Vérification de la gestion de l'information

Introduction

L'Agence des services frontaliers du Canada (ASFC ou l'Agence) assure la sécurité et la prospérité du Canada en gérant l'accès des personnes et des marchandises à destination et en provenance du Canada. Les renseignements recueillis, générés, conservés et utilisés par l'ASFC pour l'exécution de ses programmes et la prestation de ses services sont importants, et une grande partie de ces renseignements sont de nature délicate.

L'information est un atout organisationnel essentiel qui appuie les décisions opérationnelles, alors que la gestion de l'information (GI) est une mesure disciplinaire qui aide les organisations à atteindre leurs objectifs opérationnels en veillant à ce que les renseignements soient fiables, exacts, complets et facilement accessibles, tout en assurant la protection de la vie privée.

La gestion efficace de l'information est un élément fondamental de la transformation numérique du gouvernement du Canada. La Politique sur les services et le numérique du Conseil du Trésor exige que les données et les renseignements soient gérés par la fonction publique fédérale à titre d'actif stratégique qui relève des dirigeants principaux de l'information du ministère.

À l'ASFC, le programme de GI a été lancé vers 2012. Les premiers efforts se sont concentrés sur le déploiement et l'adoption d'Apollo (version de GCdocs de l'ASFC) en tant que dépôt numérique désigné pour les informations de valeur opérationnelle.

Malgré les progrès mesurables réalisés par l'Agence dans l'adoption d'Apollo, l'intérêt récent du public pour les dossiers d'approvisionnement de l'ASFC ainsi que des vérifications et examens internes antérieurs de l'ASFC ont mis en évidence des faiblesses dans les pratiques fondamentales liées au cycle de vie de la GI, notamment : le fait de ne pas documenter les décisions clés à des fins de référence historique ; l'absence de stockage des informations dans les référentiels de l'entreprise ou leur organisation et leur étiquetage corrects ; et un manque de suivi et de supervision des activités et des pratiques de GI.

La gestion de l'information est essentielle pour toutes les facettes des activités de l'ASFC. Elle sous‑tend la prise de décisions éclairées, garantit une prestation de services efficace et efficiente, facilite la collaboration entre les organisations et constitue un facteur décisif pour l'atteinte des objectifs de l'Agence.

À propos de la vérification

L'objectif de cette vérification était d'évaluer et de déterminer la pertinence du cadre de GI de l'ASFC, notamment les activités de suivi et de surveillance, afin d'aider le personnel à mettre en œuvre de façon uniforme les pratiques requises et recommandées liées au cycle de vie de la GI numérique.

Éléments inclus dans la portée de la vérification

La période visée s'étendait du 1er avril 2023 au 30 novembre 2024, et était centrée sur le cadre de GI et sa mise en œuvre, ainsi que sur les mécanismes de surveillance et de suivi organisationnels. La vérification portait sur Apollo, qui est le dépôt officiel de l'Agence pour les dossiers numériques de valeur opérationnelle.

Éléments exclus de la portée de la vérification

La vérification ne portait pas sur les éléments suivants :

• tous les systèmes informatiques autres qu'Apollo;
• la Stratégie de l'ASFC en matière de données;
• les pratiques relatives au cycle de vie de la GI pour les dossiers matériels/papier;
• la conception de l'infrastructure et des systèmes de technologie de l'information ainsi que l'architecture d'entreprise, notamment les plans de continuité des activités;
• les données structurées et les systèmes opérationnels;
• le risque de menaces internes et de fuites de données ou de renseignements;
• la mise à l'essai des contrôles généraux en matière de technologie de l'information, comme les contrôles d'accès et de sécurité;
• la qualité de l'information pour la prise de décisions.

Méthodologie de la vérification

• 150 + documents examinés
• 75 + intervenants interrogés (y compris les administrateurs de l'information (AI) de 20 secteurs d'activité différents de l'Agence)
• 300 + sondages remplis
• 5 séances de group de discussion avec la communauté des questionnaires, pour un total de 56 participants

Importance de la vérification

La Politique sur les services et le numérique et les instruments de politique à l'appui servent d'ensemble de règles sur la façon dont les organisations du gouvernement du Canada gèrent la prestation de services, l'information et les données, les technologies de l'information et la cybersécurité. L'ASFC est une organisation complexe, dont l'environnement de GI est tout aussi complexe; celui-ci comprend des dizaines de systèmes d'information, un large éventail d'intervenants et une variété de besoins en matière de GI pour différentes équipes et activités et pour différents programmes. Un cadre de GI efficace et de bonnes pratiques de GI, conformes aux politiques du SCT, sont essentiels pour qu'une organisation puisse tirer parti des renseignements aux fins de la prise de décisions.

Un cadre de conformité de GI est spécifiquement conçu pour assurer qu'une organisation adhère aux exigences légales et réglementaires. Compte tenu du volume croissant de renseignements et de documents, ainsi que de la nature délicate des renseignements traités par l'ASFC, un cadre de gestion rigoureux et bien compris pour la gestion de l'information est essentiel pour garantir que les renseignements sont gérés de manière efficace et efficiente tout au long de leur cycle de vie.

Énoncé de conformité

Cette mission de vérification est conforme à la Politique sur l'audit interne et à la Directive sur l'audit interne du Conseil du Trésor et au Cadre international de référence des pratiques professionnelles de l'Institut des auditeurs internes (IAI). Divers processus ont permis de recueillir suffisamment d'éléments probants appropriés de façon à fournir une assurance à un niveau de vérification. La fonction de vérification interne de l'Agence est indépendante, et les vérificateurs internes ont rempli leurs fonctions avec objectivité, comme cela est défini dans les Normes internationales pour la pratique professionnelle de la vérification interne de l'IAI.

Conclusion de la vérification

Un cadre de GI est essentiel pour toute organisation où l'on recueille, produit, utilise ou échange des renseignements. Celui-ci permet d'harmoniser les pratiques de GI de l'organisation avec ses objectifs et priorités stratégiques, et avec les politiques et instruments applicables. De plus, un cadre de contrôle soigneusement conçu et mis en œuvre permet une gestion efficace des renseignements en tant qu'actif organisationnel précieux tout au long de son cycle de vie, en veillant à ce que les exigences légales et réglementaires soient respectées.

