Vérification de l’accès à l’information et de la protection des renseignements personnels

Rapport final
Mars 2020

Table des matières

  1. Sigles et abréviations
  2. Résumé
  3. Réponse de la direction à la vérification
  4. 1. Contexte
  5. 2. Objectif, portée et méthode
  6. 3. Constatations de la vérification
  7. 4. Conclusion
  8. 5. Recommandations
  9. Annexe A – Objectif et critères de vérification
  10. Annexe B – Plan d'action de la direction

Sigles et abréviations

AI
Accès à l'information
AIPRP
Accès à l'information et protection des renseignements personnels
APCM
AccessPro Case Management
AQ
Assurance de la qualité
BPR
Bureau de première responsabilité
CIC
Commissariat à l'information du Canada
CNOI
Conseil national des opérations intégrées
CPVP
Commissariat à la protection de la vie privée
DPPPS
Dirigeant principal de la Planification et des Politiques stratégiques
EMS
État-major supérieur
GRC
Gendarmerie royale du Canada
POR
Procédure opérationnelle réglementaire
RH
Ressources humaines
SCT
Secrétariat du Conseil du Trésor

Résumé

La Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels constituent le cadre juridique régissant la gestion de l'accès à l'information et de la protection des renseignements personnels (AIPRP) par les ministères et les organismes du gouvernement fédéral. Ces lois sont appuyées par les politiques et les directives du Conseil du Trésor (CT) qui prévoient des lignes directrices précises pour la gestion de l'AIPRP.

La Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP) de la Gendarmerie royale du Canada (GRC) a été créée en 1983 pour prendre en charge de façon centralisée tout ce qui découle de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. L'une des principales fonctions de la Sous-direction de l'AIPRP est de s'assurer que toutes les exceptions qui s'appliquent selon les lois sont appliquées avant que les renseignements soient diffusés par l'organisation.

Le programme d'AIPRP de la GRC a signalé avoir éprouvé un certain nombre de difficultés liées au traitement du volume de demandes reçues et au respect de l'exigence prévue par la loi de répondre aux demandes d'AIPRP dans un délai de 30 jours.

L'objectif de la présente mission de vérification était de déterminer si un cadre de contrôle de gestion est en place pour le programme d'AIPRP de la GRC et fonctionne comme prévu. En plus d'évaluer le cadre de contrôle de gestion et la conformité de la Gendarmerie à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels, la vérification vise à établir si la Gendarmerie a examiné les activités relatives au programme d'AIPRP pour cerner les possibilités d'amélioration de l'efficacité et de l'efficience du programme avec les ressources actuelles et en tenant compte des risques pour l'organisation.

La vérification a révélé que la GRC dispose d'un cadre de gouvernance pour appuyer le programme d'AIPRP et que les rôles et les responsabilités sont clairement définis et communiqués au sein de la Sous-direction de l'AIPRP, mais qu'il est possible de mettre à jour les documents de politique et d'orientation en matière d'AIPRP de la GRC pour tenir compte des modifications législatives et de processus ainsi que de fournir d'autres directives sur les rôles et les responsabilités des agents de liaison et des employés de la GRC.

La vérification a également permis de déterminer que la Sous-direction de l'AIPRP a entrepris un certain nombre d'initiatives dans le but d'améliorer l'efficacité et l'efficience du processus d'AIPRP. Dans l'ensemble, la mise en œuvre des initiatives semble être réactive, et l'analyse documentée à l'appui de la décision de la direction de donner suite aux initiatives proposées est limitée. L'équipe de vérification n'a pas été en mesure d'évaluer l'efficacité des initiatives étant donné le manque de renseignements sur le rendement fondés sur des données probantes. Il serait utile pour la Sous-direction de l'AIPRP de mettre au point un plan formel qui comprend une stratégie en matière de ressources humaines (RH) pour gérer la mise en œuvre des initiatives d'amélioration des processus et évaluer leur succès.

Enfin, le programme d'AIPRP pourrait tirer parti d'une fonction d'assurance de la qualité qui comprend l'examen des plaintes et de leurs causes profondes en vue de déterminer les améliorations à apporter aux processus et d'accroître la conformité du programme.

La réponse et le plan d'action de la direction élaborés en réponse au rapport illustrent l'engagement de la haute direction à apporter des correctifs suivant les constatations et les recommandations de la vérification. La Vérification interne de la GRC surveillera sa mise en œuvre et entreprendra une vérification de suivi au besoin.

Réponse de la direction à la vérification

La Direction de la planification et des politiques stratégiques (DPPS) accepte les constatations et les recommandations du rapport de vérification. La vérification a mis en évidence les points à améliorer relativement à la gestion du processus d'AIPRP pour lesquels la DPPS a déjà pris des mesures d'amélioration. Après la période visée par la vérification, en utilisant des fonds réaffectés provenant de la DPPS (environ 0,3 million de dollars), le Secteur de programme a retenu les services d'experts-conseils en vue de réduire de 4 700 l'arriéré de traitement des demandes. De plus, en raison des difficultés sur le plan de la capacité du Secteur de programme, la DPPS a transféré de façon permanente 0,650 million de dollars au budget annuel du Secteur de programme.

La DPPS élaborera et mettra en œuvre un plan d'action détaillé de la direction pour donner suite aux recommandations découlant de la vérification. Plus particulièrement, voici les principales mesures à prendre : préciser les rôles et les responsabilités des agents de liaison et des employés ne travaillant pas dans le domaine de l'AIPRP; analyser les processus et, par la suite, élaborer un plan d'amélioration des processus qui comprend une analyse des activités et une assurance de la qualité améliorées; et présenter une stratégie en matière de RH pour l'AIPRP.

Sous-commissaire Kevin Jones
Dirigeant principal p.i. de la Planification et des Politiques stratégiques

1. Contexte

La Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels constituent le cadre juridique régissant la gestion de l'accès à l'information et de la protection des renseignements personnels (AIPRP) par les ministères et les organismes du gouvernement fédéral. Ces lois sont appuyées par les politiques et les directives du CT qui prévoient des lignes directrices précises pour la gestion de l'AIPRP.

La Sous-direction de l'accès à l'information et de la protection des renseignements personnels (AIPRP) de la Gendarmerie royale du Canada (GRC) a été créée en 1983 pour prendre en charge de façon centralisée tout ce qui découle de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. L'une des principales fonctions de la Sous-direction de l'AIPRP est de s'assurer que toutes les exceptions qui s'appliquent selon les lois sont appliquées avant que les renseignements soient diffusés par l'organisation. Dans le cas de la Loi sur l'accès à l'information, les articles 13 à 26 de la Loi énoncent un certain nombre d'exceptions au droit d'accès à l'information conféré par la Loi. Chacune de ces exceptions vise à protéger les renseignements ayant trait à un public ou à des intérêts personnels particuliers. Compte tenu de la nature du travail effectué par la GRC, les articles 13 et 16 de la Loi sont deux exemples d'exceptions que la GRC pourrait utiliser pour refuser de communiquer ou expurger des renseignements sur les enquêtes en cours, les méthodes d'enquête, le renseignement et l'utilisation de techniques opérationnelles connexes qui sont liées à la nature du travail accompli par la GRC.

Les employés de la GRC sont responsables de l'ensemble des renseignements qu'ils recueillent, utilisent, conservent, éliminent et communiquent dans l'exercice de leurs fonctions, mais plusieurs secteurs d'activité et divisions de la GRC ont désigné un agent de liaison de l'AIPRP qui travaille directement avec la Sous-direction de l'AIPRP pour coordonner l'extraction et l'examen des renseignements requis et leur transmission à la Sous-direction de l'AIPRP. Au moment de répondre aux demandes d'AIPRP, il faut effectuer une recherche dans tous les documents de la GRC suivants : les documents qui se trouvent dans les bases de données et les systèmes électroniques; ceux qui se trouvent sur le lecteur personnel des employés; ceux qui se trouvent sur les lecteurs partagés du groupe; les dossiers papier qui ne sont pas indexés de façon électronique; tous les dossiers officiels ou non officiels des groupes ou des détachements; et tous les courriels.

Au moyen de ses rapports annuels approuvés par la commissaire, le programme d'AIPRP de la GRC a signalé avoir éprouvé un certain nombre de difficultés, ce qui comprend la capacité, liées au traitement du volume de demandes reçues et au respect de l'exigence prévue par la loi de répondre aux demandes d'AIPRP dans un délai de 30 jours. La haute direction de la GRC a été informée au sujet des difficultés du programme et des demandes connexes de ressources supplémentaires par l'entremise du Sous-comité des ressources de l'État-major supérieur (EMS) et de l'examen ministériel récent.

