanger les pratiques exemplaires, discuter des problèmes avec SharePoint et des solutions possibles, et à élaborer des directives dans le but de veiller à une application et une approche cohérente dans l’ensemble du Ministère.

Recommandation no 2

Le sous-ministre adjoint de la Direction des politiques économique et budgétaire devrait mener des efforts ministériels en vue de s’assurer que l’information en lien avec le processus d’élaboration du budget fédéral est gérée de façon cohérente avec les politiques et les directives ministérielles et du Conseil du Trésor.

Élimination de l’information

  1. Une partie importante d’une bonne GI au sein du gouvernement est de savoir quand et comment éliminer des renseignements ou des documents qui n’ont plus de valeur pour l’organisation. Le Ministère est tenu d’éliminer certains renseignements créés dans le cadre du processus d’élaboration du budget. Nous nous attendions à ce que les employés éliminent l’information temporaire n’ayant plus de valeur pour le Ministère.
  2. Nous avons constaté qu’il existe des directives sur l’intranet du Ministère et sur les sites portant sur SharePoint visant à aider les employés à repérer les renseignements qui ont une valeur opérationnelle et à leur montrer comment les gérer. Ces directives aident également les employés à déterminer quand des renseignements peuvent être supprimés ou détruits. Les employés ont également accès à des directives qui leurs indiquent dans quelles situations demander l’aide d’un spécialiste fonctionnel de l’information. On fournit également aux employés des détails sur le processus à suivre pour envoyer des documents papier au Centre de l’information ministérielle du Ministère et sur la façon de déclarer un document numérique comme étant un document ministériel au moyen de SharePoint.
  3. Nous avons constaté qu’aucune des directions participant à l’élaboration du budget n’exécute le repérage et l’élimination des renseignements de manière cohérente ou systématique à la fin des cycles budgétaires. De plus, aucune des directions ne transmet régulièrement leurs données de valeur opérationnelle aux spécialistes fonctionnels de l’information, ce qui devrait être fait en vue d’assurer qu’elles sont gérées à titre de documents ministériels. Les raisons qu’on nous a fournies pour cette irrégularité comprennent entre autres les contraintes de temps et un manque de compréhension quant à la détermination des renseignements qui devraient être considérés comme des documents ministériels. Nous avons aussi constaté que, bien qu’il soit possible de coder certaines règles de la gestion de documents dans SharePoint, il est impossible de configurer SharePoint de sorte qu’il puisse repérer les documents ministériels. On s’attend à ce que les employés connaissent les pratiques de GI et qu’ils puissent déterminer la valeur de l’information (c.-à-d. distinguer l’information ministérielle de l’information temporaire). L’éventuelle intégration de SharePoint à GCdocs soutiendra la gestion des documents électroniques au sein du Ministère.
  4. Lorsqu’il ne s’occupe pas correctement du repérage et de l’élimination de ses documents, le Ministère court le risque significatif d’imposer un plus grand fardeau sur ses employés lorsque des demandes d’accès à l’information et protection des renseignements sont confiées. Dans une telle situation, les employés seraient obligés de trier au travers d’un grand volume de renseignements qui ne seront pas nécessairement classés de façon appropriée, ou qui auraient dû être supprimés ou éliminés.

Recommandation no 3

Le dirigeant principal de l’information devrait mener des efforts ministériels en vue de s’assurer que :

  • les directives sur la gestion de document sont cohérentes avec la politique ministérielle sur la gestion de l’information;
  • les directives sur la gestion de documents sont fournies à tous les employés et disponibles sur toutes les plateformes et tous les supports du Ministère;
  • les règles de gestion de document sont intégrées à SharePoint, lorsque cela est possible.