Cette vérification a révélé que l'ASFC a un faible niveau de maturité en matière de GI et qu'elle n'a pas les éléments fondamentaux d'un cadre de contrôle rigoureux pour la GI, comme une gouvernance et une surveillance organisationnelles, des plans et des stratégies de GI, des politiques en matière de GI et des mécanismes d'amélioration continue. De plus, bien que les membres du personnel, les gestionnaires et les cadres supérieurs de l'ASFC soient généralement conscients de leurs responsabilités en matière de GI et aient accès à la formation et aux ressources connexes, la mise en œuvre de pratiques exemplaires fait défaut. L'absence de leadership et d'orientation en matière de GI au sein de chaque équipe, associée au manque de suivi concernant les pratiques et les mécanismes de responsabilisation connexes, pourrait entraîner un éventail de risques pour l'Agence, dont certains se sont déjà concrétisés.

Grâce à la récente création du groupe des Systèmes d'information et de gestion, l'ASFC a une occasion unique d'attirer une attention renouvelée sur la gestion efficace de l'information et d'établir un cadre de contrôle rigoureux pour orienter celle-ci. Cela contribuerait à améliorer les pratiques de GI de l'Agence, à la fois dans toute l'organisation et dans les activités quotidiennes des membres du personnel.

Résumé des recommandations

1. Veiller à ce que les membres du personnel de l'ASFC disposent de la formation et des outils nécessaires pour utiliser efficacement Apollo (ou le système qui sera adopté pour remplacer Apollo) et pour mettre en œuvre de bonnes pratiques de GI.
2. Assurer la disponibilité/l'exhaustivité des politiques/procédures/instruments pertinents, et assurer la sensibilisation, en particulier au niveau des gestionnaires.
3. Clarifier les rôles et les responsabilités en matière de GI et les opportunités d'intégration des pratiques de gestion de l'information dans les processus opérationnels.
4. Élaborer et mettre en œuvre des mécanismes de surveillance et d'assurance de la qualité à l'appui de la responsabilisation en matière de GI.
5. Définir les objectifs du programme de GI et actualiser la stratégie/le plan de GI en conséquence.

Réponse générale de la direction

La vice-présidente (VP) des Systèmes d'information et de gestion (SIG) comprend l'évaluation complète des pratiques actuelles de (GI) de l'ASFC réalisée dans le cadre de cette vérification. Les SIG reconnaissent les lacunes identifiées, incluant les limitations dues aux systèmes et les lacunes concernant les politiques et processus, et affirme que les SIG ont des plans détaillés afin d'y répondre.

Il est important de souligner que dans le cadre de l'initiative de recentrage des dépenses gouvernementales mentionnée dans le rapport de vérification, l'ASFC planifie une migration d'Apollo à un Système électronique de gestion des documents et des dossiers d'entreprise basée sur Microsoft M365. Cette transition va éclairer notre réponse aux constatations de la vérification, car un bon nombre des problèmes recensés seront réglés par la conception et la mise en œuvre du nouveau système.

La gestion de l'information est une responsabilité collective qui incombe à tous les employés du gouvernement du Canada. Une gestion efficace de l'information exige la participation active et l'engagement de tous les employés, de la haute direction au personnel de première ligne. Les SIG, en collaboration avec des partenaires essentiels, s'engagent à relever les défis identifiés et à veiller à ce que l'ASFC dispose d'un cadre solide permettant l'excellence en matière de GI.

Notre réponse est guidée par notre compréhension des défis concrets liés à la GI et reconnaît la responsabilité de l'ASFC de relever les défis et d'optimiser les opportunités. Dorénavant, le cadre stratégique de gestion des documents et de l'information et les livrables connexes du plan d'action de la direction seront conçus d'une manière pratique et facile à mettre en œuvre, réduisant ainsi au minimum le fardeau administratif et la complexité.

Les instruments politiques et d'autres livrables seront élaborés à la suite de vastes consultations auprès d'intervenants de tous les échelons. Cette approche collaborative garantira la prise en compte et l'intégration de divers points de vue. Les SIG auront un dialogue ouvert et transparent tout au long du processus d'élaboration et en favorisant une culture de collaboration et de respect mutuel, nous visons à élaborer des instruments politiques, des cadres, des produits de communication et des pratiques normalisées qui sont non seulement efficaces, mais qui sont aussi appuyés et adoptés à grande échelle dans toute l'organisation.

Nous nous sommes engagés à maintenir une approche dynamique et réceptive en matière de gestion de l'information, où la gestion d'excellence et l'utilisation des commentaires des employés favorisent l'innovation et l'amélioration nos pratiques. Ceci inclut des mécanismes de responsabilisation qui seront mis en place pour surveiller la mise en œuvre et l'efficacité des pratiques de GI.

Constats de la vérification

La vérification a donné lieux aux résultats suivantes.

Cadre stratégique et pratiques en matière de gestion de l'information

Un cadre stratégique est un ensemble de lignes directrices, de normes et de procédures qui établissent la façon dont une organisation et son personnel devraient mener leurs activités. Dans le contexte de la GI, un cadre stratégique permet de s'assurer que les renseignements sont créés, conservés, échangés et éliminés de façon uniforme et sécuritaire en fournissant une orientation sur les pratiques approuvées et recommandées. Au gouvernement du Canada, la GI est régie et guidée par la Politique et la Directive sur les services et le numérique et les instruments à l'appui.

Politique sur la GI de l'ASFC

Il existe une opportunité de renforcer l'orientation de l'Agence en matière de GI. Bien qu'une politique sur la GI ait été publiée en 2020 à l'ASFC, elle a été retirée du site intranet de l'Agence à la fin de l'année 2024, puisqu'elle n'avait pas été approuvée officiellement par la haute direction avant sa diffusion.

De plus, bien qu'Apollo ait été nommé le dépôt officiel de l'Agence en 2018, les messages et le langage utilisés dans les politiques et les directives de l'ASFC ne mentionnent pas clairement s'il est obligatoire d'utiliser Apollo. Par exemple, ni l'ancienne Politique sur la gestion de l'information de l'ASFC, ni la page intranet, ni le Guide et outil d'orientation à l'intention des nouveaux employés n'indiquent explicitement que l'usage d'Apollo est obligatoire. D'après les résultats du sondage et les consultations menées auprès de divers intervenants, il semble y avoir une forte dépendance à Outlook et aux lecteurs réseau partagés pour conserver les renseignements ayant une valeur opérationnelle, plutôt qu'à Apollo.