Comme il est indiqué dans les rapports annuels du programme pour 2016-2017 et 2017-2018, le programme a fait état d'une augmentation du volume de demandes et du nombre de demandes reportées, ce qui coïncide avec des niveaux constants de ressources.

Charge de travail de l'AIPRP

Charge de travail de l'AIPRP

Charge de travail de l'AIPRP

Charge de travail de l'AIPRP - équivalent texte

Un diagramme à barres illustre la charge de travail de l'AIPRP, c'est-à-dire le nombre de demandes reçues, en attente, traitées et reportées, sur une période de quatre ans.

L'axe horizontal représente les exercices financiers de 2014-2015 à 2017-2018.

L'axe vertical représente le nombre de demandes d'accès à l'information et de communication de renseignements personnels reçues par la GRC.

En 2014-2015, on a recensé 9 801 demandes reçues, 1 691 demandes en attente depuis l'exercice précédent, 10 292 demandes traitées et 1 200 demandes reportées à l'exercice suivant.

En 2015-2016, on a recensé 8 469 demandes reçues, 1 200 demandes en attente depuis l'exercice précédent, 8 122 demandes traitées et 1 277 demandes reportées à l'exercice suivant.

En 2016-2017, on a recensé 9 965 demandes reçues, 1 454 demandes en attente depuis l'exercice précédent, 8 130 demandes traitées et 3 289 demandes reportées à l'exercice suivant.

En 2017-2018, on a recensé 10 199 demandes reçues, 3 289 demandes en attente depuis l'exercice précédent, 6 051 demandes traitées et 7 437 demandes reportées à l'exercice suivant.

Source : Rapports annuels sur l'accès à l'information et la protection des renseignements personnels de 2016-2017 et de 2017-2018 approuvés par la commissaire de la GRC.

En outre, le programme a signalé que les taux de conformité relatifs aux demandes d'accès à l'information et aux demandes de protection des renseignements personnels ont tous les deux diminué. Les taux de conformité relatifs aux demandes d'accès à l'information pour les exercices 2015-2016, 2016-2017 et 2017-2018 étaient de 78,2 %, de 65,4 % et de 33,5 % respectivement. Ceux relatifs aux demandes de protection des renseignements personnels pour cette même période étaient de 82,1 %, de 69,9 % et de 45,1 %.

Le Plan pluriannuel de vérification, d'évaluation et d'analyse de données axé sur les risques de 2017-2020, approuvé par la commissaire comprend la vérification de l'AIPRP et met l'accent sur l'efficacité et l'efficience. Le nombre croissant de demandes d'AIPRP reçues par la GRC et les efforts axés sur la divulgation ouverte déployés récemment par le gouvernement appuient l'examen indépendant du cadre de gestion lié à la fonction d'AIPRP.

2. Objectif, portée et méthode

2.1 Objectif

L'objectif de cette mission de vérification était de déterminer si un cadre de contrôle de gestion est en place pour le programme d'AIPRP de la GRC et fonctionne comme prévu.

2.2 Portée

La vérification a porté sur les processus et les contrôles en place à la GRC pour assurer la conformité aux exigences de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. La portée de la vérification inclut les activités menées du 1er avril 2016 au 31 mars 2018. Elle n'a pas visé l'évaluation de l'exactitude ou de l'exhaustivité des demandes d'AIPRP achevées ou de l'exactitude des données saisies dans le système de gestion des cas.

2.3 Méthode

La planification de la vérification a été achevée en septembre 2018. À cette étape, l'équipe de vérification a mené des entrevues, passé en revue les processus et examiné les lois pertinentes, les politiques, les procédures et les résultats de vérifications antérieures. L'objectif et les critères de la vérification figurent à l'annexe A.

Pendant l'étape d'examen, qui a pris fin en janvier 2019, diverses techniques de vérification ont été employées, comme l'entrevue, la revue des processus, l'examen des documents, le contrôle des dossiers et l'analyse des données. L'équipe de vérification a réalisé des entrevues auprès du personnel de la Sous-direction de l'AIPRP et du personnel de gestion de l'information travaillant aux Divisions E, K, F, T, D, N et J. Une fois l'étape d'examen terminée, l'équipe de vérification a informé la direction du programme des constatations pertinentes.

Le tableau 1 ci-après fournit un résumé du nombre et du type de dossiers contrôlés pendant la vérification. Pour garantir une certaine couverture géographique de la population, dans la mesure du possible, un processus d'échantillonnage proportionnel a été effectué pour les dossiers d'AIPRP en fonction du nombre de tâches reçues par division ou secteur d'activité pour chaque type de dossier pendant la période visée. Voici d'autres facteurs de risque qui ont été pris en considération lors de l'échantillonnage des dossiers individuels : le délai de traitement; le volume de renseignements à examiner; et le nombre de tâches attribuées pour chaque dossier.

Tableau 1 : Résumé de l'échantillon d'examen des dossiers
Type de dossier 2016-2017 Taille de l'échantillon 2017-2018 Taille de l'échantillon Total
Demandes d'AI 41 40 81
Demandes de protection des renseignements personnels 40 39 79
Total 81 79 160

2.4 Énoncé de conformité

La mission de vérification est conforme au Cadre de référence international des pratiques professionnelles de l'Institut des vérificateurs internes et à la Directive sur l'audit interne du Conseil du Trésor du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations de la vérification

En ce qui concerne les difficultés signalées par le programme, tel qu'il est décrit dans la section Contexte, la vérification a permis d'évaluer le cadre de contrôle de gestion de la GRC lié à l'AIPRP et la conformité de la Gendarmerie à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels. De plus, la vérification vise à établir si la Gendarmerie a examiné les activités relatives au programme d'AIPRP pour cerner les possibilités d'amélioration de l'efficacité et de l'efficience du programme avec les ressources actuelles et en tenant compte des risques pour l'organisation.

Pour réaliser une analyse détaillée des initiatives de la Sous-direction, l'équipe de vérification s'attendait à constater qu'il y avait en place à l'échelle de l'organisation une approche structurée pour l'analyse du processus d'AIPRP qui comprend l'évaluation des risques et des domaines dans lesquels l'efficacité et l'efficience pourraient être améliorées. À la suite de l'analyse, l'équipe de vérification s'attendait à ce que la Sous-direction prépare un plan formel comportant des mesures de suivi détaillées, des échéanciers, des jalons et les répercussions connexes financières et sur les RH. Enfin, le plan comprendrait des mécanismes pour surveiller le rendement des initiatives et évaluer les répercussions générales sur l'efficacité et l'efficience du processus.

Tel qu'il est mentionné plus loin à la section 3.3, la vérification a révélé que, malgré l'analyse réalisée en vue d'appuyer le besoin en matière de ressources supplémentaires, le programme n'avait pas mis en place une approche structurée pour l'analyse et la mise en œuvre de ses récentes initiatives d'amélioration de l'efficacité. De plus, tel qu'il est également mentionné à la section 3.2, l'équipe de vérification a dû composer avec des limites quant à l'analyse des transactions ou des codes de « mesure » dans le logiciel AccessPro Case Management (APCM), car ceux-ci ne sont pas utilisés de façon uniforme par les analystes de l'AIPRP.

3.1 Gouvernance et surveillance en matière d'AIPRP

La GRC dispose d'un cadre de gouvernance pour appuyer le programme d'AIPRP, mais il est possible de fournir d'autres directives sur les rôles et les responsabilités des agents de liaison de l'AIPRP et des employés de la GRC. De plus, la surveillance et la supervision pourraient être améliorées par la mise en place d'un programme d'assurance de la qualité.

Objectifs du programme d'AIPRP

Dans l'ensemble, les objectifs du programme d'AIPRP sont définis, documentés et bien compris. Les objectifs du programme d'AIPRP de la GRC découlent de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. La Loi sur l'accès à l'information énonce les exigences juridiques selon lesquelles il faut donner aux gens l'accès aux documents de l'administration fédérale ainsi que les circonstances dans lesquelles l'accès peut être restreint. La Loi sur la protection des renseignements personnels établit les exigences relatives à la protection des renseignements personnels des personnes tout en leur donnant le droit de consulter ces renseignements.