Gestion des documents

  1. Un système de gestion électronique des documents et des dossiers (SGEDD) permet aux employés du gouvernement de trouver, partager et produire en collaboration des ressources documentaires à valeur opérationnelle, ce qui améliore la productivité, l’efficacité et l’efficience des opérations. GCdocs est la solution de SGEDD officielle du gouvernement du Canada permettant aux organismes de satisfaire à leurs obligations en matière de GI. La mise en œuvre de GCdocs est une priorité pangouvernementale. Actuellement, le Ministère a seulement intégré SharePoint aux réseaux *caviardé* et *caviardé*, à titre d’outil de collaboration.
  2. Nous nous attendions à ce que le Ministère protège ses renseignements, y compris les renseignements en lien avec le budget. Nous nous attendions également à ce que le Ministère s’efforce de respecter les priorités pangouvernementales en lien avec GCdocs. Plus particulièrement, nous nous attendions à ce que le Ministère ait un plan pour l’intégration de GCdocs aux réseaux *caviardé* et *caviardé*.
  3. Nous avons constaté que, pour le moment, le Ministère a intégré SharePoint aux réseaux *caviardé* et *caviardé* à titre d’outil de collaboration. En ce qui concerne la gestion de documents, le Ministère ne gère toujours pas ses documents électroniques dans un référentiel de documents ministériel désigné, mais il gère ses documents papier conformément à la politique. Néanmoins, nous avons constaté que la haute direction a approuvé une stratégie visant la mise en œuvre de SharePoint à titre de système frontal de gestion des documents et d’outil collaboratif et la mise en œuvre de GCdocs à titre d’outil dorsal afin de veiller à ce que les renseignements qu’ils possèdent soient conservés ou éliminés de façon appropriée.
  4. Conformément au Plan intégré de gestion de l’information et de technologie de l’information de 2017-2020, le Ministère participe au groupe de travail du regroupement SharePoint et GCdocs qui a été établi en vue d’intégrer SharePoint et GCdocs en tant que la solution pangouvernementale[4]. Le plan prévoit également l’intégration de SharePoint et de GCdocs au réseau *caviardé* pour l’exercice financier 2018-2019. Toutefois, il n’y a actuellement aucun plan semblable pour l’intégration de ceux-ci au réseau *caviardé*, soit le réseau utilisé pour stocker toutes les données relatives au budget.
  5. De plus, nous avons constaté que, au cours des dernières années, les documents en lien avec le processus budgétaire n’ont pas été envoyés (sous forme d’ensemble exhaustif) à la gestion des documents par les propriétaires de renseignements (les créateurs et les auteurs de ces renseignements).

Recommandation no 4

Le dirigeant principal de l’information devrait élaborer des options en réponse à la décision du Comité exécutif sur l’orientation stratégique du réseau *caviardé*. Ces options devraient tenir compte des exigences en matière de gestion de l’information.

Recommandation no 5

Le sous-ministre adjoint de la Direction des politiques économique et budgétaire devrait veiller à ce que tous les renseignements ayant une valeur opérationnelle issus du processus budgétaire soient déclarés comme étant des documents ministériels, qui devront être envoyés au Centre de l’information ministérielle aux fins de gestion des documents.