En fait, il incombe aux unités opérationnelles de décider si elles utilisent Apollo, et il n'existe aucun processus ou norme régissant cette pratique. Les unités opérationnelles ne sont pas tenues de rendre compte de manière centralisée sur le système de dossiers qu'elles utilisent pour stocker les renseignements ayant une valeur opérationnelle. Par conséquent, l'Agence bénéficie d'une visibilité limitée quant aux groups qui utilisent ou n'utilisent pas Apollo, et ce qui est utilisé à sa place pour conserver les renseignements de valeur opérationnelle. Cela présente de nombreux risques, notamment la perte ou la compromission potentielle de renseignements, l'inefficacité de la recherche de renseignements, le dédoublement des dossiers, le manque de renseignements pour éclairer la prise de décisions et des problèmes de conformité.

Politiques et mise en pratique

L'efficacité d'une politique dépend de la mesure dans laquelle elle est mise en œuvre. Même une politique ou une procédure bien conçue peut échouer si elle n'est pas correctement exécutée, surveillée, ou si on ne la fait pas respecter. Plusieurs facteurs sont essentiels à l'atteinte des objectifs d'une politique, notamment :

• l'offre d'une formation connexe;
• la sensibilisation aux politiques et aux procédures;
• l'intégration des politiques et des procédures organisationnelles dans les activités quotidiennes;
• la mise en œuvre de mesures de responsabilisation, rendue possible grâce à des mécanismes de surveillance.

Afin d'évaluer la mise en œuvre des pratiques exemplaires en matière de GI, les défis et les causes fondamentales, la vérification a recueilli divers points de vue au moyen d'un sondage réalisé à l'échelle de l'Agence, de groupes de discussion avec la communauté des gestionnaires de l'ASFC, d'entrevues avec différents intervenants et de mises à l'épreuve d'Apollo.

Conservation et élimination des renseignements

En tant que partie intégrale du cadre de contrôle de la gestion de l'information de l'Agence, les calendriers de conservation et d'élimination de l'ASFC précisent la durée de conservation de divers types de documents et de renseignements ainsi que les procédures d'élimination. Seuls 5 des 20 groupes consultés dans le cadre de la présente vérification connaissaient l'existence de ces documents, et certains ne comprenaient pas comment ils s'appliquaient à leur unité opérationnelle. À quelques reprises, des cas ont été constatés où des informations ont été éliminées sans suivre les procédures définies par les calendriers. Les risques associés au manque de sensibilisation à l'égard de la conservation et de l'élimination des renseignements comprennent, par exemple, des périodes de conservation dépassant les pouvoirs prévus par la loi, et la destruction prématurée ou l'élimination non autorisée de renseignements ayant une valeur opérationnelle.

GI et gestion de projet

Le cadre de gestion de projet de l'ASFC établit l'orientation pour tous les projets de l'Agence. Le document mentionne brièvement la GI et l'utilisation d'Apollo, mais n'établit pas d'exigences telles que l'endroit où sauvegarder la documentation du projet ou ce qu'il faut enregistrer dans Apollo (décisions de gouvernance, décisions prises au fil du projet, etc.).

L'examen sommaire de trois grands projets de l'Agence (projet de Gestion des cotisations et des recettes de l'ASFC, projet des postes frontaliers terrestres et projet d'automatisation du filtrage de sécurité) a révélé que les documents ayant une valeur opérationnelle et les produits des projets peuvent être difficiles à trouver en raison de l'ambiguïté des noms des documents, des structures de dossiers complexes, des multiples versions de documents, de l'absence d'une version définitive ou signée clairement identifiée ou, tout simplement, de l'omission de conserver certains documents dans Apollo. On a également remarqué que les décisions relatives aux projets sont souvent prises par courriel, mais qu'elles ne sont pas sauvegardées dans Apollo, et que les décisions relatives à la gouvernance ne sont pas toujours consignées dans les dossiers des projets. En raison de ces facteurs, il s'est révélé difficile de retracer l'historique^{Note de bas de page 1} des trois projets retenus dans l'échantillon. Cela est particulièrement vrai lorsqu'un projet s'étend sur de nombreuses années ou que l'équipe de projet a connu un roulement important, ce qui entraîne la perte de connaissances organisationnelles et antérieures sur le projet.

Rôles, responsabilités et reddition de compte en matière de GI

En établissant clairement les rôles et les obligations de rendre compte, on favorise un sentiment de responsabilité et de propriété à l'égard de la GI, ce qui permet de s'assurer que les fonctionnaires de tous les échelons comprennent ce qu'on attend d'eux en vue de maintenir la qualité, la disponibilité et la protection des renseignements qu'ils recueillent, produisent, utilisent ou conservent.

Responsabilité fonctionnelle

À l'ASFC, la fonction de GI incombait auparavant à la Direction générale de l'information, des sciences et de la technologie (DGIST), dont le VP est le dirigeant principal de l'information (DPI) de l'Agence. En 2024, on a retiré cette fonction de la DGIST et établi l'équipe des systèmes d'information et de gestion (SIG). La répartition des responsabilités et des obligations de rendre compte des VPs de la SIG et de la DGIST (qui conserve le titre de DPI) et de leurs groupes respectifs n'a pas encore été formalisée. De plus, bien que la Division de la gestion de l'information d'entreprise (DGIE) soit la responsable fonctionnelle de la GI pour l'ASFC, il incombe aux secteurs de programme et opérationnels de respecter les instruments de politique, d'adopter l'orientation de l'Agence et de veiller à ce que leurs processus opérationnels soient conformes. Cela n'est ni défini, ni documenté, ni bien compris parmi les intervenants.

Figure 1 - Version textuelle

La fonction de GI est dirigée par la présidente à qui la DGIST (DPI) et les SIG rendent compte. La DGEI rend compte à la SIG.