Les objectifs du programme d'AIPRP sont communiqués à tous les employés de la GRC au moyen de la page InfoWeb de la Sous-direction de l'AIPRP ainsi que du Manuel de gestion de l'information de la GRC (chapitre 3.1). Les entrevues réalisées auprès du personnel de la Sous-direction de l'AIPRP et des agents de liaison de l'AIPRP ont permis de confirmer que les employés comprennent les dispositions législatives régissant le programme et s'acquittent de leurs fonctions tout en visant l'atteinte des objectifs du programme.

De plus, la Sous-direction a un certain nombre de mécanismes en place pour permettre de communiquer et de renforcer les objectifs du programme d'AIPRP, plus précisément des rencontres bilatérales hebdomadaires entre le directeur de la Sous-direction de l'AIPRP et le dirigeant principal de la Planification et des Politiques stratégiques (DPPPS); des réunions trimestrielles de tout le personnel de la Sous-direction de l'AIPRP; des réunions de la direction toutes les deux semaines; des réunions d'équipe; et des conférences avec les agents de liaison de l'AIPRP des divisions.

Rôles et responsabilités

Un des principaux aspects de la bonne gouvernance est la définition et la communication claires des rôles et des responsabilités afin de s'assurer que les activités du programme sont exécutées comme prévu. L'équipe de vérification s'attendait à constater qu'il y aurait des mécanismes en place pour s'assurer que tous les employés de la GRC sont informés de leurs rôles et de leurs responsabilités à l'égard de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. Par exemple, les employés doivent être informés de l'accessibilité aux documents de l'administration fédérale qu'ils utilisent dans le cadre de leurs tâches quotidiennes ainsi que de leurs obligations particulières au moment de répondre aux demandes officielles d'AIPRP.

Dans l'ensemble, tel qu'il est décrit plus en détail dans les paragraphes suivants, nous avons constaté que les employés de tous les niveaux de la Sous-direction de l'AIPRP comprennent leurs rôles et leurs responsabilités. Cependant, nous avons également constaté qu'il est possible de fournir d'autres directives sur les rôles et les responsabilités des agents de liaison de l'AIPRP et des employés de la GRC quant à la gestion des demandes d'AIPRP en vue de favoriser un traitement efficace et rapide.

Le ministre de la Sécurité publique a délégué les pouvoirs d'application de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels à la commissaire de la GRC. À la GRC, ces pouvoirs ont ensuite été délégués au DPPPS et, enfin, au coordonnateur de l'AIPRP.

Le coordonnateur de l'AIPRP doit assurer la conformité opérationnelle et administrative à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels ainsi qu'aux règlements et aux lignes directrices connexes. La Sous-direction traite les demandes officielles d'AIPRP, mais le respect des lois par la GRC n'en reste pas moins une responsabilité de l'ensemble de l'organisation pour laquelle tous les employés ont un rôle à jouer. Les employés de la GRC sont tous responsables des renseignements qu'ils recueillent, utilisent, conservent, éliminent et communiquent dans l'exercice de leurs fonctions.

La Sous-direction de l'AIPRP définit les rôles et les responsabilités de ses employés dans les descriptions de travail et les procédures opérationnelles réglementaires. En règle générale, selon les renseignements obtenus lors des entrevues menées dans le cadre de la vérification, les employés de tous les niveaux de la Sous-direction de l'AIPRP comprennent clairement leurs rôles et leurs responsabilités à l'égard du traitement des demandes d'AIPRP et la façon dont ils correspondent aux objectifs du programme. Pour préciser les rôles et les responsabilités des nouveaux analystes, la Sous-direction de l'AIPRP a élaboré et mis en place un programme de formation intensif en 2017. La formation visait principalement les nouveaux employés ayant des connaissances limitées en ce qui concerne l'AIPRP afin de leur permettre d'acquérir une expérience pratique relative aux demandes d'AIPRP dans un environnement de formation.

À l'extérieur de la Sous-direction de l'AIPRP, il existe un réseau d'agents de liaison de l'AIPRP dans les divisions et les secteurs d'activité de la GRC qui jouent un rôle de coordination des demandes entre les détenteurs de renseignements et la Sous-direction de l'AIPRP. Dans les divisions, les agents de liaison font partie du personnel chargé de la gestion de l'information, mais dans les secteurs d'activité de la Direction générale, ils font généralement partie du personnel administratif. Dans les deux cas, ils appuient le processus d'AIPRP, mais ne relèvent pas directement de la Sous-direction de l'AIPRP. Nous avons constaté que les rôles et les responsabilités des agents de liaison dans les divisions et les secteurs d'activité ne sont pas clairement définis, officiellement documentés et acceptés d'un commun accord entre les agents de liaison et la Sous-direction. Selon les agents de liaison qui ont participé aux entrevues, il est possible d'améliorer le soutien, les conseils et les directives reçus par la Sous-direction de l'AIPRP à titre de centre de décision. Un soutien renforcé et de meilleures directives fournis aux agents de liaison peuvent accroître l'uniformité du processus. De plus, la Sous-direction de l'AIPRP doit mobiliser la haute direction des divisions et des secteurs d'activité de la Direction générale pour faciliter l'établissement de rôles et de responsabilités clairs pour les agents de liaison.

La vérification a révélé qu'il y a certaines directives à l'intention des employés, mais que celles-ci sont limitées. Les sources de directives comprennent les renseignements sur l'AIPRP figurant dans le Manuel de gestion de l'information de la GRC, la formation générale sur la gestion de l'information et la page InfoWeb de la Sous-direction de l'AIPRP, qui fournit des renseignements généraux sur le processus d'AIPRP. Les employés qui ne connaissent pas leurs rôles et leurs responsabilités à l'égard de l'AIPRP sont moins susceptibles de répondre à une demande, ce qui pourrait avoir une incidence sur le délai de traitement et la conformité aux lois.

La Sous-direction de l'AIPRP reconnaît qu'il est possible de faire mieux quant à la sensibilisation des employés de l'organisation à l'AIPRP et a déployé des efforts pour informer davantage les employés afin d'améliorer la conformité aux lois et d'accroître l'efficience du processus. Récemment, la Sous-direction a tenu des séances d'information destinées aux employés des divisions et des secteurs d'activité. Au cours de l'exercice 2017-2018, la Sous-direction a offert 43 séances à 21 groupes, et environ 1 141 employés y ont participé.

Surveillance et supervision

Des pratiques de surveillance et de supervision régulières sont essentielles à l'évaluation du rendement de la fonction d'AIPRP ainsi qu'à la détermination et à la gestion des occasions et des risques liés au traitement rapide et efficace des demandes d'AIPRP.

L'équipe de vérification s'attendait à ce que des mécanismes soient en place pour surveiller les activités relatives à l'AIPRP afin de cerner les possibilités d'amélioration. Elle s'attendait aussi à ce que les renseignements sur le rendement soient saisis et utilisés par la direction aux fins de prise de décisions. De plus, l'équipe s'attendait à ce qu'un processus d'assurance de la qualité soit en place pour surveiller la conformité des activités et à ce que les plaintes soient évaluées par le programme pour déterminer les améliorations à apporter aux processus.

Pour ce qui est de la haute direction, le directeur de la Sous-direction de l'AIPRP tient le DPPPS au courant des activités du programme en faisant le point toutes les deux semaines sur les principaux enjeux et en lui fournissant chaque semaine des données ponctuelles de base du logiciel APCM (p. ex. nouvelles demandes, plaintes en cours et taux de conformité). L'AIPRP n'est pas un point permanent à l'ordre du jour des réunions de l'EMS ou du Conseil national des opérations intégrées (CNOI), mais la Sous-direction a présenté une demande de ressources supplémentaires au Sous-comité des ressources de l'EMS en février 2018 et a fait un compte rendu à l'EMS sur les modifications concernant la divulgation proactive associées au projet de loi C-58.

Le système de gestion des cas peut fournir un certain nombre de rapports statistiques sur les activités du programme comme le volume, l'ampleur des demandes et le délai de traitement, mais nous n'avons rien trouvé nous permettant de conclure que la Sous-direction de l'AIPRP utilise ces renseignements pour gérer le rendement et la productivité des employés (p. ex. nombre de pages examinées par jour par analyste). En outre, on a signalé que la Sous-direction dispose d'une capacité limitée pour extraire les renseignements sur le rendement du logiciel APCM autres que les rapports types intégrés en raison d'un manque de connaissance du système à l'interne, de la fonctionnalité limitée du logiciel APCM et d'un manque de soutien de la part du fournisseur. Des rapports ponctuels hebdomadaires faisant état des statistiques de base sont envoyés à tous les employés de la Sous-direction, mais on ne sait pas si ces rapports hebdomadaires servent à la prise de décisions. Sans une approche exhaustive à l'égard de la mesure du rendement, la Sous-direction dispose de renseignements limités pour assurer le suivi du rendement de ses activités, éclairer la prise de décisions et guider l'affectation des ressources.