Protection des données budgétaires

Ratissages de sécurité et sensibilisation

  1. Des programmes de sécurité sont mis en œuvre en vue de protéger les biens de l’organisation et sensibiliser les employés au sujet de la sécurité. Nous nous attendions à ce que le Ministère ait des contrôles efficaces en place en vue de protéger les renseignements en sa possession, y compris les renseignements en lien avec le budget.
  2. Des directives sur la sécurité de l’information et sur les pratiques portant sur le traitement sécuritaire des renseignements confidentiels en lien avec le budget sont disponibles pour tous les employés sur « InfoSite », le site intranet du Ministère. Voici quelques exemples des directives qui ont été fournis : des restrictions sur la communication, la photocopie et l’impression des renseignements classifiés en lien avec le budget; une explication du concept du « besoin de connaître »; des instructions sur la façon de classifier et de transporter des documents; ainsi qu’un survol des directives concernant le rangement du bureau.
  3. Nous avons également constaté que le Ministère a un programme de ratissage de sécurité en place depuis 2013-2014. Ce programme a été créé en vue d’informer les employés sur les directives concernant le rangement du bureau du Ministère, qui ont été établies afin de veiller à ce que les renseignements classifiés et protégés ne soient jamais laissés sans surveillance. Annuellement, lors de la période d’élaboration du budget, la Division des services de sécurité du Ministère effectue des ratissages de sécurité à chaque étage occupé par le Ministère. Afin de mettre l’accent sur l’importance de la sécurité de l’information, les sous-ministres adjoints sont alertés de tous les incidents survenant lors de ces ratissages de sécurité (p. ex., lorsqu’un document protégé est laissé sur un bureau, ou qu’un appareil électronique comme un ordinateur portable ou une tablette n’est pas sécurisé convenablement) impliquant l’un de leurs employés[5]. Après chaque ratissage, les employés visés doivent récupérer leurs documents classifiés ou protégés (ou leurs appareils électroniques) auprès de leur sous-ministre adjoint respectif.
  4. Après avoir analysé les données en lien avec les ratissages de sécurité des quatre dernières années, nous avons constaté que le nombre d’incidents a augmenté d’année en année (Tableau 1). Une analyse plus approfondie de ces données nous a permis de constater que cette augmentation était uniforme dans toutes les directions du Ministère. Le nombre total d’incidents concernait environ 5 % de tout le personnel du Ministère en 2013-2014. Ce taux est passé à environ 25 % en 2016-2017.
Tableau 1 : Nombre d’incidents survenus lors des ratissages de sécurité pour les exercices financiers 2013-2014 à 2016-2017
Exercice 2013–2014 2014–2015 2015–2016 2016–2017
Nombre d’incidents 35 71 148 182
  1. Nous avons posé des questions afin de savoir si le Ministère a effectué un examen des causes profondes à l’origine de l’augmentation du taux d’incidents liés à la sécurité et afin de savoir si une stratégie a été mise sur pied en vue de traiter cette augmentation. Nous avons été informés du fait que la Division des services de sécurité n’a jamais analysé ou examiné les fluctuations annuelles et qu’elle n’a pas mené d’enquête sur les causes profondes derrière l’augmentation du taux de non-conformité.
  2. La Direction de la vérification interne a effectué un Audit coordonné de l’accès pour la sécurité physique à l’Édifice James Michael Flaherty en 2017, qui a décelé des faiblesses au niveau de la sensibilisation des employés envers la sécurité. Bien que le présent audit a approché la question sous un angle différent, nous sommes arrivés à la conclusion selon laquelle les employés ne sont pas suffisamment préoccupés par la sécurité. Le présent audit ne reproduira pas les recommandations faites dans le cadre de l’audit de 2017.

Sécurité du budget

  1. Le Ministère a adopté une mesure de sécurité connue sous le nom du principe du « besoin de connaître ». Ce principe indique que même si une personne possède les cotes de sécurité nécessaires pour accéder à certains renseignements, elle n’y aurait pas accès à moins d’avoir un « besoin de connaître » justifié. L’application du principe du « besoin de connaître » au sein du Ministère est compensée par les avantages issus des collaborations opérationnelles entre les directions qui en découlent. Afin d’atteindre les objectifs de collaboration du principe du « besoin de connaître », le Ministère a créé deux dossiers dans Budget SharePoint : un dossier «*caviardé*» et un dossier « *caviardé* »[6]. L’accès individuel à ces dossiers est restreint puisqu’ils contiennent des renseignements sensibles en lien avec le budget et que seules les directions chargées des politiques y ont accès.
  2. L’accès aux dossiers du budget est remis sur une base individuelle par une équipe de TI au sein de la DGIT. La DGIT reçoit les demandes d’accès et consulte une liste d’approbateurs désignés pour les dossiers du budget afin de s’assurer que les demandes sont authentiques. La DGIT autorise l’accès aux dossiers du budget à la suite d’un processus documenté. Les accès autorisés sont également suivis à l’aide d’un document Excel, afin d’établir un registre de qui a eu accès à quoi, avec l’autorisation de qui. Les approbateurs désignés sont des membres de l’équipe de la DPEB, qui coordonnent le processus budgétaire, et les coordinateurs du budget de chaque direction. Bien que le processus soit clair, nous n’avons trouvé aucune indication qu’il existe des critères bien définis et documentés pour les approbateurs désignés.
  3. En général, bien que des contrôles veillant à la protection des renseignements en lien avec les données budgétaires sont en place, un point faible demeure : il n’y a aucune politique d’accès documenté servant à clarifier les procédures à suivre afin d’approuver l’accès aux dossiers du budget.