Ce que nous avons entendu :

• 78 % des employés et 70 % des gestionnaires croient qu'ils comprennent bien leurs responsabilités en matière de GI. Toutefois, peu de gestionnaires ont pu citer correctement leurs responsabilités particulières. Par exemple :
  • 41 % ne savaient pas qu'ils doivent veiller à ce que les renseignements demeurent disponibles après le départ d'un membre de leur équipe.
  • 34 % ne savaient pas qu'ils doivent éliminer les renseignements conformément aux calendriers de conservation et d'élimination de l'ASFC.

Rôles et responsabilités des membres du personnel

Les rôles et les responsabilités en matière de GI des membres du personnel et des gestionnaires de l'Agence, d'autres utilisateurs autorisés et de l'équipe de soutien en GI ne sont pas tout à fait officiels ou bien compris. Bien qu'ils aient été définis dans la Politique sur la gestion de l'information (2020) de l'ASFC, ce document a été archivé et n'a pas encore été remplacé. Bien que fragmentés, certains renseignements sont accessibles sur le site intranet de l'ASFC et dans la grille des rôles et responsabilités en matière de GI à l'intention des membres du personnel et des gestionnaires.

Dans les récents messages concernant l'excellence en gestion de la présidente de l'ASFC, on a renouvelé les communications sur l'importance de la GI. Les ressources connexes fournies en conjonction comprennent une orientation concernant les rôles et les responsabilités des gestionnaires en matière de GI.

Formation sur la GI

La formation obligatoire à l'ASFC comprend un cours sur les principes fondamentaux de la gestion de l'information qui doit être complété une seule fois, et sur des sujets connexes comme la sensibilisation à la sécurité et la protection des renseignements personnels. L'Agence surveille le taux d'achèvement de ces modules de formation, et les gestionnaires doivent assurer un suivi auprès de leurs employés, le cas échéant. Bien que les sous-traitants de l'ASFC soient également tenus de suivre ces cours obligatoires en vertu de la Politique sur la GI, l'achèvement de ces cours ne fait pas l'objet d'un suivi centralisé. Compte tenu des défis en matière de GI observés à l'ASFC au cours des dernières années, l'Agence a demandé à tous les membres du personnel de suivre à nouveau la formation sur les principes fondamentaux de la gestion de l'information en 2024. En janvier 2025, le taux d'achèvement pour l'ensemble de l'Agence avait atteint 88 %.

Les commentaires recueillis auprès des intervenants indiquent que la formation obligatoire sur la GI est trop générale et qu'il est nécessaire d'offrir des séances d'information plus ciblées adaptées aux différentes équipes de l'ASFC. Cela favoriserait la discussion sur la meilleure façon de mettre en œuvre les principes de GI dans un contexte opérationnel donné et encouragerait les équipes à établir leurs propres procédures et exigences en matière de GI.

Bien que la formation sur la GI soit obligatoire, la formation sur l'utilisation d'Apollo ne l'est pas, malgré le fait qu'Apollo est le dépôt désigné pour les renseignements ayant une valeur opérationnelle à l'ASFC. Bien que la formation de base sur Apollo et la formation sur les autorisations dans Apollo soient accessibles, les résultats du sondage indiquent qu'il y a une faible participation :

• 59 % des répondants des régions et 73 % des répondants de l'Administration centrale ont indiqué avoir suivi la formation de base sur Apollo.
• 34 % des répondants des régions et 47 % des répondants de l'Administration centrale ont indiqué avoir suivi la formation sur les autorisations dans Apollo.

En outre, les répondants ont indiqué que le manque de connaissances ou de formation et les difficultés liées à l'utilisation de la technologie sont certains des facteurs les plus importants qui entravent la mise en œuvre de bonnes pratiques de GI, ce qui indique une occasion de de mieux faire connaître les formations offertes et d'encourager une plus grande participation aux séances. Les commentaires recueillis indiquent également qu'il est nécessaire d'offrir davantage d'orientation et de matériel de formation sur les rôles et les responsabilités en matière de GI ainsi que sur les fonctionnalités d'Apollo, notamment des outils de travail, des aide-mémoire et des vidéos sur l'utilisation des principales fonctions d'Apollo. Il est essentiel d'offrir aux membres du personnel des outils, une orientation et des ressources pour leur permettre d'utiliser Apollo efficacement et de mettre en œuvre de bonnes pratiques de GI. Cela permet de prévenir les risques et les problèmes, comme un contrôle inadéquat des accès, la perte de renseignements, des atteintes à la sécurité ou à la vie privée, etc.

Recommandation 1

La VP des SIG devrait veiller à ce que tous les membres du personnel de l'ASFC disposent de la formation et des outils nécessaires pour mettre en œuvre de bonnes pratiques de GI et utiliser Apollo efficacement (ou le système de dossiers qui sera adopté pour remplacer Apollo).

Réponse de la direction : D'accord avec l'approche prospective. Les SIG conviennent que les employés ont besoin de documents de formation et d'outils pratiques appropriés pour pouvoir utiliser efficacement Apollo et appliquer de bonnes pratiques de GI, l'objectif des SIG est de répondre aux besoins immédiats en matière d'apprentissage, de sensibilisation, en élaborant simultanément un cadre de formation et des outils qui appuieront les pratiques générales de GI et les fonctionnalités spécifiques du système durant la transition à la solution M365 prévue.

Date d'achèvement : Mars 2026

Ressources de GI et d'Apollo

Bien que la page intranet sur la GI de l'ASFC contienne une variété de ressources (notamment sur les rôles et les responsabilités, la conservation et l'élimination des renseignements, la détermination de la valeur opérationnelle, les conventions d'appellation et la collecte de renseignements), environ 25 % des répondants au sondage ont indiqué qu'ils ne les connaissaient pas. De plus, seulement 35 % des unités opérationnelles consultées dans le cadre de la présente vérification ont indiqué avoir leur propre ensemble de procédures afin d'orienter le personnel dans l'adoption de bonnes pratiques de GI lorsqu'il effectue ses activités.

Bien qu'il y ait de nombreux exemples de messages dans Le Quotidien de l'ASFC sur les pratiques exemplaires et les ressources en matière de GI, on a fait remarquer qu'ils ne sont pas toujours lus par les membres du personnel ou qu'ils ne suscitent pas toujours leur intérêt. Cela démontre comme il est important que les gestionnaires communiquent avec leurs équipes respectives et souligne pourquoi les bonnes pratiques de GI sont essentielles, en fournissant une orientation et en expliquant la valeur des renseignements et les risques associés à la mauvaise gestion de ces renseignements. Si les gestionnaires ne le font pas, cela pourrait entraîner des lacunes continues dans les pratiques quotidiennes de la GI et une exposition continue aux risques pour l'Agence.

