Vérification de la gestion de l'accès à l'information et de la protection des renseignements personnels (AIPRP)
Date : Juin 2014
Projet n° 14-02
Format PDF (337 Ko, 33 pages)
Table des matières
- Acronymes
- Résumé
- 1. Contexte
- 2. Objectif et portée de la vérification
- 3. Démarche et méthodologie
- 4. Conclusion
- 5. Observations et recommandations
- 6. Plan d'action de la direction
- Annexe A : Critères de vérification
- Annexe B : Évaluation par rapport aux pratiques exemplaires du Conseil du Trésor
- Annexe C : Lois, règlements, directives et orientations pertinents
Acronymes
| AADNC |
Affaires autochtones et Développement du Nord Canada |
|---|---|
| AI |
Accès à l'information |
| AIPRP |
Accès à l'information et protection des renseignements personnels |
| AL |
Agent de liaison de l'AIPRP |
| CIC |
Commissariat à l'information du Canada |
| EFVP |
Évaluation des facteurs relatifs à la vie privée |
| ETP |
Équivalents temps plein |
| RHDCC |
Ressources humaines et Développement des compétences Canada |
| SMA | Sous-ministre adjoint |
Résumé
Contexte
Une vérification de la gestion de l'accès à l'information et de la protection des renseignements personnels (AIPRP) est prévue dans le Plan de vérification axé sur le risque de 2014-2015 à 2016-2017 d'Affaires autochtones et Développement du Nord Canada (AADNC), qui a été approuvé par le sous-ministre le 6 février 2014. Cette vérification était considérée comme une priorité, étant donné l’absence de vérification récente dans ce domaine ainsi que la complexité inhérente à la gestion de l'AIPRP, attribuable à plusieurs facteurs, dont les suivants :
- les exigences prévues par la loi;
- le nombre de personnes impliquées dans le processus;
- l'imprévisibilité des demandes en matière de volume et de complexité;
- la visibilité et les répercussions possibles sur le Ministère.
Les exigences législatives applicables à l'AIPRP sont énoncées dans la Loi sur l'accès à l'information et laLoi sur la protection des renseignements personnels. Ces deux lois sont en vigueur au Canada depuis 1983 et s'appliquent à toutes les institutions gouvernementales énumérées à l'Annexe I de chacune des lois. Le but de la Loi sur l'accès à l'information est de donner un droit d'accès à l’information qui est sous le contrôle du gouvernement du Canada, en partant du principe que cette information devrait être accessible au public et que les rares exceptions à ce droit devraient être précises et limitées. En outre, la Loi prévoit que les décisions relatives à la divulgation d’information devraient faire l'objet d'un examen indépendant par le Commissariat à l'information du Canada (CIC). La Loi sur la protection des renseignements personnels a été adoptée pour élargir la portée des lois qui protègent les renseignements personnels qui sont détenus et contrôlés par le gouvernement du Canada, et pour donner un droit d'accès à ces renseignements.
Au sein d’AADNC, la gestion des demandes d’AIPRP est assurée par la Direction de l’AIPRP, qui est sous la responsabilité du Secrétariat du Ministère. Le Directeur de l'AIPRP relève du secrétaire, qui lui, relève du sous-ministre. La Direction a la responsabilité générale de fournir un éventail diversifié de mesures de soutien et de services, notamment les réponses aux demandes d'accès à l'information et aux renseignements personnels. La Direction établit les politiques, les procédures et les pratiques permettant d'assurer la conformité du Ministère à la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Elle traite toutes les demandes soumises en vertu de ces lois, avec l’aide de de différents secteurs compétents ou régions du Ministère qui sont concernés. Chaque secteur et région dispose d'un agent de liaison de l'AIPRP, ou AL, qui travaille directement avec la Direction de l’AIPRP. Cette personne est responsable de coordonner les activités d'extraction, d'examen et de soumission pour l'information requise à la Direction de l’AIPRP.
La Section de la politique sur la protection des renseignements personnels de la Direction de l’AIPRP offre de l’aide et des conseils au Ministère sur plusieurs sujets liés à la protection des renseignements personnels, comme l'exécution des évaluations d'impact sur la vie privée ou les activités d'éducation et de sensibilisation à la protection des renseignements personnels et aux enjeux connexes à l'échelle du Ministère.
Objectif et portée de la vérification
L’objectif de la vérification était d'évaluer la pertinence du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour soutenir la gestion de l'AIPRP et la mesure dans laquelle elles favorisent la conformité aux exigences législatives, celles du Conseil du Trésor et celles du Ministère. Également, l’objectif de la vérification était d’évaluer l'efficacité opérationnelle des contrôles en place pour gérer le traitement des demandes d’AIPRP et pour en favoriser l'amélioration continue.
La portée de la vérification couvrait les activités relevant de la responsabilité du Ministère en lien avec la gestion de l'AIPRP. Plus particulièrement, la vérification a évalué la pertinence et l’efficacité opérationnelle du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour soutenir la gestion de l’AIPRP.
Conformément à l'objectif fixé, la vérification a examiné les quatre éléments suivants :
- La pertinence du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour s’assurer que la gestion des demandes d’AIPRP est conforme aux exigences législatives, celles du Conseil du Trésor et du Ministère et pour réduire le risque que de l'information exclue ou exemptée soit divulguée.
- L'efficacité opérationnelle du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour s’assurer que la gestion des demandes d’AIPRP soit conforme aux exigences prescrites par les lois, celles du Conseil du Trésor et du Ministère et pour réduire le risque que de l'information exclue ou exemptée soit divulguée.
- La pertinence du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour assurer que la gestion des demandes d’AIPRP est conforme aux exigences provenant des lois, du Conseil du Trésor et du Ministère et pour réduire le risque d’infractions à la Loi sur la protection des renseignements personnels.
- La pertinence des procédures en place aux fins d’un traitement efficient des demandes d’AIPRP.
La vérification ne comprenait aucun examen de :
- l'exactitude ou l'intégralité des demandes d'AIPRP complétées;
- les responsabilités en lien avec la protection des renseignements personnels qui sont à l'extérieur de la portée des responsabilités de la Direction de l’AIPRP.
Énoncé de conformité
La vérification de la gestion de l’AIPRP est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.
Observations
Avant 2011-2012, le Commissariat à l'information du Canada avait indiqué que le Ministère présentait des lacunes importantes au chapitre de la gestion de l'AIPRP et qu'il avait manqué de façon régulière à ses obligations prévues par la Loi. En 2011-2012, AADNC a orienté ses efforts vers une amélioration du processus de gestion des demandes d’AIPRP. Comme en fait état le présent rapport, ces efforts ont eu un effet positif durant les dernières années sur la capacité du Ministère à s'acquitter de ses obligations prévues par la loi., et les lacunes cernées par le CIC ont été en grande partie réglés.
Étant donné l’attention que la Direction de l’AIPRP a récemment portée à la conformité aux exigences législatives et politiques, peu de ressources ont été consacrées à l'identification et à l’exploitation des possibilités de réaliser des gains d'efficience dans le cadre de la gestion des demandes au titre de l’AIPRP à l'échelle du Ministère. Même si la Direction a réalisé des progrès dignes de mention, il est important de souligner qu'elle est maintenant tout à fait en mesure d’aller au-delà de la simple conformité et de viser aussi des gains d'efficience.
Conclusion
La vérification a révélé que dans l'ensemble, le cadre de gouvernance, de gestion des risques, et des mesures de contrôle en place pour s’assurer que la gestion des demandes présentées au titre de l’AIPRP est conforme aux exigences des lois, du Conseil du Trésor et du Ministère, est adéquat et fonctionne de façon efficace. En revanche, elle a également mis en lumière certaines possibilités d'amélioration dans les domaines suivants : politiques et procédures; formation et orientation; efficience et amélioration continue.
Recommandations
L’équipe de vérification a également relevé des secteurs où les pratiques et les processus de contrôle de la gestion pourraient être améliorés, ce qui a donné lieu aux trois recommandations suivantes :
- Le secrétaire du Ministère devrait entreprendre un examen approfondi des politiques et des procédures d'AIPRP dans la perspective d’y repérer les lacunes, les irrégularités ou autres possibilités d'amélioration, et de prendre les mesures qui s’imposent. Outre la pratique actuelle qui consiste à régler les problèmes à mesure qu'ils surviennent, il conviendrait d'établir un calendrier qui exigerait un examen périodique approprié des politiques et procédures.
- Le secrétaire du Ministère devrait examiner, et mettre à jour au besoin, les programmes de formation offerts par la Direction de l’AIPRP, par exemple :
- Améliorer l'accès des secteurs et des régions à la formation et aux orientations pratiques, de préférence après consultation des représentants des secteurs et des régions;
- Évaluer si le programme de formation sur la protection des renseignements personnels, en lien avec la responsabilité qui incombe à la Direction, d'éduquer et de sensibiliser à la protection des renseignements personnels et aux enjeux connexes à l'échelle du Ministère, est suffisant tel qu’il est.