Recommandation no 6

Le sous-ministre adjoint (SMA) de la Direction des politiques économique et budgétaire, en collaboration avec d’autres SMA issus des directions des politiques, devraient élaborer une politique d’accès documenté pour les dossiers se trouvant dans Budget SharePoint.

Conclusion

À l’issue du présent audit, nous sommes arrivés à la conclusion que le Ministère a bel et bien établi un cadre de contrôle de la gestion de l’information (GI) au sein du processus budgétaire. Toutefois, ce cadre n’est pas entièrement efficace et nous avons relevé des points à améliorer.

Les secteurs nécessitant l’attention de la haute direction comprennent :

  • la documentation des processus de prise de décisions et les pratiques de tenue de dossiers de tous les comités de gouvernance du Ministère;
  • l’harmonisation et la communication des politiques ministérielles sur la GI, ainsi que les guides sur la mise en œuvre et la GI qui s’y rapportent;
  • l’élaboration et la mise en œuvre d’un plan de surveillance pour la gamme complète des politiques du CT en matière de GI, ainsi que la politique ministérielle sur la GI;
  • l’établissement de règles sur la gestion des documents adaptées au processus budgétaire;
  • la production de directives sur la gestion des documents auprès des employés et l’établissement de règles de gestion de document dans SharePoint en les codants dans le système;
  • l’établissement d’un processus de déclaration des documents ministériels dans le cadre de la clôture du cycle du budget;
  • l’élaboration d’options en réponse à la décision du COEX en lien avec l’orientation stratégique du réseau *caviardé*, et l’élaboration d’options pour l’intégration d’un système électronique de conservation et d’élimination de documents au réseau *caviardé*;
  • l’élaboration d’une politique d’accès à l’information pour les dossiers clés de Budget SharePoint.

L’accomplissement de la mise en œuvre de ces mesures de gestion devrait aider le Ministère à gérer l’information du processus budgétaire de manière efficace.

Recommandations, réponse et plan d’action de la direction

Réponse générale de la direction

La direction est en accord avec les constatations et les recommandations.

Recommandations, réponse et plan d’action de la direction
Recommandations Réponses et plans d’action de la direction

Recommandation 1

Le dirigeant principal de l’information devrait s’assurer que :

  • la politique ministérielle sur la gestion de l’information et les guides sur la mise en œuvre de celle-ci sont harmonisés avec la Politique sur la gestion de l’information du Conseil du Trésor et les directives qui s’y rapportent; ces politiques doivent être transmises aux employés
  • un plan de surveillance est élaboré et mis en œuvre en vue d’assurer la conformité du ministère des Finances Canada avec la Politique sur la gestion de l’information du Conseil du Trésor et les directives qui s’y rapportent, en plus de se conformer à sa propre politique sur la gestion de l’information.

Réponse de la direction :

La direction est d'accord avec la recommandation. Le contexte suivant est pertinent à l'égard de la recommandation :

Des séances de sensibilisation à la gestion de l'information (GI) obligatoires sont imposées aux nouveaux employés ainsi qu'à tous les employés de retour. Ces séances qui ont recommencé le 6 mars 2018, soulignent les responsabilités de GI énoncées dans les politiques ministérielles et les politiques du gouvernement du Canada.

La haute direction a communiqué l'approbation de la politique ministérielle sur la gestion de l'information à l'ensemble du personnel le 26 mars 2018, par l'entremise du bulletin interne (InfoBulletin) et du système de messagerie (InfoTV). Un lien vers le texte intégral de la politique fut fourni avec cette communication sur le site intranet (InfoSite) du ministère des Finances Canada (Ministère).