Pour ce qui est des groupes, l'examen de supervision constitue le principal processus de contrôle de la qualité pour fournir une assurance quant au processus. Il est requis pour toutes les réponses aux demandes d'accès à l'information, conformément aux procédures de la Sous-direction. Cependant, nous avons constaté que les demandes de protection des renseignements personnels sont approuvées par les analystes principaux de l'AIPRP sans qu'un examen complémentaire soit effectué par un superviseur. Cette pratique vise à simplifier le processus d'examen, mais elle peut augmenter les risques d'erreurs liées au traitement des demandes de protection des renseignements personnels, ce qui augmente les risques d'atteinte à la vie privée. L'équipe de vérification n'a trouvé aucune donnée probante indiquant que le programme avait officiellement évalué la pratique relative aux examens de supervision restreints de ces demandes pour cerner les risques d'atteinte à la vie privée et de non-conformité et, le cas échéant, les atténuer.

La vérification a permis de constater qu'aucune fonction d'assurance de la qualité n'est exercée à la Sous-direction pour assurer le suivi des activités. La direction a expliqué qu'une fonction d'assurance de la qualité avait été établie en 2017, mais qu'à la suite du départ d'un employé, elle n'était plus en place pendant l'étape d'examen de la vérification. L'examen de supervision constitue la seule activité d'assurance de la qualité de la Sous-direction et le seul contrôle interne de surveillance opérationnelle.

L'équipe de vérification s'attendait à ce que les plaintes déposées contre la GRC auprès du Commissariat à l'information du Canada (CIC) et du Commissariat à la protection de la vie privée (CPVP) constituent une précieuse source de renseignements à examiner par les gestionnaires de l'AIPRP pour surveiller la conformité et les possibilités d'amélioration. Les plaintes officielles reçues par la Sous-direction de l'AIPRP sont traitées et réglées en collaboration avec le CIC et le CPVP; cependant, l'équipe de vérification n'a pas pu établir que les leçons tirées des plaintes sont analysées, officiellement documentées ou utilisées pour déterminer les améliorations à apporter au processus global d'AIPRP. Il serait avantageux pour le programme de remettre en place une fonction d'assurance de la qualité qui comprend l'examen des plaintes en vue de déterminer les améliorations à apporter aux processus et de guider la conformité du programme.

Chaque année, conformément aux exigences en matière de rapports de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, la Sous-direction de l'AIPRP doit produire un rapport annuel à déposer au Parlement ainsi que des rapports statistiques à l'intention du Secrétariat du Conseil du Trésor (SCT). On a signalé que la production de ces rapports demande beaucoup de travail et qu'un analyste principal doit y consacrer plusieurs semaines. Le SCT fournit des lignes directrices concernant l'élaboration de ces rapports, mais en raison de la fonctionnalité de production de rapports limitée du logiciel APCM et de la saisie non uniforme des données par les utilisateurs, il faut créer des rapports spéciaux et faire des rapprochements manuels. L'équipe de vérification a examiné le contenu des deux derniers rapports annuels, mais elle n'a pas validé l'exactitude des renseignements communiqués à l'externe.

3.2 Politiques, procédures et conformité connexe

Les politiques et les procédures en matière d'AIPRP en place à la GRC sont conformes aux lois et aux politiques connexes du SCT; cependant, elles doivent être examinées et mises à jour. Le programme a de la difficulté à répondre aux demandes d'AIPRP dans le délai de 30 jours civils prévu par la Loi.

Politiques et procédures ministérielles en matière d'AIPRP

L'équipe de vérification s'attendait à ce que l'organisation ait établi et communiqué clairement les politiques et les procédures pour faciliter la gestion des demandes d'AIPRP et assurer l'uniformité du processus. Elle s'attendait aussi à ce que ces politiques et ces procédures concordent avec les exigences des politiques du CT et les lois connexes.

Le chapitre 3 du Manuel de gestion de l'information de la GRC contient les responsabilités générales des employés de l'organisation relativement à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels. On a mentionné que le chapitre n'a pas été modifié depuis 2004 et que certains renseignements ne sont plus à jour, comme l'exigence de calculer les « droits de recherche », qui ne sont plus applicables depuis 2016.

Pour ce qui est de la Sous-direction de l'AIPRP, on a constaté que des documents de référence internes sont en place pour faciliter le processus, notamment des guides de référence, des procédures opérationnelles réglementaires (POR) et des procédures. Un certain nombre de POR et de procédures expressément liées à la fonction de réception ont récemment été mises à jour par le Groupe de la formation, mais, dans l'ensemble, les participants aux entrevues estiment que les procédures font défaut ou doivent être mises à jour compte tenu du nombre de modifications apportées au processus au cours des dernières années.

En prévision de l'obtention de la sanction royale pour le projet de loi C-58 (divulgation proactive des notes d'information), la Sous-direction a élaboré une politique interne et créé un groupe de travail pour gérer de manière proactive la divulgation des notes d'information.

La direction de la Sous-direction de l'AIPRP a confirmé la nécessité de mettre à jour les politiques et les procédures internes et a expliqué que des pressions concurrentes n'ont pas permis à la Sous-direction de consacrer des ressources à la fonction de tenue à jour des documents de référence internes. La Sous-direction compte un Groupe des politiques, mais celui-ci se concentre surtout sur l'appui du processus d'évaluation des facteurs relatifs à la vie privée.

Si les employés n'ont pas accès à des documents de référence à jour, il est plus probable que des pratiques non uniformes et inefficaces soient adoptées à l'échelle de la Sous-direction, ce qui accroît le risque d'erreurs, d'inefficacité et de plaintes.

Conformité

Pour évaluer la conformité aux politiques et aux procédures en matière d'AIPRP, un échantillon de 160 dossiers d'AIPRP a été examiné.

L'équipe de vérification s'attendait à trouver des dossiers qui, en raison de leur contenu, sont bel et bien conformes aux exigences applicables prévues par la loi et celles du CT et de l'organisation. Par exemple, les dossiers doivent contenir la preuve que des recherches ont été effectuées pour obtenir les renseignements demandés, que les délais fixés ont été respectés et que les réponses ont fait l'objet d'un examen de supervision. L'équipe s'attendait également à ce que des contrôles adéquats soient en place pour appuyer et surveiller la conformité.

Dans l'ensemble, la vérification des dossiers a permis de déterminer que des documents avaient été versés au dossier à l'appui de l'efficacité opérationnelle des principaux contrôles de la gestion. En revanche, elle a relevé certaines exceptions et des éléments à améliorer.

Selon les résultats de la vérification de l'échantillon de dossiers d'AIPRP, il est très difficile de respecter le délai prescrit de 30 jours pour répondre aux demandes d'AIPRP. Sur les 160 dossiers examinés, 30 % seulement avaient été traités dans le délai requis, c.-à-d. dans les 30 jours prescrits ou dans la période de prolongation demandée. L'équipe de vérification a été informée que de nombreux facteurs, comme l'envoi des employés chargés de l'AIPRP pour suivre une formation, le roulement du personnel et l'augmentation du nombre de demandes étendues, qui découle de l'élimination des droits de recherche, ont eu une incidence sur la conformité.

De plus, les gestionnaires de l'AIPRP ont expliqué que l'absence d'une fonction de triage, comme il est précisé à la section 3.3 du rapport, a une incidence négative sur la conformité. S'il n'y a pas de processus de triage en place, la complexité et le niveau d'effort requis des demandes reçues ne sont pas évalués. Par conséquent, lorsque l'on constate qu'il faut obtenir une prolongation du délai pour une demande, le délai pour en demander une est souvent déjà dépassé et cela a une incidence sur la conformité et augmente la possibilité qu'une plainte soit déposée.

L'équipe de vérification a constaté que la Sous-direction de l'AIPRP utilise l'examen de supervision comme principal contrôle dans le cadre du processus d'AIPRP et qu'il fonctionne comme prévu. La vérification a confirmé que l'examen de supervision requis a été effectué avant l'envoi du dossier de renseignements pour la totalité des dossiers examinés.