- Le secrétaire du Ministère devrait préciser les attentes, les rôles et les responsabilités, afin d’améliorer l'efficience en matière de gestion de l'AIPRP, et établir des objectifs et des pratiques connexes conçus pour accroître l'efficience des processus. Ces pratiques pourraient comprendre la facilitation de la mise en commun des pratiques exemplaires entre les régions et les secteurs, l'établissement de rapports sur le rendement de la Direction de l’AIPRP au regard des normes de services internes et le suivi du niveau d'effort requis à l’échelle du Ministère pour traiter les demandes afin de contrôler et de cerner les gains d'efficience.
Réponse de la direction
La direction est d’accord avec les constations, a accepté les recommandations contenues dans le rapport, et a élaboré un plan d’action de la direction afin d’y répondre. Le plan d’action de la direction a été intégré au présent rapport.
1. Contexte
Une vérification dlla gestion de l'accès à l'information et de la protection des renseignements personnels (AIPRP) est prévue dans le Plan de vérification axé sur le risque de 2014-2015 à 2016-2017 d'Affaires autochtones et Développement du Nord Canada (« AADNC » ou « le Ministère »), approuvé par le sous-ministre le 6 février 2014. Cette vérification était considérée comme une priorité, étant donné l’absence de vérification récente dans ce domaine ainsi que la complexité inhérente à la gestion de l'AIPRP, qui est attribuable à plusieurs facteurs, dont les suivants :
- les exigences prévues par la loi
- le nombre de personnes impliquées dans le processus
- l'imprévisibilité des demandes en matière de volume et de complexité;
- la visibilité et les répercussions possibles sur le Ministère.
1.1 Résumé des lois
Loi sur l'accès à l'information LAI
La Loi sur l’accès à l’information est en vigueur au Canada depuis 1983 et s’applique à toutes les institutions gouvernementales figurant à l’annexe I de la Loi. Le but de la Loi sur LAI est de conférer un droit d'accès à l’information qui est sous le contrôle du gouvernement du Canada, en partant du principe que cette information doit être accessible au public et que les rares exceptions à ce droit devraient être précises et limitées. De plus, la Loi prévoit que les décisions relatives à la divulgation d’information devraient faire l’objet d’un examen indépendant par le Commissariat à l'information du Canada (CIC). Pour s'acquitter de cette responsabilité, le CIC mène des enquêtes sur les plaintes relatives au traitement des demandes d'accès à l'information par les institutions fédérales.
L'interprétation de la Loi exige la contribution des conseillers juridiques du Ministère et de la Section du droit à l'information et à la protection des renseignements personnels de Justice Canada. De plus, la Division des politiques de l'information et de la protection des renseignements personnelsdu Conseil du Trésor fournit des conseils auxdifférents ministères au sujet de la mise en œuvre de la Loi. La Loi a pour but de compléter les méthodes existantes pour accéder aux renseignements du gouvernement. Par exemple, le public et les médias continuent de demander et de recevoir de l'information provenant des unités de communications et d'autres bureaux au sein des ministères.
Loi sur la protection des renseignements personnels
La Loi sur la protection des renseignements personnels est en vigueur au Canada depuis 1983. Elle a été adoptée en vue d’élargir la portée des lois qui protègent les renseignements personnels des personnes qui sont détenus et contrôlés par le Gouvernement du Canada, et pour donner un droit d'accès à ces renseignements.
L'interprétation de la Loi exige la contribution des conseillers juridiques d’AADNC et de la Section du droit à l'information et à la protection des renseignements personnels du ministère de la Justice. De plus, la Division des politiques de l'information et de la protection des renseignements personnels du Secrétariat du Conseil du Trésor fournit des conseils aux différents ministères au sujet de la mise en œuvre de la Loi. En appliquant la Loi sur la protection des renseignements personnels, les ministères gouvernementaux et les fonctionnaires doivent suivre les pratiques privilégiées en matière de collecte, d'utilisation et divulgation des renseignements personnels. Cette responsabilité a pris énormément d’importance dans le contexte de l'émergence d'internet et de l'utilisation de la technologie pour gérer les renseignements personnels au sein du gouvernement. Le Commissariat à la protection de la vie privée du Canada est chargé de surveiller la conformité à la Loi sur la protection des renseignements personnels et mènera des enquêtes indépendantes à la suite des plaintes de particuliers relatives à la conformité du secteur public fédéral à cette loi.
1.2 Accès à l'information et protection des renseignements personnels au gouvernement fédéral
En 2012-2013, il y a eu 110 500Notes en bas de page 1 demandes d’AIPRP à l'échelle du gouvernement fédéral. Près de la moitié d’entre elles avaient trait à l'accès à l'information et l'autre moitié, à l'accès aux renseignements personnels.
Au cours de la même année, AADNC a reçu 793 demandes d’AIPRP, dont 648 (81,7 %) étaient des demandes d'accès à l'information. Le tableau ci-dessous, établi à partir de l'information fournie dans les rapports des ministères au Parlement, présente des chiffres pour une sélection de ministères fédéraux, dont AADNC. Ces chiffres montrent combien il est difficile de prévoir le nombre de demandes et le nombre de pages examinées par demande dans un échantillon de ministères fédéraux. Il souligne également qu’AADNC se distingue par le nombre présumé de refus, lequel se maintient à 0 %, et ce, même si le nombre de demandes au titre de l’AIPRP concernant le Ministère pour 2012-2013 était très semblable à celui de Patrimoine canadien ainsi que de Ressources humaines et Développement des compétences Canada (RHDCC). On peut y voir aussi que le nombre d'équivalents temps plein (ETP) à la Direction de l’AIPRP d'AADNC se situe à l'intérieur de la fourchette d'organisations comparables, selon le volume de demandes. Enfin, il indique que le Ministère a reçu un ratio de plaintes par rapport aux demandes relativement plus élevé que d'autres organisations.
| AADNC | Patrimoine | Industrie | RHDCC | Transports | |
|---|---|---|---|---|---|
| Nombre de demandes reportées de l’exercice précédent | 92 | 220 | 112 | 304 | |
| Nombre de nouvelles demandes | 648 | 237 | 741 | 746 | 2 197 |
| Nombre de demandes traitées | 623 | 273 | 860 | 630 | 1 419 |
| Nombre de pages examinées dans le cadre des demandes traitées | 397 850 | 50 161 | 2 828 056 | 112 087 | 94 392 |
| Taux de présomption de refus* | 0 % | 31 (11 %) | 130 (15 %) | 49 (7,8 %) | 304 (21 %) |
| Nombre de demandes de consultation reçues (d'autres organisations) | 220 | 156 | 774 | 194 | 332 |
| Nombre (et ratio) de demandes qui exigeaient une prolongation – des avis au CIC | 173 (28%) | 136 (50%) | 255 (30%) | 101 (16%) | 798 (56%) |
| Nombre de plaintes inscrites auprès du CIC | 45 | 7 | 39 | 20 | 72 |
| Ratio des plaintes par rapport aux demandes | 7% | 3% | 5% | 3% | 3% |
| Nombre d'employés, temps plein et temps partiel, dédiés aux activités d'accès à l'information à la fin de l'année | 10 | 9 | 21 | 10 | 19 |
| Demandes par ETP | 64,8 | 26,3 | 35,3 | 74,6 | 115,6 |
* Le paragraphe 10(3) sur l'accès à l'information prévoit que lorsqu'une institution gouvernementale omet de consentir l'accès à un document, ou de fournir un avis expliquant les raisons d'un refus d'accès à l'intérieur des délais précisés, celle-ci est présumée avoir refusé l'accès.
1.3 Aperçu du processus relatif aux demandes d’AIPRP
Le processus de traitement d’une demande d'AIPRP comporte 11 étapes. La Direction de l’AIPRP du Ministère, de même que les secteurs et les régions, doit suivre chacune de ces étapes. Afin de respecter l'exigence d'un délai de réponse de 30 jours en vertu de la loi, la Direction de l’AIPRP a établi un calendrier et un chemin critique pour l'achèvement de ces étapes comme il est illustré dans le graphique suivant:
Équivalent textuel de la processus relattif aux demandes d'AIPRP
Ce graphique décrit le processus de traitement d’une demande d’AIPRP et les délais associés aux différentes étapes. Les étapes 1 à 3 du processus sont gérées par la Direction de l’AIPRP et commencent le jour 1. La première étape correspond à la réception de la demande d’AIPRP. Au cours de la deuxième étape, on obtient des précisions (si nécessaire), on détermine si les documents demandés sont de nature délicate et si les médias sont susceptibles de s’intéresser à la question, et la demande apparaît dans le rapport d’AIPRP hebdomadaire dAADNC.