La politique ministérielle actuelle est harmonisée avec les politiques du Conseil du Trésor (CT) en place. Toutefois, la gamme de politiques du CT fait actuellement l'objet d'un renouvellement. On s'attend à ce que les politiques de GI et de technologies de l'information (TI) du CT soient modifiées davantage et combinées en une politique numérique unique en 2019.

L'équipe de GI n'a pas de droits d'accès élevés par rapport aux outils de gestion des documents (les disques partagés du budget fédéral, les disques partagés des directions, Budget SharePoint et SharePoint) en raison du principe du besoin de connaître. Cela limite leur capacité à surveiller la conformité avec la gamme de politiques de GI.

Le dirigeant principal de l'information (DPI) s'est engagé à élaborer un plan en vue de surveiller la conformité en GI du Ministère qui tiendra compte du principe du besoin de connaître et des changements possibles au niveau de l'orientation des politiques du CT.

Plan d’action :

Envoyer aux employés un rappel semestriel de leurs responsabilités en matière de GI, par l'entremise d'un message communiqué sur InfoBulletin et sur InfoTV, et en renforcer l'importance tout au long de l'année au moyen d'activités de sensibilisation.

Élaborer et publier une série de guides évolutifs en vue d'appuyer les employés qui n'occupent pas un rôle de spécialiste fonctionnel à s'acquitter de leurs responsabilités et se conformer aux politiques de GI.

Élaborer un plan de surveillance de la conformité en GI.

Faire la surveillance de la conformité, conformément au plan, et présenter les constatations à la haute direction au besoin.

Responsable :

DPI

Dates cibles :

2018-06-30 Les responsabilités sont communiquées

2018-08-31 Les guides sur la mise en œuvre sont publiés

2018-12-31 Le plan de surveillance est établi

2019-03-31 Présentation du premier rapport sur la surveillance de la conformité

Recommandation 2

Le sous-ministre adjoint de la Direction des politiques économique et budgétaire devrait mener des efforts ministériels en vue de s’assurer que l’information en lien avec le processus d’élaboration du budget fédéral est gérée de façon cohérente avec les politiques et les directives ministérielles et du Conseil du Trésor.

Réponse de la direction :

La direction est d'accord avec la recommandation. Le contexte suivant est pertinent à l'égard de la recommandation :

À la suite du budget de 2017, la Direction des politiques économique et budgétaire (DPEB), en collaboration avec les autres directions des politiques, a adopté SharePoint à titre d'outil principal pour la production et la gestion de l'information (GI) en lien avec le budget, incluant les structures de dossier définies, les responsabilités de gestion des documents et les procédures de collaboration. Ces efforts ont contribué aux améliorations significatives des processus opérationnels en lien avec le budget et à la GI.

Plan d’action :

La DPEB communiquera les pratiques de gestion de documents appropriées à l'ensemble du ministère des Finances Canada (le Ministère) pour les documents produits dans le cadre du processus budgétaire annuel, conformément aux conseils de la Division de la gestion de l'information et de la technologie (DGIT) et aux politiques de GI du Conseil du Trésor (CT) et du Ministère lui-même. Ces pratiques couvrent :

  • la détermination des documents temporaires et des documents ministériels;
  • dans quel répertoire enregistrer ou stocker chaque type de document en lien avec le budget;
  • quand enregistrer un document;
  • les conventions d’étiquetage;
  • les conventions d’appellation;
  • quand créer une version principale;
  • quand supprimer des documents temporaires et des versions mineures;
  • quand déclarer qu’un document est un document ministériel;
  • les médias au dossier pour chaque type de document en lien avec le budget.

Responsable :

Directeur, politique et analyse budgétaires, DPEB

Date cible :

2018-09-30 Les pratiques sont communiquées aux analystes et aux gestionnaires au début du cycle dans le cadre d’une formation exhaustive sur la coordination du budget (un « camp d’entraînement sur le budget »).

Recommandation 3

Le dirigeant principal de l’information devrait mener des efforts ministériels en vue de s’assurer que :

  • les directives sur la gestion de document sont cohérentes avec la politique ministérielle sur la gestion de l’information;
  • les directives sur la gestion de documents sont fournies à tous les employés et disponibles sur toutes les plateformes et tous les supports du Ministère;
  • les règles de gestion de document sont intégrées à SharePoint, lorsque cela est possible.