La vérification a également permis de cerner une lacune dans le processus de contrôle visant à documenter que les détenteurs de renseignements ou les bureaux de première responsabilité (BPR) ont fait des efforts raisonnables pour aider les demandeurs, conformément à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels. Aucun mécanisme n'est en place pour s'assurer que des recommandations d'exception approuvées par la direction sont toujours reçues des BPR en plus de garantir à la Sous-direction que des recherches ont été effectuées dans tous les dossiers pertinents. Cette lacune en matière de contrôle avait déjà été cernée par le programme et a fait l'objet de discussions lors de l'atelier national tenu en octobre 2017 avec les agents de liaison. Pour combler cette lacune et améliorer la responsabilisation des BPR, on propose de mettre en œuvre un formulaire créé par la Division E. À la fin de l'étape d'examen, l'équipe de vérification n'a pas constaté la mise en œuvre de cette initiative.

Plaintes

Les plaintes liées aux demandes d'AIPRP sont gérées par le CIC ou le CPVP. La GRC reçoit deux principaux types de plaintes du CIC et du CPVP : les plaintes administratives et les plaintes de refus. Les plaintes administratives concernent généralement les délais de réponse aux demandeurs et les plaintes de refus concernent le désaccord des demandeurs avec l'application d'exceptions au moment de refuser de divulguer des renseignements. Dans le cas des plaintes administratives, l'approche adoptée par la Sous-direction de l'AIPRP pour traiter ces plaintes consiste à établir l'ordre de priorité des demandes. Dans le cas des plaintes de refus, le CIC ou le CPVP enquêtent sur la véracité des plaintes et collaborent avec la GRC pour les résoudre.

Selon le rapport annuel au Parlement de la GRC, pendant l'exercice 2017-2018, la GRC a reçu 357 nouvelles plaintes liées à l'accès à l'information et 283 plaintes au total ont été réglées par le CIC. Sur les 283 plaintes réglées, le CIC a jugé que 185 étaient bien fondées (65 %). Dans son rapport annuel de 2017-2018, le CIC a affirmé que la GRC est l'institution fédérale ayant reçu le plus grand nombre de nouvelles plaintes. Au cours des quatre dernières années, une tendance à la hausse a été observée, comme suit :

Tableau 2
Exercice 2014-15 2015-16 2016-17 2017-18
Nombre de plaintes reçues 178 235 274 435

Selon le rapport annuel au Parlement de la GRC, pendant l'exercice 2017-2018, la GRC a reçu 232 nouvelles plaintes liées à la protection des renseignements personnels, dont 167 ont donné lieu à des enquêtes du CPVP. Dans son rapport annuel de 2017-2018, le CPVP a affirmé que la GRC est la deuxième institution fédérale dont le nombre de plaintes acceptées est le plus élevé. Une tendance générale à la hausse a également été observée pour les plaintes liées à la protection des renseignements personnels :

Tableau 3
Exercice 2014-15 2015-16 2016-17 2017-18
Nombre de plaintes reçues 140 120 160 232

En fonction du volume croissant de plaintes liées à l'AIPRP déposées contre la GRC, l'équipe de vérification estime qu'il est possible pour la Sous-direction d'accroître la conformité en analysant les plaintes afin de déterminer s'il y a des causes systémiques de non-conformité autres que celles liées aux problèmes de ressources, notamment la formation, les outils, les politiques et la surveillance.

Vérification et analyse

Dans le but de cerner et d'évaluer les goulots d'étranglement et les pratiques inefficientes potentielles dans le processus d'AIPRP, l'équipe de vérification a analysé l'échantillon de 160 dossiers. Pour chaque dossier, le délai de traitement a été calculé pour les principales étapes du processus, ainsi que pour le temps d'attente entre certaines étapes du processus. Le tableau 4 présente les résultats moyens pour la totalité de l'échantillon de dossiers.

La loi exige que les demandes soient traitées dans les 30 jours civils suivant leur réception (plus les prolongations, s'il y a lieu), mais selon les résultats de la vérification fondés sur l'échantillon de dossiers examinés, le nombre moyen de jours civils est de 95,3 jours pour traiter une demande d'accès à l'information et de 80,7 jours pour traiter une demande de protection des renseignements personnels.

L'équipe de vérification a constaté que la majorité du temps consacré au processus est concentré dans quatre secteurs : le temps requis pour attribuer les tâches aux BPR; le temps d'attente pour la numérisation; le temps nécessaire pour recevoir les renseignements des BPR (divisions et secteurs d'activité de la Direction générale); et le temps pris par les analystes de la divulgation liée à l'AIPRP pour examiner les dossiers et appliquer les exceptions en vertu des lois respectives. Plus précisément :

Tableau 4
Nombre moyen de jours civils AI Protection des renseignements personnels
Pour l'attribution des tâches aux BPR 9 9
Temps d'attente pour la numérisation 9 7
Pour la réception des renseignements demandés (remarque 1) 22 19
Pour la réalisation de l'examen de l'analyste 27 27

Remarque 1 : Pour les dossiers examinés, il s'agit du temps total écoulé pour obtenir les renseignements nécessaires pour répondre aux demandes. Les dossiers peuvent contenir plus d'une demande ou tâche; pour certains dossiers, les tâches sont effectuées d'un seul coup (simultanément), mais pour d'autres, elles sont effectuées de façon séquentielle, car on découvre plus tard au cours du traitement qu'il faut obtenir des renseignements supplémentaires. Les résultats ont été calculés en fonction du temps entre la date à laquelle la demande initiale (tâche) de renseignements a été créée et la date à laquelle les renseignements ont été reçus à la suite de la dernière demande ou tâche. Il convient de préciser qu'il n'est pas possible de comparer directement ces résultats aux résultats de l'analyse des tâches mentionnés ci-après dans la section 3.3, où le délai de traitement des demandes individuelles est calculé.

Le graphique 1 illustre le délai d'exécution des principales étapes du processus d'AIPRP et l'ampleur de chaque étape par rapport aux autres étapes.

Graphique 1

Charge de travail de l'AIPRP

Graphique 1

Graphique 1 - équivalent texte

Un graphique linéaire illustre le délai d'exécution moyen des principales étapes du processus d'accès à l'information et de communication de renseignements personnels de la GRC.

L'axe horizontal représente les principales étapes du processus en ordre chronologique.

L'axe vertical représente le nombre moyen de jours civils.

En moyenne, l'ouverture d'un dossier prend 3,4 jours pour une demande d'accès à l'information et 4,3 jours pour une demande de communication de renseignements personnels.

En moyenne, l'attribution de la tâche au bureau de première responsabilité prend 9,2 jours pour une demande d'accès à l'information et 9,8 jours pour une demande de communication de renseignements personnels.

En moyenne, pour recevoir toute l'information demandée, il faut attendre 22,1 jours dans le cas d'une demande d'accès à l'information et 19,1 jours dans celui d'une demande de communication de renseignements personnels.

En moyenne, le temps d'attente de la numérisation ou de l'importation de l'information est de 9 jours dans le cas d'une demande d'accès à l'information et de 6,7 jours dans celui d'une demande de communication de renseignements personnels.

En moyenne, la numérisation ou l'importation de l'information prend 0,3 jour dans le cas d'une demande d'accès à l'information et 0,4 jour dans celui d'une demande de communication de renseignements personnels.

En moyenne, le temps d'attente de l'examen de l'analyste est de 7,0 jours dans le cas d'une demande d'accès à l'information et de 5,9 jours dans celui d'une demande de communication de renseignements personnels.

En moyenne, l'examen de l'analyste prend 27,0 jours dans le cas d'une demande d'accès à l'information et 27,5 jours dans celui d'une demande de communication de renseignements personnels.

En moyenne, l'approbation des documents à communiquer prend 3,8 jours pour une demande d'accès à l'information et 5,7 jours pour une demande de communication de renseignements personnels.

En moyenne, l'envoi des documents à communiquer au demandeur prend 3,0 jours pour une demande d'accès à l'information et 1,4 jour pour une demande de communication de renseignements personnels.

Pour corroborer davantage l'analyse réalisée sur l'échantillon, l'équipe de vérification a demandé au Groupe de l'analyse des données de la Direction générale de la vérification interne, de l'évaluation et de l'examen (VIEE) d'effectuer une autre analyse de la totalité des demandes réglées pendant la période visée. Il a fallu composer avec des limites lors de l'analyse, étant donné que les transactions ou les codes de « mesure » dans le logiciel APCM ne sont pas utilisés de façon uniforme par les analystes de l'AIPRP. Par conséquent, l'analyse de l'ensemble des demandes a seulement pu être effectuée pour les premières étapes du processus d'AIPRP, car l'utilisation des transactions était plus cohérente. Selon les résultats de l'analyse, le temps moyen pour ouvrir un dossier est de 4,8 jours; le temps moyen pour recevoir les renseignements demandés des BPR est de 12,6 jours; et le temps moyen pour numériser une demande est de 1 jour.