À l’étape 4, le secteur ou la région et la Direction de l’AIPRP interviennent. Le secteur ou la région accomplit trois tâches précises à cette étape. Premièrement, le secteur ou la région prépare un énoncé des répercussions, qui est signé par le sous-ministre délégué (SMD). Le secteur ou la région a jusqu’à 7 jours civils pour envoyer une copie de cet énoncé aux Communications. Deuxièmement, le secteur ou la région doit déterminer s’il faut préparer des infocapsules et élaborer une ébauche avec les Communications. Troisièmement, les problèmes liés à la recherche des documents qui ont été relevés par les programmes sont examinés avec la Direction de l’AIPRP. De son côté, la Direction de l’AIPRP envoie un rappel à l’agent de liaison de l’AIPRP le jour 5 du processus. Le jour 7, la Direction de l’AIPRP envoie un autre rappel à l’agent de liaison de l’AIPRP. Le jour 8, la Direction de l’AIPRP fait le suivi auprès du SMD si nécessaire.
Les étapes 5 à 7 sont gérées par la Direction de l’AIPRP et se déroulent entre le jour 8 et le jour 23 du processus. À l’étape 5, des prorogations s’appliquent au besoin. Au cours de l’étape 6, des consultations se tiennent (si nécessaire), et les documents sont traités. À l’étape 7, la Direction de l’AIPRP rencontre le SMD si les prorogations ne peuvent s’appliquer comme il avait été proposé.
Les étapes 8 à 11 sont considérées comme cruciales sur le plan de la conformité et se déroulent entre le jour 23 et le jour 30 (si la prorogation est justifiée, la date de début pour l’étape 8 est modifiée : cette étape commence alors 7 jours avant la date de communication des documents). Au cours de l’étape 8, le Bureau du sous-ministre (BSM) tient une réunion d’examen portant sur le rapport d’AIPRP hebdomadaire d’AADNC. Les énoncés de répercussions faisant état de renseignements sensibles sont passés en revue, et la version définitive des infocapsules est déposée à la réunion. L’étape 9 arrive le jour 26. À cette étape, le dossier est soumis au coordonnateur de l’AIPRP deux jours avant la date limite, à la suite d’un examen par le gestionnaire de l’AIPRP. L’étape 10 correspond au jour 28 et consiste en deux examens : un par le BSM et un par le coordonnateur de l’AIPRP. Celui-ci approuve alors le dossier complet. La dernière étape, l’étape 11, correspond au jour 30 et consiste à répondre à la personne qui a fait la demande d’AIPRP.
Comme on a pu le voir dans les pages précédentes, dès la réception d'une demande d’AIPRP, la Direction de l’AIPRP en fait une évaluation et détermine quelles régions ou quels secteurs sont responsables de fournir l'information demandée. L'agent de liaison de l'AIPRP (« AL ») de la région/du secteur responsable examine la demande et l'achemine au personnel approprié de la région/du secteur dans le but de rassembler les renseignements demandés.
Chaque région/secteur responsable remplit un énoncé d'impact qui est signé par le cadre supérieur responsable (sous-ministre adjoint principal, sous-ministre adjoint, directeur général régional, etc.), et l'achemine à la Direction de l’AIPRP. Cet énoncé indique les principaux renseignements relatifs à la demande, y compris l'information jugée délicate ou encore susceptible d'être exemptée ou exclue. Les exemptions visent à protéger les éléments se rapportant à des intérêts publics ou privés, par exemple, les renseignements confidentiels fournis par une tierce partie ou toute information pouvant porter atteinte à la défense du Canada. Certains renseignements sont précisément exclus de la portée de la loi, notamment ceux que contiennent les documents confidentiels du Conseil privé de la Reine pour le Canada et ceux qui sont mis en vente dans le public.
Même si les demandes doivent habituellement être remplies et communiquées dans les 30 jours suivant la réception par le Ministère, la loi prévoit des prolongations qui peuvent être accordées dans différentes situations. Par exemple, il est possible d'accorder une période supplémentaire de 60 jours si le Ministère doit consulter d'autres ministères gouvernementaux, ou des tierces parties comme une Première Nation, pour remplir la demande.
1.4 Rôle de la Direction de l’AIPRP
Au sein d’AADNC, la gestion des demandes d’AIPRP est assurée par la Direction de l’AIPRP, qui est sous la responsabilité du Secrétariat du Ministère. Le Directeur de l'AIPRP relève du secrétaire, qui lui, relève du sous-ministre. La Direction a la responsabilité générale de fournir un éventail diversifié de mesures de soutien et de services, notamment les réponses aux demandes d'accès à l'information et aux renseignements personnels.
Outre le directeur, on dénombre environ 21 ETP au sein de la Direction de l’AIPRP, y compris des consultants et du personnel d'agences de dotation. Environ 15 ETP sont responsables du traitement des demandes et 6 sont affectés à la Section de la politique sur la protection des renseignements personnels. La Direction de l’AIPRP établit les politiques, les procédures et les pratiques permettant d’assurer la conformité du Ministère à la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. Elle traite toutes les demandes soumises en vertu de ces lois, à l’aide de la contribution des différents secteurs et régions du Ministère qui sont concernées. Bien qu'il incombe au Secrétariat de coordonner les réponses aux demandes d’AIPRP, tous les membres de la haute direction du Ministère ont un rôle à jouer pour faire en sorte que les documents demandés sont transmis au Secrétariat dans les meilleurs délais.
La Section de la politique sur la protection des renseignements personnels de la Direction de l’AIPRP offre de l’aide et des conseils au Ministère sur divers aspects de la protection des renseignements personnels, comme l’exécution des évaluations d'impact sur la vie privée ou d’effectuer des activités d'éducation et de sensibilisation à la protection des renseignements personnels et aux enjeux connexes à l'échelle du Ministère.
1.5 Rôle des régions et des secteurs
Chaque secteur et chaque région du Ministère joue un rôle au chapitre du traitement des demandes d’AIPRP qui visent des dossiers détenus au sein de leurs organisations respectives. Comme on a pu le voir dans les pages précédentes, dès la réception d'une demande de production de documents provenant de la Direction de l’AIPRP, il incombe à la région/au secteur de retracer ces documents et d'obtenir l'approbation du SMA concernant les répercussions rattachées à la demande. Ils doivent également collaborer avec la Direction générale des communications du Ministère pour tout élément de nature délicate pouvant justifier des infocapsules. Chaque secteur et chaque région a désigné un agent de liaison qui est affecté directement à la Direction de l’AIPRP. Cet agent y coordonne la consultation, l'examen et la production de l'information requise.
1.6 Contexte
Avant 2011-2012, le Commissariat à l'information du Canada avait signalé que le Ministère présentait des lacunes importantes au chapitre de la gestion de l'AIPRP et qu'il avait de façon régulière manqué à ses obligations prévues par la loi. En 2011-2012, AADNC a orienté ses efforts vers une amélioration du processus de gestion des demandes d’AIPRP. En plus d'apporter des changements aux effectifs et au niveau de leadership au sein de la Direction de l’AIPRP, le Ministère a mis à jour et a amélioré ses politiques et ses procédures d'AIPRP, la formation offerte et ses pratiques de surveillance. Le tableau A illustre les changements apportés de 2010-2011 jusqu'à 2013-2014. Il fait état d'une hausse importante du nombre de demandes traitées par à peu près le même nombre d'ETP à la Direction de l’AIPRP. Il importe de mentionner la proportion accrue de demandes achevées à l'intérieur du délai initial de 30 jours, et en particulier l'augmentation continue des demandes achevées dans les 15 premiers jours (longtemps avant le délai initial de 30 jours). Comme on le verra plus loin, l'effet positif de ces changements dans la capacité du Ministère de s'acquitter de ses obligations statutaires est confirmé par les résultats de cette vérification.
Tableau A
| Délai de traitement |
2010-2011 | 2011-2012 | 2012-2013 | 2013-2014 | ||
|---|---|---|---|---|---|---|
| Demandes d'accès à l'information | Nbre de demandes traitées | 278 | 518 | 623 | 586 | |
| % des demandes d'information traitées dans les 30 jours | En 30 jours | 34 % | 53% | 69% | 63% | |
| 1-15 jours | Aucune donnée |
16% | 25% | 27% | ||
| Ratio des prolongations par rapport aux nouvelles demandes | 33% | 55% | 29% | 38% | ||
| Nbre de pages examinées pour toutes les demandes traitées | Aucune donnée |
305 134 | 397 850 | 324 047 | ||
| Nbre d'employés* dédiés, à temps plein et à temps partiel, aux demandes d'accès à l'information | Aucune donnée |
14 | 10 | 13 | ||
| Délai de traitement |
2010-2011 | 2011-2012 | 2012-2013 | 2013-2014 | ||
| Demandes d'accès à des renseigne-ments personnels | Nbre de demandes traitées | 70 | 222 | 166 | 94 | |
| % des demandes d'accès à des renseignements personnels traitées dans les 30 jours | En 30 jours | 49% | 74% | 83% | 95% | |
| 1-15 jours | Aucune donnée |
18% | 20% | 40% | ||
| Ratio des prolongations par rapport aux nouvelles demandes | 16% | 23% | 5% | 4% | ||
| Nbre de pages examinées pour toutes les demandes achevées | Aucune donnée |
41 950 | 28 334 | 11 867 | ||
| Nbre d'employés* dédiés, à temps plein et à temps partiel, aux demandes d'accès à des renseignements personnels | Aucune donnée |
19 | 10 | 5 | ||
| **Ne comprend pas les étudiants ou les consultants/organismes de dotation | ||||||
2. Objectif et portée de la vérification
2.1 Objectif de la vérification
L’objectif de la vérification était d'évaluer la pertinence du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour soutenir la gestion de l'AIPRP et la mesure dans laquelle elles favorisent la conformité aux exigences législatives, celles du Conseil du Trésor et celles du Ministère. Également, l’objectif de la vérification était d’évaluer l'efficacité opérationnelle des contrôles en place pour gérer le traitement des demandes d’AIPRP et pour en favoriser l'amélioration continue.