Réponse de la direction :

La direction est d'accord avec la recommandation. Le contexte suivant est pertinent à l'égard de la recommandation :

Les pages du site intranet (InfoSite) du ministère des Finances Canada (le Ministère) portant sur la gestion des documents ont été remodelées en vue de promouvoir la prise de mesures et l'apprentissage en prenant une approche centrée sur les employés. Les premières pages furent relancées le 16 avril 2018, et des lancements successifs ont suivi tout au long du printemps.

Le Ministère a opéré dans une culture où «â€‰il fallait tout garder » pendant de nombreuses années. Les règles de gestion des documents sont rarement configurées dans les outils opérationnels, et les propositions en ce sens sont parfois confrontées à une résistance contre les changements.

SharePoint est un outil opérationnel relativement nouveau pour le Ministère, un outil parmi tant d'autres qu'une petite équipe technique (l'équipe des applications) est chargée de soutenir et améliorer.

Le dirigeant principal de l'information (DPI) s'est engagé à coder les règles de la gestion de documents, en tenant compte des changements requis au niveau de la culture ministérielle, des ressources limitées et des priorités conflictuelles de l'équipe technique. Le codage des règles de la gestion des documents constitue une bonne pratique de la gestion de l'information (GI). Nous continuerons de consulter les utilisateurs et d'engager la haute direction à prendre une approche équilibrée entre les avantages des règles et de la convivialité.

Consultez également la Recommandation 1 pour les détails sur les responsabilités des employés à l'égard de la GI en fonction des politiques du Conseil du Trésor (CT) et du Ministère.

Plan d’action :

Effectuer un examen des directives actuelles sur la gestion des documents se trouvant sur l'InfoSite et sur la page d'accueil de SharePoint dans le but de déterminer :

  • la cohérence au niveau de la terminologie et de l’orientation;
  • l’exactitude des instructions étape par étape;
  • la lisibilité (absence de jargon technique, la fluidité, etc.);
  • les lacunes et les occasions d’apprentissage.

Élaborer de nouvelles directives dans le but d'aborder les principales lacunes et domaines prioritaires.

Faciliter la communication avec la Communauté de pratique de la GI et le coordinateur du processus budgétaire de la Direction des politiques économique et budgétaire pour les questions portant sur les règles de suppression et de déclaration des documents.

Obtenir l'approbation de la haute direction pour les règles de gestion de documents dans SharePoint.

Consultez également la Recommandation 1 pour les détails sur les responsabilités des employés à l'égard de la GI en fonction des politiques du CT et du Ministère.

Responsable :

DPI

Dates cibles :

2018-09-30 L’examen et la modification de la documentation existante est terminée

2018-12-31 De nouvelles directives sont offertes ou publiées

2019-03-30 Les règles de tous les environnements SharePoint sont approuvées et configurées

Recommandation 4

Le dirigeant principal de l’information devrait élaborer des options en réponse à la décision du Comité exécutif sur l’orientation stratégique du réseau *caviardé*. Ces options devraient tenir compte des exigences en matière de gestion de l’information.

Réponse de la direction :

La direction est d'accord avec la recommandation. Le contexte suivant est pertinent à l'égard de la recommandation :

L'orientation stratégique des réseaux de la technologie de l'information (TI), qui comprend le renforcement de la posture de sécurité du réseau *caviardé*, est une priorité constante pour le ministère des Finances Canada (le Ministère). La cyber sécurité figure parmi les risques principaux du profil de risque organisationnel du Ministère. La Division de la gestion de l'information et de la technologie (DGIT) a mis en œuvre un nombre de projets, dont Windows 10 et Office 2016, l'accès à distance protégé du gouvernement du Canada, les Services gérés de transfert sécurisé de fichiers et l'Infrastructure secrète du GC (ISGC), en vue d'augmenter les mesures de sécurité de la TI dans les environnements du Ministère. La DGIT a également effectué une évaluation exhaustive de la sécurité pour les nouveaux services et les nouvelles applications, afin de veiller à ce que les vulnérabilités connues soient documentées avant qu'une autorisation d'exploitation soit accordée par le dirigeant principal de l'information (DPI) et l'agent de sécurité ministériel.