L'analyse des données effectuée par l'équipe de vérification relativement au temps nécessaire pour recevoir les renseignements demandés des BPR correspond aux résultats de l'analyse effectuée par la Sous-direction de l'AIPRP des 5 000 tâches mentionnées à la section 3.3 du rapport. Le tableau 5 ci-dessous illustre, en pourcentage, le nombre de demandes de renseignements présentées aux BPR qui sont réglées en respectant la norme de service interne de 5 jours établie par la Sous-direction et le nombre de demandes dont le traitement prend plus de 30 jours.

Tableau 5
Délai de réponse du BPR Analyse du Groupe de l'analyse des données Analyse de la Sous direction de l'AIPRP
≤ 5 jours 46% 52%
> 30 jours 8% 7%

3.3 Amélioration des processus de la sous direction de l'aiprp

La Sous-direction de l'AIPRP a entrepris une certaine analyse des processus et des outils d'AIPRP, mais celle-ci profiterait de l'élaboration d'un plan formel pour gérer la mise en œuvre des initiatives d'amélioration des processus qui intègre la planification des RH et des mécanismes pour en mesurer le succès.

Comme il a été précisé précédemment, la Sous-direction de l'AIPRP a signalé avoir éprouvé un certain nombre de difficultés liées aux opérations, comme la tendance à la hausse du volume et de la complexité des demandes d'AIPRP, la non-conformité, l'augmentation du nombre de plaintes et la capacité limitée en matière de ressources. En raison de ces préoccupations, l'équipe de vérification s'attendait à ce que la direction envisage de cerner les possibilités d'amélioration de l'efficacité et de l'efficience en fonction des ressources actuelles.

Plus précisément, l'équipe de vérification s'attendait à constater qu'il y avait en place à l'échelle de l'organisation une approche structurée pour l'analyse du processus d'AIPRP qui comprend l'évaluation des risques et des domaines dans lesquels l'efficacité et l'efficience pourraient être améliorées. À la suite de l'analyse, elle aurait établi un plan formel comportant des mesures de suivi détaillées, des échéanciers, des jalons et les répercussions connexes financières et sur les RH. Enfin, le plan comprendrait des mécanismes pour assurer la mise en œuvre fructueuse des initiatives et évaluer les répercussions générales sur l'efficacité et l'efficience du processus.

Évaluation des processus et des outils

En 2017, la Sous-direction de l'AIPRP a reconnu la nécessité d'accroître la capacité et a produit une analyse de rentabilisation à l'intention de la haute direction pour demander des fonds supplémentaires. La Sous-direction de l'AIPRP a analysé sa capacité actuelle et le nombre de postes additionnels dont elle aurait besoin pour assumer la charge de travail actuelle. En comparant le nombre actuel d'employés au nombre d'employés requis, elle a conclu que 61 équivalents temps plein (ETP) additionnels sont requis. À la suite de l'analyse de rentabilisation, l'EMS a approuvé des fonds de 1 million de dollars en 2018-2019 pour embaucher douze entrepreneurs chargés d'aider à traiter l'arriéré des demandes d'accès à l'information et des demandes de protection des renseignements personnels.

En 2018, la Sous-direction de l'AIPRP a tiré parti de l'analyse effectuée en 2017 pour étayer la demande de révision ministérielle; elle a demandé 61 ETP additionnels pour assumer la charge de travail actuelle et réduire l'accumulation d'arriérés ou 86 ETP pour gérer les exigences supplémentaires prévues découlant du projet de loi C-58 (divulgation proactive des notes d'information). Au moment de la vérification, les résultats de la demande n'avaient pas encore été obtenus et on ne savait pas si des fonds supplémentaires seraient affectés au programme.

En avril 2018, le programme a analysé environ 5 000 tâches relatives aux demandes d'AIPRP reçues pendant l'exercice 2017-2018 afin d'évaluer le délai de traitement par les divisions et les secteurs d'activité et de cerner les goulots d'étranglement possibles. L'équipe de vérification a examiné les résultats de l'analyse et a déterminé qu'environ 52 % des tâches ont été exécutées dans le délai imparti (5 jours ou moins) et 7 % après 30 jours. L'équipe de vérification n'a pas pu établir qu'une analyse semblable a été effectuée pour les autres étapes du processus. Une analyse supplémentaire des autres étapes du processus aiderait la direction à déceler des problèmes précis et permettrait d'assurer une affectation éclairée des ressources.

En ce qui concerne l'évaluation de ses outils, la Sous-direction de l'AIPRP a produit une analyse de rentabilisation en 2017 dans le but d'obtenir l'approbation d'acheter et de se procurer une nouvelle solution logicielle d'AIPRP pour régler les problèmes techniques du logiciel actuel, APCM. Au moment de la vérification, l'initiative avait été mise en suspens en raison du plan du CT visant à offrir une plateforme logicielle d'AIPRP à l'échelle du gouvernement. Celle-ci devrait être disponible en 2019-2020.

La Sous-direction a également demandé les commentaires d'autres intervenants et s'est tournée vers l'extérieur dans le but de promouvoir une amélioration continue. Par exemple, en octobre 2017, la Sous-direction de l'AIPRP a tenu un atelier national à Ottawa avec les agents de liaison de l'AIPRP des divisions et des secteurs d'activité. On les a invités à formuler des commentaires sur les améliorations potentielles aux processus opérationnels liés à l'AIPRP. De plus, la Sous-direction de l'AIPRP a signalé avoir consulté d'autres directions générales de l'AIPRP à l'échelle du gouvernement dans le but de faire du réseautage et d'échanger les pratiques exemplaires qui pourraient guider ses initiatives d'amélioration des processus. Pendant la vérification, l'équipe n'a pas constaté la mise en œuvre d'initiatives découlant de cette consultation.

La vérification a permis de constater que la Sous-direction de l'AIPRP a effectué une certaine analyse des processus et des outils, mais qu'une approche plus structurée, y compris l'analyse supplémentaire des risques du programme et des causes profondes potentielles des secteurs où d'importants goulots d'étranglement existent, serait utile pour cerner les gains d'efficacité potentiels et améliorer l'efficacité.

Initiatives d'amélioration des processus

La Sous-direction de l'AIPRP a entrepris un certain nombre d'initiatives dans le but d'améliorer l'efficacité et l'efficience du processus d'AIPRP. Dans l'ensemble, la mise en œuvre des initiatives semble être réactive, et l'analyse documentée à l'appui de la décision de la direction de donner suite aux initiatives proposées est limitée. L'équipe de vérification n'a pas été en mesure d'évaluer l'efficacité des initiatives étant donné le manque de renseignements sur le rendement fondés sur des données probantes. Il serait utile pour la Sous-direction de l'AIPRP de mettre au point un plan formel pour gérer la mise en œuvre des initiatives d'amélioration des processus et évaluer leur succès.

En février 2018, un certain nombre d'initiatives en cours et prévues ont été présentées au Sous-comité des ressources de l'EMS en tant que stratégies d'atténuation que la Sous-direction peut mettre en place. Les initiatives ci-après comprennent ces stratégies d'atténuation et d'autres stratégies qui ont été lancées ou mises en place pendant la période visée par la vérification, soit du 1er avril 2016 au 31 mars 2018. Étant donné que plusieurs initiatives en sont à leurs débuts et que le programme n'a pas encore défini de mesures de rendement pour évaluer et mesurer les résultats de ses initiatives d'amélioration des processus, le programme et l'équipe de vérification n'ont pas été en mesure d'évaluer leurs incidences respectives.

Groupe du triage

Pendant l'étape de planification, une fonction de triage a été mise en place pour évaluer la complexité des demandes reçues, traiter les dossiers pour lesquels il y a des retards importants et communiquer avec les demandeurs dans le but de réduire la portée des demandes générales et ambiguës. Cependant, pendant l'étape d'examen, cette fonction de triage n'était plus en vigueur en raison du départ d'un employé.

Restructuration

Pendant la période visée par la vérification, la Sous-direction de l'AIPRP a apporté un certain nombre de changements organisationnels, y compris la création de groupes distincts pour la numérisation et la formation, et a mis sur pied temporairement une équipe de gestion des plaintes ainsi qu'une fonction de triage et d'assurance de la qualité.