2.2 Portée de la vérification
La portée de la vérification comprenait les activités relevant de la responsabilité du Ministère ayant trait à la gestion de l'AIPRP. Plus particulièrement, la vérification a évalué la pertinence et l’efficacité opérationnelle du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour soutenir la gestion de l’AIPRP.
Conformément à l'objectif fixé, la vérification a examiné les quatre éléments suivants :
- La pertinence du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour s’assurer que la gestion des demandes d’AIPRP est conforme aux exigences législatives, celles du Conseil du Trésor et du Ministère et pour réduire le risque que de l'information exclue ou exemptée soit divulguée.
- L'efficacité opérationnelle du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour s’assurer que la gestion des demandes d’AIPRP est conforme aux exigences provenant des lois, du Conseil du Trésor et du Ministère et pour réduire le risque que de l'information exclue ou exemptée soit divulguée.
- La pertinence du cadre de gouvernance, de la gestion des risques et des mesures de contrôle en place pour s’assurer que la gestion des demandes d’AIPRP est conforme aux exigences provenant des lois, du Conseil du Trésor et du Ministère et pour réduire le risque d’infractions à la Loi sur la protection des renseignements personnels.
- La pertinence des procédures en place aux fins d’un traitement efficient des demandes d’AIPRP.
La vérification couvrait la période du 1er avril 2012 au 31 mars 2014.
La vérification ne comprenait aucun examen de:
- l'exactitude ou l'intégralité des demandes d'AIPRP complétées;
- les responsabilités en lien avec la protection des renseignements personnels qui sont à l'extérieur de la portée des responsabilités de la Direction de l’AIPRP.
3. Démarche et méthodologie
La vérification a été effectuée conformément aux exigences de la Politique sur la vérification interne du Conseil du Trésor et aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Elle a porté sur bon nombre d’éléments de preuve pertinents et obtenu suffisamment d'information pour fournir un niveau d'assurance raisonnable à l'appui de ses conclusions.
Voici les principales techniques de vérification utilisées :
- entrevues avec les cadres et le personnel clé du Secrétariat du Ministère ainsi qu'un échantillon de secteurs et de régions;
- un examen de la documentation relative à l'AIPRP, y compris les lois, les règlements, les directives et les orientations pertinentes (voir l’annexe C pour une liste) et les rapports au Parlement;
- l’examen d'un échantillon de demandes présentées au titre de l’AIPRP durant l'exercice 2013-2014.
Afin d’atteindre les objectifs fixés, on a élaboré des critères de vérification (voir l’annexe A) à la lumière desquels les observations et les conclusions ont pu être formulés.
4. Conclusion
La vérification a révélé que, dans l'ensemble, le cadre de gouvernance, de gestion des risques, et des mesures de contrôle en place pour s’assurer que la gestion de l’AIPRP est conforme aux exigences provenant des lois, du Conseil du Trésor et du Ministère, sont adéquates et fonctionnent de façon efficace. En revanche, la vérification a identifié des possibilités d’améliorations dans les domaines suivants : politiques et procédures; formation et orientation; efficience et amélioration continue.
5. Observations et recommandations
À la lumière des données compilées à la suite de l'examen de la documentation, des entrevues et des analyses, chacun des quatre critères de vérification (voir l’annexe A) a été évalué et une conclusion en a été tirée. Lorsqu'un écart important a été observé entre un critère et la pratique, le risque associé à cet écart a été évalué afin d’élaborer une conclusion et de formuler des recommandations en vue d’apporter des améliorations.
La présente section présente les résultats des travaux de vérification, avec un accent particulier sur les domaines où des écarts ont été cernés et où des recommendations ont été formulées. Elle s’articule autour des quatre thèmes suivants :
Gouvernance et surveillance – La pertinence de mesures de surveillance et de suivi réguliers est un élément déterminant de la capacité qu’a le Ministère d’évaluer son propre rendement au chapitre de la gestion des demandes d’AIPRP, mais aussi de cerner et de gérer les risques inhérents au traitement rapide et efficace de ces demandes. Ce thème se rapporte aux critères de vérification 1 et 2.
Politiques et procédures ministérielles relatives à l'AIPRP – La pertinence de la documentation officielle en ce qui concerne la conception et la transmission aux parties concernées ainsi que l’efficacité réelle des pratiques observées (p.ex., vérification de dossiers) ont grandement facilité l’évaluation du cadre de gouvernance, des mesures de contrôle et du cadre de gestion des risques. Ce thème se rapporte aux critères 1 à 3.
Formation et soutien – La pertinence des programmes de formation, des cours de formation et des mesures de soutien connexes qui sont offerts aux employés du Ministère ayant des responsabilités en lien avec l’AIPRP a contribué de façon déterminante à l’évaluation de la mesure dans laquelle ces employés ont compris de façon claire leur rôles et responsabilités. À ce titre, la formation et les mesures de soutien représentent un aspect important de l'évaluation du cadre de gouvernance, de gestion des risques et de contrôle. Ce thème se rapporte aux critères de vérification 1 et 3.
Efficience et amélioration continue – Ce thème est associé au volet efficience de la portée de la vérification. À ce titre, il couvre tous les éléments du critère de vérification 4 et les éléments relatifs à la gestion du rendement dans le critère de vérification 1.
5.1 Gouvernance et surveillance
L'équipe de vérification s'attendait à ce que le Ministère ait déjà mis en place des mécanismes permettant de faire un suivi et de contrôler de façon régulière la gestion des demandes soumises au titre de l’AIPRP. Ces activités devraient s’appuyer sur des rapports précis et opportuns, et faciliter l'identification, l'évaluation et la gestion des risques liés au traitement des demandes d’AIPRP.
La vérification a permis de constater que le secrétaire du Ministère et le directeur de l'AIPRP ainsi que le sous-ministre adjoint dirigent des réunions hebdomadaires en lien avec l’AIPRP. Ces réunions servent de tribune principale aux fins d’une surveillance de haut niveau du processus de gestion des demandes d’AIPRP. D'autres intervenants peuvent participer à ces réunions, notamment des représentants du cabinet du sous-ministre, de la Direction générale des communications, et de la Direction générale de la gestion et du règlement des litiges. Au cours de ces réunions, les activités relatives à l'AIPRP et l'état d'avancement des demandes sont discutés avec le directeur de l'AIPRP. Même si l'on passe en revue chaque nouvelle demande, on porte une attention particulière aux demandes pouvant viser des renseignements de nature délicate ou, pour quelque autre raison, importants. Cet examen des activités d'AIPRP et des demandes constitue une étape importante de la gestion des risques inhérents aux demandes d’AIPRP reçues, de même qu’un excellent mécanisme qui permet d’assurer que les intervenants internes appropriés sont avertis et engagés en temps opportun lorsque des renseignements de nature potentiellement délicate sont demandés.
En ce qui a trait à la production de rapports, la vérification a permis de constater que des rapports sommaires sont rédigés en prévision des réunions hebdomadaires. Ils donnent un résumé des demandes d’AIPRP et font état des changements apportés depuis le dernier rapport hebdomadaire (p.ex., sommaires de l'ensemble des nouvelles demandes, des demandes achevées, des prolongations, etc.). En outre, la vérification a révélé que la fonction d'AIPRP fournit des renseignements permettant d'établir le plan d'activités annuel du Secrétariat du Ministère, et rend compte de ces éléments dans les rapports trimestriels du Ministère. Enfin, la Direction de l’AIPRP doit produire à l’intention du Parlement des rapports annuels détaillés concernant la conformité aux obligations prévues dans la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels.
À la lumière de ce qu’elle a pu observer, l'équipe de vérification a conclu que les mécanismes de gouvernance et de surveillance en place permettaient d'exercer une gestion appropriée et efficace de la fonction d'AIPRP.
5.2 Politiques et procédures ministérielles relatives à l'AIPRP
Évaluation de la conception/pertinence
L'équipe de vérification s'attendait à ce que le Ministère ait mis en place des politiques et des procédures bien conçues et communiquées de manière appropriée pour faciliter la gestion des demandes soumises au titre de l’AIPRP. Ces politiques et procédures devaient refléter notamment les exigences applicables à l'échelle pangouvernementale (c. -à -d., celles qui sont établies par le Conseil du Trésor) et l'approche du Ministère à l'égard de la gestion des risques inhérents à la communication de renseignements de nature délicate.