Recommandation 2

La VP des SIG devrait s'assurer que les politiques, procédures et/ou instruments associés pertinents sont à jour, facilement disponibles et complets. On devrait également prendre des mesures en vue de mieux faire connaître ce matériel, en particulier au sein de la communauté des gestionnaires.

Il convient de considérer l'inclusion d'une directive officielle sur l'utilisation obligatoire d'Apollo (ou de son remplacement) dans les politiques de gestion de l'information de l'Agence, ainsi que l'obligation de signaler l'utilisation d'autres référentiels à l'équipe des SIG pour approbation.

Réponse de la direction : D'accord. En se basant sur la fondation solide des lois et les politiques générales déjà en place^{Note de bas de page 2} les SIG visent à combler des lacunes précises au moyen d'instruments de politiques ciblés de l'ASFC, en garantissant que la conformité est intégrée aux flux de travail des processus organisationnels.

Date d'achèvement : Mars 2026

Recommandation 3

La VP des SIG, en collaboration avec les secteurs des programmes et des opérations, devrait clarifier les rôles et les responsabilités en matière de GI et identifier et exploiter les possibilités de mieux intégrer les pratiques de GI dans les processus opérationnels.

Réponse de la direction : D'accord. Les SIG appuient fortement une approche collaborative en matière de GI. En collaborant directement avec les secteurs d'activité pour intégrer les pratiques de GI aux processus organisationnels et aux flux de travail, nous nous attaquerons aux causes profondes du traitement incohérent de l'information tout en apportant des améliorations durables.

Date d'achèvement : Juin 2026

Mise en œuvre quotidienne des pratiques exemplaires en matière de GI

En général, les commentaires des intervenants de l'ensemble de l'Agence indiquent que bien que les employés, les gestionnaires et les cadres supérieurs comprennent généralement leurs rôles et leurs responsabilités en matière de GI, la mise en œuvre fait défaut. Par exemple, 79 % des répondants au sondage ont indiqué avoir une bonne compréhension générale du concept des renseignements ayant une valeur opérationnelle et de leur responsabilité de sauvegarder et de conserver adéquatement ces renseignements; toutefois, bon nombre d'entre eux estiment qu'il n'est pas toujours évident ou facile de le faire au quotidien. Par conséquent, on téléverse inutilement une large quantité de documents dans Apollo ou l'on omet de stocker certains renseignements dans Apollo, qui sont uniquement conservés dans des boîtes de réception des courriels, sur les lecteurs personnels ou sur les postes de travail. Cela entraîne des retards dans la récupération des renseignements ou même la perte de ceux-ci.

De même, bien que l'on recommande au personnel de tous les échelons de l'ASFC d'envoyer par courriel des liens Apollo plutôt que d'inclure des documents en pièces jointes, environ la moitié des répondants au sondage ont indiqué qu'ils n'appliquent pas ce principe. En outre, le personnel ne peut pas utiliser de liens Apollo lorsqu'il communique avec les partenaires externes de l'ASFC, car ceux-ci n'ont pas accès à Apollo. Le fait d'ajouter ces pièces jointes aux courriels accroît davantage les risques de perte de documents ou de renseignements, mais pose également des problèmes en ce qui a trait au contrôle des versions, au contrôle des accès, etc. Plusieurs intervenants ont reconnu que les décisions opérationnelles sont souvent prises ou consignées par courriel, mais qu'elles ne sont pas téléchargées par la suite dans Apollo.

La plupart des répondants au sondage ont indiqué avoir une bonne compréhension de l'utilisation des autorisations dans Apollo. Toutefois, dans le cadre de cette vérification, l'examen de dossiers Apollo à l'échelle de l'Agence a révélé des milliers de documents auxquels l'accès aurait dû être restreint. Ceux-ci provenaient surtout d'une direction générale de l'Agence et d'une région^{Note de bas de page 3}. De plus, de nombreux répondants ont indiqué qu'ils s'appuient sur l'hypothèse selon laquelle l'accès aux dossiers Apollo de leur équipe est restreint par défaut, ce qui n'est pas toujours le cas.

En plus du manque de connaissances et de formation et des difficultés liées à l'utilisation de la technologie de la GI, les répondants au sondage et les groupes de discussion ont indiqué que le principal obstacle à l'adoption des bonnes pratiques de GI était le temps insuffisant. Selon les commentaires reçus, la charge de travail, les priorités concurrentes et le rythme rapide des activités font souvent en sorte que la GI passe au second plan. On a recueilli les commentaires d'un large éventail d'intervenants, lesquels affirment que la haute direction (cadres du groupe EX) doit mieux prêcher par l'exemple et adopter les bonnes pratiques de GI. Les répondants du sondage pour les cadres supérieurs ont indiqué que les difficultés liées à Apollo (ou le fait de ne pas savoir comment l'utiliser) représentent le principal facteur qui nuit à leur capacité d'adopter des pratiques exemplaires.

Ton donné par la direction

Les récents messages sur l'excellence en gestion de la présidente de l'ASFC ont réitéré que la GI est une responsabilité fondamentale qui incombe à tous les membres du personnel et, par conséquent, qu'il faut donc en faire une priorité.

Mécanismes de responsabilisation

La responsabilisation du personnel de l'Agence en ce qui a trait à la bonne GI peut comprendre diverses stratégies. Parmi les plus importantes figurent la réalisation d'une surveillance régulière par la direction locale, l'intégration des attentes en matière de GI dans les mesures de rendement et le suivi de la conformité par la fonction centrale de la GI de l'ASFC.

Les séances de discussion en groupe auxquelles a participé la communauté des gestionnaires de l'ASFC ont permis d'établir que les pratiques de GI de leurs groupes respectifs faisaient l'objet d'un suivi minimal. En effet, seulement 15 % des répondants ont indiqué qu'ils effectuaient régulièrement ce type d'activité. Compte tenu du manque de formation et de connaissances signalé, des difficultés liées à l'utilisation d'Apollo, du manque de temps et de l'absence de procédures de GI au sein de chaque groupe, l'absence d'un suivi par la direction locale présente de grandes possibilités de lacunes en matière de GI. Ce manque de suivi et de surveillance au quotidien peut mener à des problèmes de GI non cernés et non réglés, notamment la perte de renseignements ayant une valeur opérationnelle et les atteintes à la vie privée.