Outils

Nous avons constaté que la Sous-direction de l'AIPRP cherche des moyens d'utiliser plus efficacement la technologie pour améliorer davantage l'efficience du processus, y compris se procurer une nouvelle solution logicielle d'AIPRP pour régler les problèmes techniques du logiciel actuel (APCM). Comme il a déjà été mentionné, cette initiative a été mise en suspens en raison du plan du SCT visant à offrir une plateforme logicielle d'AIPRP à l'échelle du gouvernement. Celle-ci devrait être disponible en 2019-2020.

Une autre initiative récente d'amélioration de la technologie est l'acquisition de numériseurs haute vitesse par la Sous-direction dans le but d'accroître l'efficience et la capacité du groupe de numérisation.

Groupe de formation

L'équipe de vérification a constaté que les gestionnaires de l'AIPRP ont créé un groupe de formation en 2017 dans le but d'offrir un programme de formation à l'interne pour répondre aux besoins en matière de formation des nouveaux employés et combler les lacunes sur le plan des connaissances des employés en poste à la Sous-direction de l'AIPRP. Depuis, le groupe a élaboré et offert une formation structurée aux employés, notamment : une formation d'un mois à l'intention des analystes des évaluations initiales; une formation de trois mois à l'intention des analystes de la divulgation; des séances de formation ponctuelles sur des sujets précis liés à la divulgation; et des séances d'information sur l'AIPRP offertes en personne aux divisions et aux secteurs d'activité.

Autres initiatives

En octobre 2017, à la suite d'une analyse effectuée par la Sous-direction de l'AIPRP, le dirigeant principal des RH (DPRH) a publié une directive selon laquelle les membres réguliers (m.r.) peuvent présenter une demande non officielle d'accès à leur relevé d'emploi et à leur dossier médical auprès du Bureau du perfectionnement et du renouvellement ou du bureau des services de santé de leur division plutôt que de présenter une demande de protection des renseignements personnels pour ces dossiers. Dans le but de réduire le nombre de demandes de protection des renseignements personnels à traiter, la Sous-direction communique avec les membres ayant présenté des demandes d'AIPRP visant des documents personnels de ce genre qui n'ont pas encore été traitées pour les informer de cette option qui s'offre à eux. La Sous-direction de l'AIPRP a signalé que cette initiative a permis de réduire le nombre de demandes visant des dossiers médicaux en attente de traitement.

En bref, la Sous-direction a entrepris un certain nombre d'initiatives dans le but d'améliorer l'efficacité et l'efficience du processus d'AIPRP, mais ces initiatives ne sont pas étayées par une analyse documentée ou des mécanismes pour évaluer le rendement. Par conséquent, il serait utile pour la Sous-direction de l'AIPRP de mettre au point un plan formel pour gérer la mise en œuvre des initiatives d'amélioration des processus et évaluer leur succès.

Planification des RH

La planification des RH est un processus essentiel qui facilite la détermination des besoins actuels et futurs en RH en appui à l'atteinte des objectifs de l'organisation. L'équipe de vérification s'attendait à trouver une stratégie ou un plan en matière de RH formel.

On a constaté qu'aucun plan en matière de RH formel n'existe, mais la Sous-direction de l'AIPRP a entrepris un certain nombre d'initiatives en matière de RH indépendantes, notamment : la dotation, les initiatives de maintien en poste, la formation et, tel qu'il a déjà été mentionné, l'embauche de consultants.

En 2017, la Sous-direction de l'AIPRP a chargé le Groupe de l'organisation et de la classification des RH de la Direction générale de la GRC d'obtenir des conseils sur la mise à jour des descriptions de travail liées à l'AIPRP et la structure organisationnelle. En prévision d'une augmentation potentielle du nombre d'ETP, la Sous-direction veut s'assurer qu'elle sera en mesure d'agir rapidement si elle reçoit des fonds supplémentaires (reproduction de postes). Des consultations avec les RH de la GRC concernant cette initiative sont en cours.

En février 2018, la Sous-direction a signalé au Sous-comité des ressources de l'EMS qu'elle a observé un taux de roulement de 65 % au cours des trois dernières années et que des processus de dotation sont menés de façon continue pour répondre au roulement du personnel. On a indiqué que plus de 150 mesures de dotation ont eu lieu à la Sous-direction en 2017. Pour améliorer le maintien en poste des employés, la direction de la Sous-direction a fait des efforts pour améliorer le moral à la Sous-direction. Par exemple, la Sous-direction permet aux analystes de la divulgation de faire du télétravail jusqu'à 1 jour par semaine; elle a également organisé des activités de promotion du travail d'équipe; et elle organise des séances trimestrielles de discussion ouverte à l'intention de tout le personnel afin d'accroître la communication et de contribuer à promouvoir le travail d'équipe à la Sous-direction.

L'équipe de vérification a constaté que les initiatives en matière de RH de la Sous-direction ne sont pas liées aux autres initiatives d'amélioration des processus et qu'il y a un manque d'intégration. La Sous-direction de l'AIPRP profiterait de l'élaboration d'une stratégie en matière de RH formelle et de la coordination d'un plan détaillé avec ses diverses initiatives de changement qui ont des répercussions sur les RH. L'établissement d'un plan en matière de RH permettrait d'assurer l'harmonisation des priorités et de faciliter l'affectation appropriée des ressources humaines disponibles.

4. Conclusion

La Sous-direction de l'AIPRP de la GRC éprouve de la difficulté à respecter le délai de 30 jours prévu par la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels pour répondre aux demandes avec les ressources dont elle dispose à l'heure actuelle, mais la vérification a révélé qu'un cadre de gouvernance est en place pour appuyer le programme d'AIPRP et que les rôles et les responsabilités sont clairement définis et communiqués au sein de la Sous-direction de l'AIPRP. Il est possible de fournir d'autres directives sur les rôles et les responsabilités des agents de liaison et des employés de la GRC et de mettre à jour les documents de politique et d'orientation en matière d'AIPRP de la GRC pour tenir compte des modifications législatives et de processus. La mise à jour des documents de politique et d'orientation doit comprendre l'évaluation, par la Sous-direction, de la pratique relative aux examens de supervision restreints des demandes de protection des renseignements personnels pour cerner les risques d'atteinte à la vie privée et de non-conformité et, le cas échéant, les atténuer.

De plus, il serait utile pour la Sous-direction d'effectuer d'autres analyses et de mettre au point un plan formel qui comprend une stratégie en matière de RH pour gérer la mise en œuvre des initiatives d'amélioration des processus et évaluer leur succès.

Le programme d'AIPRP pourrait tirer parti d'une fonction d'assurance de la qualité qui comprend l'examen des plaintes et de leurs causes profondes en vue de déterminer les améliorations à apporter aux processus et d'accroître la conformité du programme.

5. Recommandations

  1. Le DPPPS doit s'assurer que les documents de politique et d'orientation en matière d'AIPRP de la GRC sont mis à jour pour tenir compte des modifications législatives et de processus ainsi que pour fournir d'autres directives sur les rôles et les responsabilités des agents de liaison et des employés de la GRC.
  2. Le DPPPS doit s'assurer qu'un plan formel est mis au point pour gérer la mise en œuvre des initiatives d'amélioration des processus et évaluer leur succès. Le plan doit comprendre des mesures de rendement qui évaluent le succès des améliorations des processus et établissent des attentes quant au rendement pour assurer une surveillance et une supervision continues du programme, ainsi que des échéances et des jalons.
  3. Le DPPPS doit s'assurer qu'une stratégie en matière de RH formelle et un plan détaillé sont mis au point pour coordonner les diverses initiatives liées aux RH de la Sous direction de l'AIPRP.
  4. Le DPPPS doit s'assurer que le programme d'AIPRP met en place une fonction d'assurance de la qualité qui comprend l'examen des plaintes et de leurs causes profondes en vue de déterminer les améliorations à apporter aux processus et d'accroître la conformité du programme.

Annexe A — Objectif et critères de la vérification

Objectif : Déterminer si un cadre de contrôle de gestion est en place pour le programme d'AIPRP de la GRC et fonctionne comme prévu.

Critère 1 : Le cadre de gouvernance définit clairement les rôles et les responsabilités et comprend des mécanismes de supervision afin de permettre l'atteinte des objectifs du programme et l'obtention des résultats prévus.

Critère 2 : Les politiques et les procédures de la GRC sont conformes à la Loi sur l'accès à l'information, à la Loi sur la protection des renseignements personnels et aux politiques et aux directives du CT, et elles sont appliquées de façon uniforme à l'échelle de l'organisation.