La vérification a permis de constater que la Direction de l’AIPRP avait déjà mis en place plusieurs politiques et procédures devant servir à faciliter la gestion des demandes d’AIPRP. Dans l'ensemble, elles se sont avérées concises, faciles à comprendre et décrivent en termes clairs les rôles et les responsabilités. Ces politiques et procédures sont accessibles à tous les employés à partir du site intranet du Ministère.
L'équipe de vérification a aussi procédé à une évaluation approfondie des politiques et procédures ministérielles relatives à l'AIPRP par rapport aux exigences du Conseil du Trésor (CT). Ces exigences proviennent de la Directive concernant l'administration de la Loi sur l'accès à l'information du CT, de la Politique sur l'accès à l'information du CT, et de la Directive sur les demandes de renseignements personnels et de correction du CT. En examinant les 21 exigences provenant de ces documents, la vérification a permis de constater que les politiques et les procédures satisfaisaient entièrement à 17 d’entre elles. Quatre des exigencesont été évalué comme étant partiellement satisfaits, comme suit:
- les politiques et procédures visées donnent peu d’information concernant l'entrave au droit d'accès à l'informationNotes en bas de page 2;
- le guide de l'employé pour l'AIPRP ne prévoit aucune procédure devant servir à aviser le Commissaire à l'information qu’une prolongation supérieure à 30 jours a été consentie pour une demande; et,
- le guide de l’employé contient peu d’information sur la façon de fermer un dossier complété (par exemple, l’établissement d’une liste de vérification de fermeture), y compris sur les documents que l'on doit conserver dans le dossier et sur les procédures relatives à la publication des résumés de demandes dans le site Web du Ministère (comme l'exigent les lois).
La Direction de l’AIPRP a également élaboré des politiques et des procédures se rapportant à sa responsabilité de protéger les renseignements personnels. L'un des documents clés est le Manuel sur la politique et les procédures d’évaluation des facteurs relatifs à la vie privée (le « Manuel »). Bien qu'il ait été établi que ce manuel comporte des directives utiles, certains problèmes liés à l'Évaluation des facteurs relatifs à la vie privée (EFVP) ont été relevés :
Responsabilité de veiller à l'exécution des évaluations des facteurs relatifs à la vie privée :
- Le Manuel indique qu'il incombe à la Direction de l’AIPRP de procéder aux EFVP. Cependant, cette pratique est contraire à l'interprétation de la Direction de l’AIPRP voulant que sa responsabilité consiste à assumer à cet égard un rôle consultatif.
Comité directeur sur la protection des renseignements personnels :
- Le Manuel indique que le Direction de l’AIPRP est responsable de soumettre les EFVP dûment remplis au Comité directeur sur la protection des renseignements personnels pour approbation, et de s'assurer que les recommandations approuvées par le Comité sont mises en œuvre. Il appert toutefois qu’aucun comité de cette nature n’a encore été mis en place.
Approbation des évaluations des facteurs relatifs à la vie privée :
- Le Manuel n'indique pas qui est responsable d'approuver une EFVP, dans un secteur ou une région, avant qu'elle ne soit soumise à la Direction de l’AIPRP. En pratique, il semble que ces approbations sont habituellement fournies par le promoteur du programme ou du projet.
Les questions en lien avec les EFVP dont traite le Manuel augmentent la probabilité que les EFVP requises ne soient pas achevées ou que celles qui ont été effectuées ne soient pas assujetties aux fonctions d'approbation et de surveillance appropriées. Dans ce scénario, les renseignements personnels recueillis et conservés par le Ministère risquent de ne pas être protégés de manière adéquate.
Enfin, la vérification a révélé qu'il n'existait aucun processus officiel ou calendrier établi pour mettre à jour les politiques et les procédures d'AIPRP. Même si le Direction a indiqué que ces instruments avaient été actualisés au cours des deux dernières années, aucun examen ni aucune mise à jour devant permettre de répondre aux besoins ponctuels n'ont été prévus.
Évaluation de l’efficacité
Pour évaluer l'efficacité opérationnelle des politiques et des procédures d'AIPRP, on a examiné de façon aléatoire un échantillon de documentation sur support papier pour 25 demandes d’AIPRP. L'équipe de vérification s'attendait à trouver des dossiers qui, de par leur contenu, sont bel et bien conformes aux exigences applicables du Conseil du Trésor et du Ministère. Par exemple, les dossiers devraient renfermer des preuves que les énoncés d'impact ont été dûment remplis et approuvés, que les échéances fixées ont été respectées et qu’une diligence raisonnable a été exercée (c.-à-d., preuve de l'identité de la personne dans le cas de demande relative à la protection de renseignements personnels).
Dans l'ensemble, la vérification des dossiers a permis de déterminer que la documentation nécessaire était présente pour soutenir l'efficacité opérationnelle des contrôles clés de la gestion. Par exemple, il a été constaté que les 25 demandes choisies au hasard avaient été complétées à l'intérieur du délai requis, et que dans tous les cas la lettre de communication finale avait été approuvée par le coordonnateur de l'AIPRP.
En revanche, la vérification a relevé certaines exceptions. Dans plusieurs cas, celles-ci peuvent être attribuées aux problèmes relatifs aux politiques et aux procédures mentionnées dans les pages précédentes. Par exemple :
- Trois des 15 dossiers relatifs à des demandes d'accès à l'information comportaient des prolongations; toutefois, dans un seul d’entre eux figurait une lettre indiquant clairement que le Commissaire à l'information en avait avisé.
- La notification du Commissaire à l'information est une exigence prévue par la Loi sur l'accès à l'information. Ce problème a également été porté à l'attention du Ministère dans la Fiche de rendement 2010-2011 du Commissaire à l'information.
- Dans le dossier de 3 des 10 demandes de l'échantillon en lien avec la protection des renseignements personnels, rien n'indiquait que l'identité du demandeur avait été confirmée.
- Le Conseil du Trésor exige des ministères qu’ils mettent en place des procédures permettant de confirmer que les auteurs de demandes sont habilités à présenter une demande, et qu’ils s’assurent de l'identité des demandeurs. L’absence de confirmation entraîne un risque accru d'atteinte à la vie privée.
- Les dossiers de 9 des 25 demandes ne renfermaient aucune copie des énoncés d'impact. Étant donné que la Direction de l’AIPRP est en cours de transition vers un système électronique de stockage de certains renseignements, il a été constaté que les 9 énoncés d'impact avaient été stockés sur support électronique.
- Il n'existe actuellement aucune directive régissant la façon de s'assurer que les dossiers sont complets, et de déterminer quels renseignements sont conservés sur support papier et lesquels sont consignés sur support électronique. À défaut d'une approche uniforme pour s'assurer que les dossiers sont complets (c. -à -d., pour établir le support pour tous les dossiers), il existe un risque accru qu'un dossier ne soit pas vraiment conforme aux exigences.
Recommandation
1. Le secrétaire du Ministère devrait entreprendre un examen approfondi des politiques et des procédures d'AIPRP dans la perspective d’y repérer et d’adresser les lacunes, les irrégularités ou autres possibilités d'amélioration, et de prendre les mesures qui s’imposent. Outre la pratique actuelle qui consiste à régler les problèmes à mesure qu'ils surviennent, il conviendrait d'établir un calendrier qui exigerait un examen périodique approprié des politiques et procédures.
5.3 Formation et soutien
L'équipe de vérification s'attendait à constater que des programmes de formation avaient été mis en place pour s'assurer que les principaux intervenants comprennent et connaissent leurs rôles et leurs responsabilités au chapitre de l’accès à l’information et de la protection des renseignements personnels, et que les secteurs et les régions bénéficient de l’aide dont il peuvent avoir besoin sur des questions d’interprétation et d’exercice de leurs responsabilités.
La Direction de l’AIPRP a élaboré une séance de formation intitulée AIPRP 101, qui passe en revue les exigences législatives et les responsabilités qui se rapportent à la gestion des demandes d’AIPRP. Cette formation est accessible à partir du site intranet du Ministère et des étapes supplémentaires ont été prises récemment afin de rendre la formation plus formelle. En fait, la formation AIPRP 101 est maintenant gérée par la Direction de l'apprentissage et du perfectionnement du Ministère et fait partie des « formations recommandées » du Ministère. La gestion des séances de formation par l'entremise de la Direction de l'apprentissage et du perfectionnement a permis d'accroître l'accessibilité de la formation ainsi que la responsabilisation des participants en les amenant à prendre les mesures nécessaires pour une formation complète et continue. En outre, la classification de la formation AIPRP 101 comme formation « recommandée » continue à rehausser le profil et la demande pour cette formation à l'échelle d'AANDC. Le tableau ci-dessous fait le point sur les séances de formation sur l'AIPRP qui ont été présentées en 2013 -2014 :
| Nombre de séances d'apprentissage sur l'AIPRP | 8 (6 à l'AC, 2 vidéoconférences) |
|---|---|
| Participants | 90 (77 AC, 13 région) |
| Secteurs de l'AC représentés | 7 (sur 8) |
| Régions représentées | 1 (sur 10) |
Bien que les secteurs et les régions aient exprimé des commentaires positifs à l'équipe de vérification concernant la formation actuelle, bon nombre des personnes interrogées ont également indiqué qu'il serait profitable d'en élargir le volet pratique. Cela permettrait de mieux comprendre comment s'acquitter correctement des responsabilités relatives à l'AIPRP dans les différents secteurs et régions. Ces responsabilités sont diverses : recherche de documents, gestion/coordination des demandes, gestion du calendrier de traitement des demandes reçues au titre de l’AIPRP. Les personnes interrogées à ce sujet y voient une occasion d’uniformiser plus encore les pratiques établies à l'échelle du Ministère et de d’indiquer les points à améliorer dans le processus. Dans la mesure où la formation actuelle n’aide pas suffisamment les responsables régionaux et sectoriels à bien s’acquitter de leurs fonctions, il y a un risque accru que les pratiques ne soient pas aussi uniformes qu’elles devraient l’être ou que les possibilités d'amélioration du processus ne soient pas cernées.