De plus, seulement 31 % des répondants au sondage savaient que la GI faisait partie de leurs mesures de rendement annuelles. Les 69 % restants ont indiqué que la GI ne figurait pas dans leur entente de gestion du rendement ou qu'ils ignoraient si c'était le cas, ce qui démontre une fois de plus que la GI n'est pas suffisamment mise de l'avant. Ces résultats concordent avec les commentaires indiquant qu'il n'y a pas de mesures incitatives pour encourager l'adoption de bonnes pratiques de GI ni de mécanismes de conformité pour tenir les personnes responsables.

Risque cumulé

Les lacunes en matière de contrôle augmentent l'exposition au risque d'une organisation. Lorsqu'il y a plusieurs lacunes en matière de contrôle, le niveau de risque s'aggrave. Il est donc essentiel de cerner et de corriger rapidement les lacunes en matière de contrôle.

Dans le contexte du programme de GI de l'ASFC, l'absence combinée d'un cadre de conformité en matière de GI à l'ASFC, le manque de compréhension ou de mise en œuvre des rôles et des responsabilités connexes, l'absence de procédures et d'exigences propres aux diverses unités opérationnelles en matière de GI et l'absence d'un suivi quotidien des pratiques de GI entraîne une possibilité importante de perte de renseignements ayant une valeur opérationnelle, à des atteintes à la sécurité ou à la vie privée, ainsi qu'à un éventail de dommages opérationnels et à la réputation de l'Agence.

La GI est une responsabilité partagée entre toutes les équipes et tous les membres du personnel de l'ASFC. Bien que la DGIE fournisse une orientation fonctionnelle en matière de GI, il est essentiel que chaque équipe adopte cette orientation et s'assure qu'elle est comprise, adaptée et appliquée à ses propres activités. Il est également crucial d'effectuer un suivi régulier pour s'assurer que les pratiques correspondent aux attentes.

Soutien en matière de GI et soutien Apollo

À l'ASFC, deux groupes clés offrent un soutien en matière de GI : l'équipe de la DGIE et son équipe de soutien d'Apollo, et les AI dans Apollo qui se trouvent au sein des divers secteurs de programmes et opérations de l'Agence.

Les consultations menées auprès des intervenants de l'ensemble de l'Agence lors de cette vérification révèlent une grande satisfaction à l'égard des services fournis par l'équipe de soutien d'Apollo. Toutefois, peu de personnes ont indiqué avoir communiqué avec la DGIE pour obtenir des conseils et une orientation sur les pratiques générales en matière de GI.

Administrateurs de l'information

En plus des équipes de soutien de la DGIE et d'Apollo, les AI pour Apollo se voient attribuer le titre de « super utilisateurs » d'Apollo par leurs équipes respectives. Ceux-ci suivent une formation spécialisée et sont responsables d'offrir un soutien quotidien à leurs unités opérationnelles en ce qui concerne l'utilisation d'Apollo. Le rôle d'AI est une tâche secondaire, et sa mise en œuvre varie grandement d'un groupe à l'autre. Bien que certains AI offrent seulement le soutien requis pour Apollo, d'autres organisent des séances d'information sur la GI, rappellent aux équipes de gestion les exigences et les responsabilités en matière de GI, appuient l'intégration des employés en ce qui concerne les directives sur la GI, etc. Plusieurs AI ont également fait remarquer que, bien qu'ils aient la capacité suffisante pour répondre aux demandes de soutien occasionnelles des membres de leur équipe, ils n'ont pas suffisamment de temps pour réaliser des activités qui, selon eux, seraient utiles, comme mener des « vérifications » périodiques sur les dossiers Apollo de leur équipe, afin de s'assurer que les autorisations appropriées sont attribuées, que les conventions d'appellation sont utilisées et que les documents sont conservés au bon endroit, et d'offrir plus de séances d'encadrement ou d'information.

Le nombre d'AI au sein d'une équipe donnée varie grandement; parmi les groupes consultés dans le cadre de cette vérification, le nombre variait d'un à cinq AI par équipe. Pour les équipes plus grandes qui génèrent plus de renseignements et qui utilisent davantage Apollo, le fait d'avoir un seul AI pourrait ne pas suffire. Lors de consultations avec les responsables des opérations régionales qui opèrent 24/7, on a fait remarquer qu'il devrait y avoir suffisamment d'AI pour que l'on puisse obtenir de l'aide en temps opportun, et ce, 24 heures sur 24, 7 jours sur 7. De même, on a indiqué qu'il devrait y avoir au moins un AI par point d'entrée ou lieu semblable, plutôt qu'un AI pour un secteur entier, car cet AI ne connaît peut être pas les subtilités propres à chaque équipe et ses besoins en ce qui concerne la GI ou Apollo. De plus, les résultats du sondage indiquent un manque de sensibilisation à l'existence des AI : 45 % des répondants régionaux et plus de 25 % des répondants de l'AC ont indiqué qu'ils n'étaient pas au courant de l'existence des AI ou qu'ils n'utilisaient pas ces ressources. Enfin, bien qu'il existe une page intranet qui énumère les AI dans l'ensemble de l'Agence, l'information qu'elle contient est désuète. On a remarqué que les AI qui quittent leur équipe ne sont pas toujours remplacés et que l'information n'est pas toujours mise à jour dans cette liste, ce qui nuit à la capacité de l'Agence de tirer efficacement parti de ces ressources.

Compte tenu de la taille de l'Agence, de la complexité de son environnement de GI et des limites de la DGIE, on pourrait envisager d'élargir le rôle de l'AI au-delà du simple soutien pour Apollo, ou de créer un réseau de champions de la GI, ce qui permettrait d'offrir un soutien, une orientation et une responsabilisation supplémentaires en matière de GI dans l'ensemble de l'organisation.