La DGIT a également élaboré une vision à long terme pour le réseau *caviardé*, en mettant l'accent sur les niveaux de classification des données, des renseignements et des applications les appuyant se trouvant sur le réseau. Alors que *caviardé* est un environnement relativement récent, *caviardé* est un réseau désuet aux capacités d'expansion techniques limitées. Services partagés Canada (SPC) n'a pas le mandat d'investir dans les anciens environnements. À cette fin, la DGIT a mis en œuvre SharePoint, dans le but d'atteindre les exigences de base en matière de gestion de l'information pour le réseau *caviardé* puisque, à titre de service géré par SPC, GCdocs est accessible par l'entremise du réseau de l'ISGC afin de permettre la gestion électronique (la conservation ou l'élimination) des renseignements classifiés (secrets). Le Ministère est harmonisé avec cette orientation du GC et a installé des kiosques de l'ISGC dans toutes les directions des politiques.

La DGIT travaille à l'élaboration d'options pour l'orientation stratégique du réseau *caviardé*, qui comprend le transfert des applications non classifiées du réseau *caviardé* au réseau *caviardé*, ainsi que l'adoption de l'ISGC au sein du Ministère. Le DPI consultera le champion du milieu de travail et d'autres cadres supérieurs en vue d'obtenir leur avis sur l'orientation stratégique proposée, avant de mobiliser les comités de gouvernance ministériels.

Plan d’action :

Le DPI présentera au sous-ministre ses recommandations portant sur l'avenir du réseau *caviardé*, en se fondant sur une évaluation des risques et sur une analyse des différentes options, y compris les exigences au niveau de la gestion des dossiers.

Responsable :

Le sous-ministre adjoint de la Direction des services ministériels et le DPI

Dates cibles :

2018-06-30 Mettre au point le document ébauche d’analyse des options

2018-08-31 Présentation au Comité exécutif (COEX) suite à la révision des membres du Comité consultatif sur la gestion (CCG)

Recommandation 5

Le sous-ministre adjoint de la Direction des politiques économique et budgétaire devrait veiller à ce que tous les renseignements ayant une valeur opérationnelle issus du processus budgétaire soient déclarés comme étant des documents ministériels, qui devront être envoyés au Centre de l’information ministérielle aux fins de gestion des documents.

Réponse de la direction :

La direction est d'accord avec la recommandation.

Plan d’action :

La Direction des politiques économique et budgétaire (DPEB) étudiera les options, en consultation avec la Division de la gestion de l'information et de la technologie (DGIT), dans le but de normaliser les étapes principales de la clôture du processus budgétaire fédéral (le budget), ce qui permettra de déterminer officiellement quels renseignements ont de la valeur opérationnelle dans le cadre de la tenue de documents numériques. Ces options seront éclairées par un système de gestion électronique des documents et des dossiers (SGEDD) harmonisé avec le reste des mesures de sécurité relatives au contenu du budget, qui sera mis en œuvre à l'échelle du ministère des Finances Canada.

En attendant, la DPEB et les autres directions des politiques participant au processus budgétaire continueront de communiquer aux responsables du contenu les pratiques exemplaires portant sur la conservation et l'élimination des documents en lien avec le budget, à la fin de chaque cycle. Ces pratiques veillent à ce que les documents ayant de la valeur opérationnelle soient conservés de façon uniforme et sécuritaire.

Responsable :

Directeur, politique et analyse budgétaires, DPEB

Dates cibles :

2018-12-31 Les pratiques exemplaires sur la clôture sont communiquées aux responsables du contenu

2019-03-31 Élaborer une procédure de conservation des documents numériques harmonisés avec le déploiement prévu de la solution de SGEDD sécurisée (voir la recommandation 4)

Recommandation 6

Le sous-ministre adjoint (SMA) de la Direction des politiques économique et budgétaire, en collaboration avec d’autres SMA issus des directions des politiques, devraient élaborer une politique d’accès documenté pour les dossiers se trouvant dans Budget SharePoint.