Outre la formation conçue pour la gestion des demandes au titre de l’AIPRP, la Direction en a élaboré une autre visant à promouvoir la sensibilisation et la responsabilisation au chapitre de la protection des renseignements personnels et des exigences à respecter en cas d'atteinte à la sécurité de ces renseignements. Bien qu'une telle formation existe et qu’elle soit généralement offerte sur « demande », elle n'a pas été donnée récemment. Étant donné que la Direction de l’AIPRP a pour mission d'éduquer et de sensibiliser les employés en ce qui a trait à la protection des renseignements personnels et aux problèmes connexes à l'échelle du Ministère, il y a un risque qu'une formation ponctuelle à cet égard ne suffise pas à s'acquitter de cette responsabilité, et que la sécurité des renseignements personnels s’en trouve compromise.
En ce qui a trait au rôle de soutien, les intervenants des secteurs et des régions interrogés ont formulé des commentaires positifs quant au soutien fourni par la Direction de l’AIPRP. Une majorité d’entre eux ont indiqué qu'ils n’hésitaient pas à contacter le directeur de l'AIPRP pour obtenir de l'aide lorsqu'ils en ont besoin. Ils ont également souligné que si le besoin d'obtenir une formation émergeait et qu'aucune séance de formation sur l'AIPRP n'était prévue, la Direction de l’AIPRP était disposée à fournir une formation individuelle.
La vérification a révélé que la formation et le soutien offerts aux intervenants ministériels satisfaisaient, d'une façon générale, aux exigences; toutefois, il y a place à un élargissement du volet pratique de la formation AIPRP 101, et il est possible de déterminer plus clairement que la formation dispensée est bien à la hauteur du rôle de sensibilisation confié à la Direction de l’AIPRP.
Recommandation :
2. Le secrétaire du Ministère devrait examiner, et mettre à jour au besoin, les programmes de formation offerts par la Direction de l’AIPRP par exemple :
- Améliorer l'accès des secteurs et des régions à la formation et aux orientations pratiques. Pour ce faire, il est recommendé que les représentants des secteurs et des régions soient consultés;
- Évaluer si le programme de formation sur la protection des renseignements personnels, en lien avec la responsabilité de la Direction à éduquer et sensibiliser à la protection des renseignements personnels et aux enjeux connexes à l'échelle du Ministère, est suffisant tel qu’il est.
5.4 Efficience et amélioration continue
AADNC, de concert avec de nombreux autres ministères fédéraux, doit constamment s'efforcer de bien s'acquitter de son mandat tout en soutenant le gouvernement dans l’engagement qu’il a pris de réduire et de limiter les coûts, et d'optimiser l'utilisation des ressources financières. Étant donné l’attention que la Direction de l’AIPRP a portée récemment à la conformité aux exigences législatives et politiques, peu de ressources ont été consacrées à l'identification et à l’exploitation des possibilités de réaliser des gains d'efficience dans le cadre de la gestion des demandes au titre de l’AIPRP à l'échelle du Ministère. Même si la Direction a réalisé des progrès dignes de mention et il est important de souligner qu'elle est maintenant tout à fait en mesure d’aller au-delà de la simple conformité et de viser aussi des gains d'efficience.
Évaluer l'impact ministériel du traitement des demandes d’AIPRP
Dans le cadre de l'analyse des mesures favorisant l'efficience et l'amélioration continue, la vérification a d’abord commencé par bien comprendre les coûts réels pour le Ministère de traiter des demandes d’AIPRP. Même si des données volumétriques étaient disponibles à cet égard (p.ex., nombre de demandes et nombre de pages), de même que les coûts de fonctionnement directement rattachés aux activités de la Direction de l’AIPRP, les méthodes actuellement en place pour la collecte et le suivi des données relatives aux demandes d’AIPRP ont été jugées insuffisantes pour calculer le niveau d'effort précis ou pour établir une estimation de coûts, car toutes les données relatives au processus de traitement des demandes ne font pas l’objet d’un suivi. L’équipe de vérification a donc entrepris un exercice indépendant pour estimer ces coûts pour le plus récent exercice financier complet, 2013-2014.
En plus des coûts rattachés aux activités de la Direction de l’AIPRP, l'équipe de vérification a aussi identifié les répercussions pour les régions/les secteurs pour ce qui est des deux principales activités relatives à l'AIPRP, la collecte d'information et l’examen de l'information. Afin de bien établir les coûts des activités de collecte d'information, l'équipe a examiné un échantillon de 21 énoncés d'impact préparés par divers secteurs/régions, afin de déterminer le temps de recherche estimé et le niveau des employés chargés de la recherche. Quant à l'examen de l'information, elle a préparé et distribué un court questionnaire sur l'établissement des coûts à cinq régions/secteurs. Ce questionnaire a fait ressortir les estimations des secteurs/régions concernant le temps requis pour examiner une demande d'AIPRP, et le niveau de l'employé chargé de cet examen. À l'aide de ces données, ainsi que des données volumétriques disponibles et de celles touchant les salaire/avantages, l'équipe de vérification a calculé le coût de traitement des demandes d’AIPRP, dans l’ensemble et pour chaque demande.
La méthode d'estimation des coûts décrite ci-dessus ne couvrait pas tous les intrants du processus de traitement des demandes au titre de l’AIPRP. Par exemple, les coûts et le temps consacrés aux examens des communications, à la coordination des activités de l'agent de liaison, à l'acheminement et à l'approbation des énoncés d'impact par les SMA ou le temps consacré par le secrétaire du Ministère n’ont pas été pris en compte. Les estimations qui en ont résulté, présentées dans le tableau suivant, sont considérées comme « minimales ».
| 2013-2014 | ||
|---|---|---|
| Coûts de la Direction de l'AIPRPNotes en bas de page 3 : | ||
| Salaires du personnel – accès à l'information et protection des renseignements personnels | 1 234 762 $ | |
| Fonctionnement et entretien, et capital | 198 266 $ | 1 433 028 $ |
| Régions et secteurs – estimation du coût du rassemblement de l'information : | ||
| Coût estimé par demande | 106 $ | |
| Temps estimé par demande | 2,8 heures | |
| Nombre de demandes traitées pendant l'année | 686 | |
| Total pour le rassemblement de l'information | 72 716 $ (1 921 heures) |
|
| Régions et secteurs – estimation du coût de l'examen de l'informationNotes en bas de page 4 | ||
| Coût estimé par page | 1,00 $ | |
| Temps estimé par page | 1,2 minute | |
| Nombre de pages examinées pendant l'année | 345 110 | |
| Total pour l'examen de l'information | 345 110 $ (6 902 heures) |
|
| Répercussions financières minimales – Total | 1 850 854 $ | |
| Répercussions financières minimales – Par demande | 2 698 $ | |
Selon les résultats de l'exercice d'estimation des coûts effectué par l'équipe de vérification, le coût minimum de traitement des demandes d’AIPRP en 2013-2014 s'élevait à environ 1,8 million de dollars. Cette estimation indique également que les régions/les secteurs assument un coût d'opportunité de près de 9 000 heures.
Promouvoir les gains d'efficience
Bien que l'exercice précité permette de déterminer les coûts du traitement des demandes d'AIPRP, la Direction devra prendre des mesures supplémentaires pour améliorer son processus de façon continue et pour réaliser des gains d'efficience qui entraîneront des avantages pour tout le Ministère. Voici quelques exemples de techniques qui pourraient être utilisées couramment pour repérer les possibilités de gain d'efficience :
- étendre la collecte de données et la mesure du rendement concernant l'AIPRP à tous les intrants du processus de traitement des demandes, au-delà de ce qui est requis pour démontrer/favoriser la conformité;
- produire un rapport sur le rendement selon les normes de service interne clésNotes en bas de page 5 afin de cerner les tendances et les possibilités d'amélioration;
- solliciter activement les commentaires des secteurs et des régions au sujet des pratiques exemplaires, des leçons apprises ou des difficultés rattachées au processus de traitement des demandes reçues au titre de l’AIPRP. Selon ce qui se dégage des entrevues, il serait judicieux de discuter de l'envoi de demande d'information à plusieurs secteurs/régions. En effet, même si un secteur/une région n'a pas d'information à fournir, il lui faut malgré tout remplir l'énoncé d'impact, le faire approuver par le SMA responsable et le soumettre à la Direction de l’AIPRP.