Gouvernance de la gestion de l'information à l'échelle de l'organisation

Un cadre de GI qui comprend des attentes claires en matière de gouvernance et de suivi est essentiel pour veiller à ce que les pratiques de GI d'une organisation soient conformes aux objectifs stratégiques. Il offre une approche structurée et exhaustive de la GI en tant qu'actif organisationnel précieux tout au long de son cycle de vie, en veillant à ce qu'il soit utilisé et protégé efficacement. Le cadre fournit également une orientation pour les pratiques en matière de GI de l'organisation, ce qui contribue à améliorer la maturité de la GI.

Surveillance organisationnelle

La gouvernance et la surveillance offrent une approche structurée pour la prise de décision, assurant que les décisions sont bien informées et alignées sur les objectifs organisationnels, tout en atténuant les risques.

L'ancien Comité de GI de l'Agence a auparavant assuré la surveillance du programme et des pratiques en matière de GI à l'ASFC. À l'heure actuelle, le Comité principal des directeurs généraux est le seul organisme au sein de la structure de gouvernance de l'ASFC qui a un rôle documenté dans la supervision de la GI, bien qu'il ne s'agisse que d'un de ses nombreux secteurs de responsabilité. De plus, bien qu'un risque lié à la GI soit inscrit dans le profil de risque organisationnel de l'Agence, la portée des discussions sur le sujet ne peut être déterminée sur la base des comptes rendus limités disponibles des discussions du comité. En l'absence d'une surveillance organisationnelle adéquate du programme de GI, les risques et les enjeux liés à la GI ne reçoivent pas suffisamment l'attention de la haute direction ou ne bénéficient pas d'un engagement concerté en vue d'améliorer la situation.

Suivi organisationnel

Les mécanismes de suivi sont essentiels pour cerner les risques, cibler les points à améliorer et assurer la conformité dans la mise en œuvre des lois et des politiques. Ils permettent également à une organisation de recueillir des renseignements pertinents pour évaluer la maturité d'un programme et l'atteinte de ses objectifs.

Surveillance proactive

Du point de vue de la GI à l'échelle de l'Agence, il existe un cadre national de gestion pour la production de rapports; toutefois, il est désuet (2016), n'est pas harmonisé avec la gouvernance et les stratégies actuelles du gouvernement du Canada et de l'ASFC et ne comprend que des mesures de très haut niveau qui pourraient ne pas être pertinentes, comme le nombre d'utilisateurs d'Apollo.

De plus, le profil de risque organisationnel de l'ASFC fait état d'un risque lié à la GI, auquel on a attribué la cote de risque « élevé » en 2023 à 2024. Bien que les mesures d'atténuation des risques prévues et les calendriers connexes aient été documentés, il y a peu de progrès et il n'existe pas de rapport à ce sujet. Par conséquent, les risques et les défis liés à la GI pourraient ne pas recevoir une attention suffisante de la part de la haute direction de l'Agence, ce qui pourrait entraver ou retarder davantage les progrès et la mise en œuvre du plan d'atténuation.

Signalement des problèmes ou des incidents

Il existe trois principaux mécanismes pour le signalement des problèmes ou des incidents liés à la GI :

• Boîte de courriel de Soutien Apollo de la DGIE, qui est surveillée par l'équipe de soutien d'Apollo. Les préoccupations ou les problèmes courants font l'objet d'un suivi au moyen d'appels d'encadrement des AI, d'une mise à jour du contenu de la formation ou de communications dans Le Quotidien de l'ASFC ou dans Atlas.
• Rapports d'incident de sécurité et rapports préliminaires en cas d'atteinte à la vie privée, gérés respectivement par le dirigeant principal de la sécurité (DPS) et le chef de la protection des renseignements personnels (CPRP), dont les responsabilités en matière de suivi et de surveillance sont consignées dans la Politique sur les mesures de sécurité de la GI de l'ASFC. Ces rapports traitent des atteintes à la vie privée, de la divulgation de renseignements personnels, de l'accès interdit aux renseignements, de l'utilisation illicite de ceux-ci, etc. Les problèmes les plus courants signalés concernent les paramètres d'autorisation inappropriés dans Apollo, qui mènent à des accès non autorisés.
• Signalement d'une inconduite de la part d'un employé à une boîte de courriel générique ou à la ligne de dénonciation de la fraude interne de l'ASFC, surveillée par la Division de l'intégrité professionnelle. De 2022 à 2024, il y a eu quatre allégations d'inconduite concernant Apollo, toutes originaires d'une seule région. Cela soulève des questions quant à savoir si les problèmes ne se produisent pas dans d'autres secteurs de l'Agence ou s'ils ne sont pas signalés.

Les bureaux du DPS et du CPRP effectuent le suivi et l'analyse des incidents et des enquêtes pour les produits d'établissement de rapports internes et externes, y compris le rapport annuel sur les enquêtes administratives de l'ASFC et le rapport annuel au Parlement sur l'application de la Loi sur la protection des renseignements personnels, et en rendent compte. Les problèmes récurrents, les atteintes et les inconduites sont communiqués à la direction avec des recommandations de mesures correctives; toutefois, le suivi est limité et pourrait entraîner des lacunes dans les contrôles qui ne sont pas réglées. Enfin, il semble y avoir un échange limité de renseignements pertinents entre les bureaux du DPS, du CPRP et de la DGIE. L'amélioration des échanges permettrait de repérer les tendances, d'améliorer le cadre de contrôle et d'appuyer d'autres mesures visant à atténuer les risques à l'avenir.

Recommandation 4

La VP des SIG devrait renforcer les pratiques de surveillance organisationnelle en ce qui concerne la GI, en élaborant et en mettant en œuvre un cadre de conformité de la GI qui comprend des mécanismes de surveillance et d'assurance de la qualité à l'échelle de l'Agence et de ses processus opérationnels, ainsi que des mesures de responsabilisation visant à encourager une bonne GI.

Réponse de la direction : D'accord. Les SIG conviennent que la supervision et responsabilisation sont essentielles, et, elles doivent mener à l'officialisation de la fonction de conformité et l'établissement d'un cadre comprenant des mécanismes de surveillance et d'assurance de la qualité.