Réponse de la direction :

La direction est d'accord avec la recommandation.

Plan d'action :

Le groupe sur les politiques et l'analyse budgétaires de la Direction des politiques économique et budgétaire (DPEB), en collaboration avec les coordinateurs du budget des autres directions des politiques, facilitera l'élaboration d'un modèle de politique d'accès documenté pour les dossiers dans Budget SharePoint. En se fondant sur ce modèle, chaque direction des politiques élaborera une politique d'accès documenté adaptée à leurs propres exigences opérationnelles, avant de la soumettre au sous-ministre adjoint à des fins d'approbation et de la communiquer aux analystes participants au sein de leur direction.

Le groupe sur les politiques et l'analyse budgétaires de la DPEB fera de la sensibilisation sur les politiques d'accès, les rôles et les responsabilités en lien avec la gestion de l'accès, ainsi que le processus établi servant à demander une permission d'accès. Ces efforts de sensibilisation se feront chaque année dans le cadre du camp d'entraînement sur le budget.

De plus, les procédures bien établies de la Division de la gestion de l'information et de la technologie portant sur l'accord d'un droit d'accès et le suivi de ceux-ci resteront en place, comme l'indique ce rapport.

Responsable :

Directeur, politique et analyse budgétaires, DPEB

Date cible :

2018-09-30 La politique sur l'accès est élaborée et communiquée au cours du camp d'entraînement sur le budget.

Annexe A : Critères de l’audit

Les critères suivants ont été utilisés dans le cadre de l’audit :

  • Les structures de gouvernance, les rôles et les responsabilités en lien avec la gestion de l’information (GI) sont définis et attribués pour l’ensemble du processus budgétaire fédéral.
  • Les politiques de GI ministérielles sont définies, documentées, communiquées et harmonisées avec les politiques pertinentes.
  • Les outils ministériels sont utilisés pour satisfaire aux exigences en matière de GI du processus budgétaire.
  • Des contrôles efficaces sont en place afin de protéger les renseignements en lien avec le budget.

Annexe B : Acronymes

CMC
Comité ministériel de coordination

COEX
Comité exécutif

CPGI
Communauté de pratique en gestion de l’information

CT
Conseil du Trésor

DGIT
Division de la gestion de l’information et de la technologie

DPEB
Direction de la politique économique et budgétaire

DPI
Dirigeant principal de l’information

*caviardé*
Le réseau à accès ouvert du Ministère

*caviardé*
Le réseau d’accès séparé du Ministère

GI
Gestion de l’information

ISGC
L’infrastructure secrète du gouvernement du Canada

SGEDD
Système de gestion électronique des documents et des dossiers

SMA
Sous-ministre adjoint

SPC
Services partagés Canada

TI
Technologie de l’information


1 GCdocs est le système de gestion électronique des documents et des dossiers (SGEDD) normalisé du gouvernement du Canada.

2 GCdocs est le système de gestion électronique des documents et des dossiers (SGEDD) normalisé du gouvernement du Canada.

3 Les notes budgétaires « à deux pages » désignent les documents en lien avec les initiatives du budget. Le modèle est de 14 pages de long, et le produit final peut bien dépasser les 14 pages.

4 Le 31 mai 2018, le Conseil d’examen de l’architecture intégrée du gouvernement du Canada (CEAI GC) a appuyé Services publics et Approvisionnement Canada (SPAC) dans l’établissement d’un service SharePoint commun et géré par l’entreprise, qui serait offert dans l’ensemble du gouvernement du Canada.

5 Les incidents de sécurité comprennent, par exemple, les cas où les employés n’ont pas correctement sécurisé leurs classeurs, leurs ordinateurs, leurs clés USB ou leurs documents protégés.

6 Dans le budget de 2017, le dossier de « *caviardé* » était appelé le dossier « *caviardé* ».