Bien qu'il n'existe aucune solution ou approche unique pour favoriser une amélioration continue, les problèmes notés au niveau des capacités à l’échelle du Ministère exigent que l'on cherche des possibilités de gain d'efficience dans tous les domaines, y compris celui de la gestion des demandes d’AIPRP. Suite à son étude intitulée Étude sur les pratiques exemplaires pour les demandes d'accès à l'information, le Secrétariat du Conseil du Trésor a proposé comme pratique exemplaire de soutenir l'efficacité de l'administration de programme d'accès à l'information ainsi que de procéder à des évaluations périodiques des besoins en ressources (humaines, financières, technologiques) et, s'il y a lieu, à des analyses de rentabilisation. Ce n’est pas la seule pratique exemplaire (visée par la présente vérification) qu’AADNC n'a pas respectée ou n’a respectée qu’en partie seulement. Voir l'annexe B pour obtenir des précisions à ce sujet.
Comme on l’a vu dans les pages précédentes, la Direction de l’AIPRP a réalisé des progrès considérables au chapitre de la conformité globale à la loi, et elle a maintenant la possibilité d'améliorer l'efficience de son processus tout en maintenant la conformité.
Recommandation :
3. Le secrétaire du Ministère devrait préciser les attentes, les rôles et les responsabilités, afin d’améliorer l'efficience de la gestion de l'AIPRP, et établir des objectifs et des pratiques connexes conçus pour accroître l'efficience des processus. Ces pratiques pourraient comprendre la facilitation de la mise en commun des pratiques exemplaires entre les régions et les secteurs, l'établissement de rapports sur le rendement de la Direction de l’AIPRP au regard des normes de services internes et le suivi du niveau d'effort requis à l’échelle du Ministère pour traiter les demandes afin de contrôler et d’identifier les améliorations en terme d’efficience.
6. Plan d'action de la direction
| Recommandations | Réponse/mesures de la direction | Gestionnaire responsable (titre) |
Date prévue de mise en œuvre (mois-année) |
|---|---|---|---|
| 1. Le secrétaire du Ministère devrait entreprendre un examen approfondi des politiques et des procédures d'AIPRP dans la perspective d’y repérer et d’adresser les lacunes, les irrégularités ou autres possibilités d'amélioration, et de prendre les mesures qui s’imposent. Outre la pratique actuelle qui consiste à régler les problèmes à mesure qu'ils surviennent, il conviendrait d'établir un calendrier qui exigerait un examen périodique approprié des politiques et procédures. | 1. Le Secrétariat du Ministère mènera un examen approfondi des politiques et des procédures en matière d’AIPRP, et ce, une fois par année financière. S’il y a modification des lois ou des politiques du SCT, le Secrétariat du Ministère en fera un examen ponctuel. Le Secrétariat du Ministère examinera en particulier ce qui suit :
|
Secrétaire du Ministère |
Août 2014 |
2. Le Secrétariat du Ministère mettra à jour le manuel des opérations en matière d’AIPRP en fonction des lacunes relevées et veillera à ce qu’il soit conforme à la Directive concernant l’administration de la Loi sur l’accès à l’information du Secrétariat du Conseil du Trésor.
|
Août 2014 | ||
2. Le secrétaire du Ministère devrait examiner, et mettre à jour au besoin, les programmes de formation offerts par la Direction de l’AIPRP, par exemple :
|
Le Secrétariat du Ministère examinera annuellement et mettre à jour au besoin les programmes de formation offerts par la Direction de l’AIPRP. En particulier, le Secrétariat du Ministère prendra les mesures suivantes : | Secrétaire du Ministère | |
| a. Convoquer une série de conférences téléphoniques ou de réunions avec les représentants régionaux et sectoriels pour obtenir leurs commentaires sur les améliorations particulières requises ou sur la nécessité d’un programme de formation en AIPRP; | Juillet 2014 | ||
b. Évaluer la pertinence du programme de formation en AIPRP et y ajouter du contenu et de la substance mettant l’accent sur la promotion de la sensibilisation à l’égard de la protection des renseignements personnels et des questions connexes au sein du Ministère.
|
Septembre 2014 | ||
| 3. Le secrétaire du Ministère devrait préciser les attentes, les rôles et les responsabilités, afin d'améliorer l'efficience de la gestion de l'AIPRP, et établir des objectifs et des pratiques connexes conçus pour accroître l'efficience des processus. Ces pratiques pourraient comprendre la facilitation de la mise en commun des pratiques exemplaires entre les régions et les secteurs, l'établissement de rapports sur le rendement de la Direction de l'AIPRP au regard des normes de services internes et le suivi du niveau d'effort requis à l'échelle du Ministère pour traiter les demandes afin de contrôler et d'identifier les améliorations en terme d'efficience. | 1. Le Secrétariat du Ministère concevra à l’intention des agents de liaison sectoriels et régionaux de l’AIPRP un manuel régional/sectoriel des opérations qui garantira le recours uniforme aux pratiques exemplaires dans le traitement et la récupération des dossiers d’AIPRP à l’échelle du Ministère. | Secrétaire du Ministère | Octobre 2014 |
| 2. Le Secrétariat du Ministère ajoutera à ses rapports trimestriels des précisions sur la conformité à des normes de service additionnelles en matière d’AIPRP. De plus, le Secrétariat du Ministère continuera de rendre des comptes sur le rendement par rapport aux normes de service internes dans les rapports trimestriels sur son rendement, dans les rapports statistiques du Secrétariat du Conseil du Trésor et dans les rapports annuels présentés au Parlement. Chaque trimestre : Ajouter des normes de service internes au rapport trimestriel. Faire rapport sur le respect des normes de service internes dans les rapports des quatre trimestres. Annuellement, à compter de mai 2015 : Préparer un rapport statistique du SCT. Annuellement, à compter de juin 2014 : Préparer des rapports annuels à présenter au Parlement. |
Septembre 2014 | ||
| 3. Le Secrétariat du Ministère assurera la liaison avec la Division des politiques de l’information et de la protection des renseignements personnels du Secrétariat du Conseil du Trésor (DPIPRP) afin d’établir les options de suivi du degré d’effort requis à l’échelle du Ministère pour traiter les demandes de manière à cerner les moyens d’améliorer l’efficacité. | Juillet 2014 |
Annexe A : Critères de vérification
Par souci d’atteindre l'objectif fixé pour la vérification, les critères suivants ont été élaborés pour chacune des hypothèses retenues aux fins de la vérification (voir la section 2.2 du présent rapport) :
Critère no 1 – La pertinence du cadre de gouvernance, de gestion des risques et des mesures de contrôle en place pour la gestion des demandes présentées au titre de l'AIPRP pour ce qui est de la conformité aux exigences législatives, celles du Conseil du Trésor et du Ministère et pour réduire le risque que de l'information exclue ou exemptée soit divulguée.
1.1 Les politiques et procédures d'AIPRP ont été documentées et communiquées de façon officielle et sont en harmonie avec les politiques, les règlements, les lignes directrices et les lois du gouvernement relatives à l'AIPRP.
1.2 Les rôles et les responsabilités sont clairement définis (y compris la répartition des responsabilités entre l'unité responsable de l'AIPRP et les secteurs/régions) et compris par les principaux intervenants de la gestion des demandes d'AIPRP.
1.3 Des procédures sont en place pour s'assurer que les politiques et les procédures sont examinées et mises à jour (au besoin) da façon régulière.
1.4 La délégation des pouvoirs en matière d'AIPRP a été officiellement documentée et approuvée par le ministre.
1.5 Des procédures de communication en amont ont été établies pour régler les situations où il y a divergence d'opinions quant à l'interprétation des exigences en matière d'AIPRP (c.-à-d., la désignation de l'information exclue ou exemptée.
1.6 Les procédures ont été mises en place pour régler les plaintes et les situations où de l'information exclue ou exemptée a été divulguée par inadvertance.
1.7 Des programmes de formation ont été mis en place pour s'assurer que les principaux intervenants comprennent et reconnaissent leurs rôles et leurs responsabilités.
1.8 Le Ministère procède à un suivi et à des contrôles réguliers concernant la gestion des demandes d'AIPRP.
1.9 Des rapports précis et opportuns sont utilisés pour les activités de contrôle et de surveillance de la gestion des demandes d'AIPRP.
1.10 Des mécanismes ont été mis en place afin de mesurer et de contrôler le rendement du processus de gestion des demandes d'AIPRP.
1.11 Des mécanismes ont été mis en place afin de cerner, d'évaluer et de gérer les risques, y compris celui relatif à la diffusion d'information de nature délicate, rattachés aux demandes d'AIPRP, et prévoient la notification des intervenants internes appropriés.