Date d'achèvement : Juin 2026

Plan et stratégie en matière de GI

Il est important d'établir une stratégie organisationnelle pour la GI afin d'harmoniser les pratiques avec les objectifs de l'Agence et de fournir une orientation pour le programme. Cela permet d'établir des attentes claires et de veiller à ce que les méthodes de gestion, de conservation et d'utilisation des renseignements soient efficaces. Au sein du gouvernement du Canada, les Lignes directrices sur la GI décrivent les éléments clés d'un plan normalisé de GI et précisent que ces documents devraient être rédigés ou révisés tous les trois à cinq ans.

Le plan quinquennal de GI de l'ASFC est entré en vigueur en 2019. Il ne contient aucune mesure du rendement qui permettrait d'effectuer un suivi systématique des pratiques et des défis relatifs à la GI. Aucun compte rendu sur l'état d'avancement de ce plan n'a été fourni aux organes de gouvernance de l'Agence; de plus, aucune nouvelle stratégie ou plan n'a été élaboré ou approuvé depuis. En l'absence d'un plan de l'Agence ou d'une stratégie organisationnelle détaillant les mesures de rendement, les calendriers et les ressources connexes, le programme de GI de l'Agence pourrait ne pas être en mesure d'accomplir des progrès mesurables afin d'améliorer la GI, et les risques organisationnels existants pourraient ne pas être gérés.

Il est particulièrement important de mettre à jour la stratégie de GI de l'ASFC et ses plans connexes, compte tenu des changements importants qui se sont produits depuis 2019, notamment :

• la séparation de la fonction de GI et de la DGIST en 2024;
• la nationalisation du programme en 2020;
• la dépendance croissante à l'égard du stockage de documents numériques en raison de la pandémie et de la transition vers le télétravail;
• l'augmentation de la conservation de documents en cas de litige;
• l'examen accru de la part du public et du Parlement et le besoin connexe de récupérer facilement et rapidement l'information.

Tous ces facteurs ont donné lieu à une évolution rapide du contexte de la GI, et d'autres changements pourraient se profiler à l'horizon. Au début de l'année 2025, on a soumis une proposition visant à s'éloigner d'Apollo pour recentrer les dépenses gouvernementales. En l'absence d'une stratégie de GI renouvelée, l'ASFC s'expose aux risques qu'il y ait des divergences par rapport à l'orientation fédérale en matière de GI, que l'extraction de renseignements ne soit pas efficace, qu'il soit impossible de gérer l'information conformément aux règlements applicables et que l'on manque des occasions d'améliorer les pratiques de l'Agence en matière de GI de façon coordonnée et rentable.

Recommandation 5

La VP des SIG, en consultation avec le DPI et d'autres intervenants pertinents, devrait définir les objectifs du programme de GI, les mesures de rendement et le mandat de l'équipe des SIG, et intégrer cette information et cette orientation stratégique dans une stratégie et un plan de GI révisés et mis à jour.

Réponse de la direction : D'accord. Les SIG sont entièrement d'accord et ont commencé à élaborer une stratégie de GI moderne axée sur un mandat définis, des métriques et objectifs de programme afin d'adresser les besoins changeants en matière de GI et les critères reliés aux systèmes utilisés.

Date d'achèvement : Mars 2026

Annexe A : Critères de la vérification

Annexe B : Sondage de la vérification

La gestion de l'information est la responsabilité de tous les membres du personnel de l'Agence.

Le sondage de la vérification, qui s'est déroulé du 8 novembre au 20 novembre 2024, était accessible à tous les membres du personnel et aux cadres supérieurs de l'ASFC. La participation était volontaire. Le sondage a permis de poser aux répondants environ 21 questions sur :

• leurs pratiques de gestion de l'information et d'utilisation d'Apollo;
• les difficultés liées à la gestion de l'information et à Apollo;
• la formation et l'orientation connexes.

De ces 487 répondants, 301 personnes ont répondu au sondage au complet. Les réponses fournies dans les sondages partiellement remplis ont été utilisées, s'il y avait lieu.

• Le total de 487 répondants comprenait :
  • Cadres : 13 (3 %)
  • Employés : 365 (75 %)
  • Gestionnaires / Superviseurs : 83 (17 %)
  • AI d'Apollo : 26 (5 %)

Remarque sur les biais dans le sondage

L'équipe de vérification interne reconnaît que les réponses et les résultats du sondage peuvent être influencés par les biais. Par conséquent, il est possible qu'ils ne fournissent pas une représentation tout à fait exacte de la situation actuelle de l'Agence en matière de GI. Toutefois, les résultats fournissent des indicateurs importants sur les défis et les enjeux potentiels. Les biais possibles sont les suivants :

• Biais de rappel et relatif au caractère souhaitable : Par exemple, en raison de quelques communications récentes sur la GI dans Le Quotidien de l'ASFC, les répondants peuvent se rappeler des pratiques recommandées en matière de GI, puis répondre en conséquence, car il s'agit de la réponse souhaitable.
• Biais de non réponse : Cela se produit lorsque les participants au sondage ne souhaitent pas ou ne peuvent pas répondre. Leurs points de vue peuvent être très différents de ceux des personnes qui participent pleinement, ce qui fausse ainsi le résultat. Parmi les exemples de raisons pour lesquelles une personne pourrait ne pas répondre, mentionnons entre autres le fait de ne pas connaître ou de ne pas respecter les pratiques de GI, le fait de ne pas utiliser Apollo et le fait de ne pas s'intéresser au sujet.
• Biais de neutralité : Enfin, certaines personnes ont répondu « Sans objet » ou « Autres » sans fournir de commentaires, et certains gestionnaires se sont abstenus de commentaires au cours des séances de discussion en groupe; ces méthodes témoignent du biais de neutralité, soit le fait que les gens évitent de répondre à la question. Ces réponses (« Sans objet » ou « Autres ») n'ont pas été prises en compte dans l'analyse de la vérification.

Annexe C : Acronymes

AI

Administrateur de l'information

ASFC

Agence des services frontaliers du Canada

CPRP

Chef de la protection des renseignements personnels

DGIE

Division de la gestion de l'information d'entreprise

DGIST

Direction générale de l'information, des sciences et de la technologie

DPI

Dirigeant principal de l'information

DPS

Dirigeant principal de la sécurité

GI

Gestion de l'information

SIG

Direction générale des systèmes d'information et de gestion

VP

Vice-président