Critère 3 : Les processus ministériels en matière d'AIPRP, notamment la planification des RH, la formation et l'utilisation des outils, ont été examinés pour cerner les possibilités d'amélioration de l'efficacité et de l'efficience du processus tout en tenant compte des risques pour l'organisation.

Annexe B — Recommandations et plan d'action de la gestion

Recommandation Plan d'action de la direction
  1. Le dirigeant principal de la Planification et des Politiques stratégiques (DPPPS) doit s'assurer que les documents de politique et d'orientation en matière d'AIPRP de la GRC sont mis à jour pour tenir compte des modifications législatives et de processus ainsi que pour fournir d'autres directives sur les rôles et les responsabilités des agents de liaison et des employés de la GRC.

Acceptée.

La Sous-direction de l'AIPRP reconnaît que ses politiques actuelles doivent être mises à jour en fonction des pratiques en vigueur. Elles doivent aussi refléter les modifications législatives découlant notamment de l'adoption du projet de loi C-58 et être conformes aux politiques, directives et lignes directrices établies par le Secrétariat du Conseil du Trésor (SCT) pour l'ensemble du gouvernement. Il est également essentiel de communiquer les conséquences qu'ont pour l'organisation les nouvelles orientations ou directives et les avis de mise en œuvre émanant du SCT. La Sous-direction de l'AIPRP réalisera un examen rigoureux de ses politiques actuelles ainsi qu'une analyse officielle des lacunes afin de dresser la liste des principaux intervenants concernés par toute modification requise. Après l'examen et l'analyse des lacunes, les politiques en vigueur seront actualisées, et de nouvelles politiques seront rédigées et mises en œuvre à la lumière des résultats de l'examen.

Le délai prévu pour cette initiative pourrait être modifié si un financement supplémentaire était accordé pour accroître les ressources affectées à la correction des lacunes.

Date d'achèvement : novembre 2021
Poste responsable : directeur de l'AIPRP de la GRC

La Sous-direction de l'AIPRP a constaté et reconnu la nécessité d'offrir de la formation aux employés de la GRC sur leurs rôles et responsabilités en ce qui touche la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Bien que des séances de formation en personne aient été organisées, cette méthode de prestation n'est pas la plus efficace.

La Sous-direction de l'AIPRP collaborera avec Apprentissage et Perfectionnement à l'élaboration d'une formation en ligne qui sera offerte dans Agora et qui donnera un aperçu des Lois, de leur application à la GRC, des responsabilités des employés en la matière et des exigences à respecter au reçu d'une demande d'accès à l'information ou de communication de renseignements personnels. On tâchera d'obtenir le soutien de la haute direction afin de rendre cette formation obligatoire pour tous les employés, puisqu'il s'agit d'une exigence établie par le gouvernement fédéral.

La Sous-direction de l'AIPRP élaborera aussi des outils de formation ainsi que des lignes directrices claires et normalisées à l'intention de ses agents de liaison dans les secteurs d'activité et les divisions. Elle définira une stratégie pour assurer la communication efficace des modifications aux processus et adoptera un régime de surveillance clairement défini pour assurer la conformité aux nouvelles directives.

La Sous-direction de l'AIPRP procédera enfin à la mise à jour de sa page Web pour fournir les informations pertinentes aux employés de la GRC et au grand public.

Cette initiative sera menée avec la participation du programme Apprentissage et Perfectionnement de la GRC. Certaines priorités organisationnelles de ce programme pourraient passer avant cette initiative et avoir une incidence sur le financement.

Date d'achèvement : lignes directrices normalisées – juin 2020

Date d'achèvement : mise en œuvre des lignes directrices – décembre 2020

Date d'achèvement : outil d'apprentissage dans Agora – mai 2021

Poste responsable : directeur de l'AIPRP de la GRC
  1. Le DPPPS doit s'assurer qu'un plan officiel est mis au point pour gérer la mise en œuvre des initiatives d'amélioration des processus et évaluer leur succès. Le plan doit comprendre des mesures de rendement qui évaluent le succès des améliorations des processus et établissent des attentes quant au rendement pour assurer une surveillance et une supervision continues du programme, ainsi que des échéances et des jalons.

Acceptée.

La Sous-direction de l'AIPRP procédera à un examen stratégique du programme aux fins d'amélioration des processus administratifs. Les résultats de cet examen détermineront les initiatives que la Sous-direction entreprendra au cours de l'année suivante.

Il serait utile de consacrer un financement et des ressources supplémentaires à cette initiative. Les interdépendances par rapport à d'autres services de la GRC peuvent avoir une incidence sur le délai prévu.

Date d'achèvement : décembre 2020

Poste responsable : directeur de l'AIPRP de la GRC

Les initiatives du programme d'AIPRP seront menées en fonction des résultats de l'examen stratégique du programme et s'inscriront vraisemblablement dans le souci premier d'accroître l'efficacité en maintenant les niveaux de ressources actuels. À cette fin, on établira des plans officiels axés sur le projet d'adhésion au Service de demande d'AIPRP en ligne (SDAL) du SCT. La Sous-direction de l'AIPRP dressera un plan de projet indiquant le chemin critique, les objectifs, les résultats attendus, les jalons ainsi que les mesures et les indicateurs de rendement afin d'assurer la réussite de l'intégration. Une exigence de surveillance continue sera également incorporée au plan de projet.

Le déroulement de cette initiative dépendra du plan de mise en œuvre du SCT. De plus, les employés de la GRC auront besoin d'une formation supplémentaire relativement à ce nouveau projet.

Date d'achèvement : intégration au SDAL – septembre 2020

Poste responsable : directeur de l'AIPRP de la GRC
  1. Le DPPPS doit s'assurer qu'une stratégie en matière de RH officielle et un plan détaillé sont mis au point pour coordonner les diverses initiatives liées aux RH de la Sous-direction de l'AIPRP.

Acceptée.

La Sous-direction de l'AIPRP reconnaît le besoin d'adopter une stratégie officielle en matière de RH pour combler ses divers besoins à ce chapitre. L'élaboration de cette stratégie exigera la collaboration de plusieurs services internes de la GRC (Organisation et Classification, Dotation, Sécurité ministérielle, etc.).

On réalisera d'abord un examen complet des contraintes à venir, des prévisions quant aux départs à la retraite, de la planification de la relève et de la normalisation de postes. Avec le concours de la Dotation, la Sous-direction de l'AIPRP travaillera en partenariat avec d'autres ministères afin de lancer des mesures de dotation collectives pour les postes dans le domaine de l'AIPRP, ce qui permettra de puiser dans un plus grand bassin réunissant des candidats de divers groupes et niveaux.

Le plan de RH sera rectifié une fois l'examen stratégique du programme terminé et approuvé.

Date d'achèvement : mai 2021

Poste responsable : directeur de l'AIPRP de la GRC
  1. Le DPPPS doit s'assurer que le programme d'AIPRP met en place une fonction d'assurance de la qualité qui comprend l'examen des plaintes et de leurs causes profondes en vue de déterminer les améliorations à apporter aux processus et d'accroître la conformité du programme.

Acceptée.

La Sous-direction de l'AIPRP a constaté le besoin de créer un poste spécialisé dans l'assurance de la qualité. Le titulaire de ce poste se concentrera sur la réalisation d'examens d'assurance de la qualité au sein de divers services de l'AIPRP. Ses responsabilités consisteront entre autres à établir des normes de service pour chaque section de la Sous-direction et à examiner les dossiers de documents communiqués en portant une attention particulière à la qualité, à la conformité aux dispositions législatives et aux cas possibles de non-respect des exigences.

La Sous-direction de l'AIPRP continuera de travailler avec Organisation et Classification afin de créer un poste de gestionnaire du contrôle de la qualité dans son organigramme et d'établir la description de travail s'y rapportant. Cette démarche fera partie de la stratégie de RH de la Sous-direction.

Il serait utile de consacrer un financement et des ressources supplémentaires à ces initiatives. Il convient également de noter que l'examen stratégique du programme de l'AIPRP aura une incidence sur la stratégie en matière de RH. La participation d'autres services de la GRC (Dotation, Organisation et Classification, Sécurité ministérielle et Gestion des biens) peut avoir une incidence sur les délais prévus.

Date d'achèvement : présentation de la description de travail du poste de gestionnaire/administrateur du système de contrôle de la qualité à Organisation et Classification –mars 2020

Dotation du poste de gestionnaire/administrateur du système de contrôle de la qualité : juin 2021

Poste responsable : directeur de l'AIPRP de la GRC
Haut de la page
Date de modification :