Critère no 2 - L'efficacité opérationnelle du cadre de gouvernance, de gestion des risques et de mesures de contrôleen place pour la gestion des demandes présentées au titre de l'AIPRP pour ce qui est de la conformité aux exigences législatives, celles du Conseil du Trésor et du Ministère et pour réduire le risque que de l'information exclue ou exemptée soit divulguée.
2.1 Des contrôles/procédures normalisés ont été mis en place pour évaluer l'information, demander de l'information et surveiller l'état d'avancement du traitement des demandes d'AIPRP.
2.2 Des contrôles et des procédures permettent de s'assurer que les demandes sont traitées en temps opportun, que la documentation requise est complète et que l'information exclue ou exemptée est clairement indiquée et n'a pas été divulguée avec la trousse d'information.
2.3 Des contrôles et des procédures ont été mis en place pour s'assurer que le BPR jette le dernier regard sur la trousse d'information avant la communication, que l'information a été approuvée comme il se doit avant la divulgation, que les intervenants internes sont informés lorsque des renseignements de nature délicate doivent être communiqués, et qu'un dossier complet de la demande est conservé, y compris les motifs des décisions prises par rapport à la demande.
Critère no 3 - La pertinence du cadre de gouvernance, de gestion des risques et des mesures de contrôle en place pour s'assurer que la gestion des demandes d'AIPRP est conforme aux exigences provenant des lois, du Conseil du Trésor et du Ministère et pour réduire le risque d'infractions à la Loi sur la protection des renseignements personnels.
3.1 Les politiques et les procédures liées à la protection des renseignements personnels, y compris les infractions, ont été officiellement documentées et communiquées et sont en harmonie avec les politiques, les règlements et les lignes directrices du gouvernement pour la protection des renseignements personnels.
3.2 Les rôles et les responsabilités sont clairement définis (y compris la répartition des responsabilités entre l'unité responsable de l'AIPRP et les secteurs/régions) et compris par les principaux intervenants en matière de protection des renseignements personnels.
3.3 Des procédures ont été mises en place pour s'assurer que les politiques et les procédures sont examinées et mises à jour (au besoin) de façon régulière.
3.4 Des programmes de formation ont été mis en place pour s'assurer que les principaux intervenants s'acquittant de responsabilités relatives à la protection des renseignements personnels comprennent et reconnaissent leurs rôles et leurs responsabilités.
Critère no 4 - La pertinence des procédures en place aux fins d'un traitement efficient des demandesprésentées au titre de l'AIPRP
4.1 Des mécanismes ont été mis en place afin de mesurer et de surveiller le rendement du processus de gestion des demandes reçues au titre de l'AIPRP, dans l'optique d'une amélioration continue.
4.2 Des mécanismes ont été mis en place afin de mobiliser les agents de programme et d'obtenir leur rétroaction de façon régulière concernant le processus d'AIPRP, par souci de cerner les problèmes existants et les possibilités d'amélioration.
4.3 L'unité de l'AIPRP effectue une analyse des dossiers complexes ou difficiles (échéances ratées, dossiers de plaintes) afin de cerner les possibilités d'amélioration.
Annexe B : Évaluation par rapport aux pratiques exemplaires du Conseil du Trésor
| Pratiques exemplaires | Résultat |
|---|---|
| 1. En ce qui concerne l'administration de la Loi sur l’accès à l’information, le coordonnateur de l'accès à l'information détient les pleins pouvoirs qui lui ont été délégués par le responsable de l'institution. | Atteint |
| 2. Le responsable de l'institution délègue les fonctions au plus bas niveau possible dans la hiérarchie du Bureau de l'accès à l'information. Par exemple, les avis de prorogation et les avis aux tiers peuvent être délégués aux analystes de l’accès à l’information ainsi qu’au coordonnateur. | Atteint |
| 3. Les engagements relatifs à l'accès à l'information et les mesures du rendement sont inclus dans les ententes de gestion du rendement des cadres supérieurs afin de renforcer leur engagement et leur responsabilisation. | Sans objet |
| 4. Des rapports réguliers sur le rendement sont communiqués à la haute direction sur le traitement des demandes. | Atteint |
| 5. Un processus de traitement de certaines demandes en particulier a été mis en place et permet de fournir des réponses en temps opportun et n'entraîne pas de retard injustifié. Il a été conçu de manière à aviser les responsables de la communication imminente de dossiers plutôt que pour approbation. Il est simple et assorti de responsabilités clairement définies et d'un calendrier pour chacune des étapes du processus. | Atteint |
| 6. Des procédures claires ont été mises en place et sont communiquées à tous les employés. | Atteint |
| 7. Un certain nombre de demandes sont soumises à un traitement particulier, en fonction du contenu des dossiers et non de l'identité ou de la source (médias, milieu universitaire, milieu des affaires, organismes, public) du demandeur. | Atteint |
| 8. Les exigences relatives aux produits de communication (tels que les fiches de questions-réponses et les fiches pour la période de questions) sont déterminées dès que possible afin que ces produits puissent être préparés tandis que sont traités les documents. | Atteint |
| 9. Les exigences relatives à la communication sont gardées distinctes des exigences en matière d'accès à l'information. La coordination et la préparation des produits de communication sur un sujet précis ne relèvent pas du Bureau de l'accès à l'information. | Atteint |
| 10. Des suivis réguliers auprès des responsables sont effectués à l'aide des canaux de communication les plus rapides (téléphone, courriel, télécopieur, documentation électronique, réunions, etc.) pour assurer la rapidité d'exécution. | Atteint |
| 11. Lorsqu'aucune approbation n'est sollicitée (c.-à-d., le pouvoir délégué a été donné au coordonnateur de l'AIPRP), seuls les documents communiqués sont acheminés aux cadres supérieurs, à titre d'information, pour simplifier le processus. | Atteint |
| 12. Lorsqu'aucune approbation n'est sollicitée (c.-à-d., le pouvoir délégué a été donné au coordonnateur de l'AIPRP), la réponse au demandeur est communiquée avant la date fixée conformément au processus établi pour le traitement des demandes de traitement particulier ou avant l'échéance réglementaire, soit la première de ces dates. | Atteint |
| 13. Le bureau de l'accès à l'information se réunit régulièrement avec les principaux intervenants, y compris les responsables des bureaux de l'administrateur et de l'administrateur général, Communications et Affaires parlementaires, pour discuter des questions complexes et donner des précisions sur les dispositions de la Loi sur l'accès à l'information. | Atteint |
| 14. Le rendement des responsables est surveillé et le processus est évalué, au besoin, pour en assurer l'efficience et veiller à ce qu'il satisfasse entièrement aux exigences de la loi. | Atteint partiellement |
| 15. Des séances de formation et d'information sont offertes aux employés, aux cadres supérieurs et au personnel des bureaux de l'administrateur et de l'administrateur général concernant leurs rôles et responsabilités en lien avec la Loi sur l'accès à l'information. | Atteint |
| 16. Différentes approches sont utilisées pour sensibiliser davantage les employés aux différents aspects de l'accès à l'information, y compris des procédures écrites, des séances d'information et des documents de référence publiés dans les sites intranet et internet de l'institution. | Atteint |
| 17. Des évaluations périodiques des besoins en matière de ressources (humaines, financières, technologiques) sont effectuées et des analyses de rentabilisation sont préparées, s’il y a lieu, dans l’optique d’une administration efficace du programme d'accès à l'information. | Non atteint |
| 18. Diverses stratégies (programmes de perfectionnement interne, mentorat, encadrement et dotation collective) sont mises à contribution pour recruter et maintenir en poste les employés responsables du traitement des demandes d'accès à l'information. | Sans objet |
Annexe C : Lois, règlements, directives et orientations pertinents
Loi sur les langues officielles
Loi sur l’accès à l’information
Secrétariat du Conseil du Trésor – Politique sur l’accès à l’information
Secrétariat du Conseil du Trésor – Politique sur la protection sur la vie privée
Directive du Secrétariat du Conseil du Trésor sur l’administration de la Loi sur l’accès à l’information
Directive relative à la protection de la vie privéedu Secrétariat du Conseil du Trésor
Directive sur l'évaluation des facteurs relatifs à la vie privée
Rapport sur l'Étude sur les pratiques exemplaires pour les demandes d'accès à l'information faisant l'objet d'un traitement particulier du SCT
AANDC-Manuel sur la politique et les procédures d’évaluation des facteurs relatives à la vie privée
AADNC - Lignes directrices sur l’avis et le consentement - Gouvernement en direct
Lignes directrices internes sur les demandes d’accès à l’information
Modification à la Loi sur l'accès à l'information
AIPRP- Manuel de l'employé
AANDC - Lignes directrices relatives à Info Source de la Division de la politique sur la protection des renseignements personnels
Lignes directrices sur les atteintes à la vie privée – Division de l'AIPRP
Lignes directrices sur les demandes de protection des demandes de renseignements personnels – 2013
Les normes de service