Vérification du cadre de gouvernance de la gestion de l’information

3.0 Observations et recommandations

3.1 Gouvernance

Structure de gouvernance de la GI à CIC

La DGVIR s’attendait à trouver à CIC des structures de gouvernance, des mécanismes et des ressources capables d’assurer une gestion constante et efficace de l’information.

Un Comité de gestion de l’information et des connaissances (CGIC) a été créé, et un mandat lui a été confié. Ce comité, qui réunit des directeurs, est chargé d’élaborer des plans d’action et des recommandations pour répondre aux préoccupations de CIC concernant la GI. Les réunions de ce comité devraient avoir lieu tous les mois ou au besoin. L’organigramme suivant illustre le lien hiérarchique entre ce comité et les principaux comités de CIC.

Figure 2 : Comités de gouvernance de la GI et mécanisme de transmission aux échelons supérieurs et d’approbation

Figure 2: Voir le texte ci-dessous.

La figure numéro 2 présente les différents comités de gouvernance de la gestion de l’information à CIC par niveau d’influence. À la base se trouve une liste non exhaustive des comités de niveau 3 notamment : le Comité de gestion des risques, le Comité de gestion de l’information et des connaissances, le Comité d’examen des projets, le Comité national de consultation patronale-syndicale et le Comité consultatif national sur les locaux. Ces comités sont subordonnés par : le Comité de gestion du ministère, le Comité de responsabilisation et de gestion, le Comité des politiques et le Comité des affaires opérationnelles. Hiérarchiquement, ces comités fonctionnent sous la direction du comité exécutif (COMEX). Cet organigramme démontre également le mécanisme de transmission aux échelons supérieurs à CIC pour la résolution de problèmes et/ou l’obtention d’approbations. Ainsi, le Comité de gestion de l’information et des connaissances transmet les préoccupations au Comité de responsabilisation et de gestion qui les élèvera au Comité exécutif si nécessaire.

Les documents confiés aux échelons supérieurs ou approuvés lors des réunions du CGIC seront examinés par le Comité de responsabilisation de gestion (CoRG) de CIC, le comité de direction réunissant des directeurs généraux qui a pour centre d’intérêt stratégique le renforcement de la responsabilisation au sein du Ministère. Le CoRG évalue la nécessité de transmettre des documents de GI au Comité exécutif (COMEX) en vue de leur approbation. Le COMEX constitue la tribune décisionnelle la plus élevée à CIC; il se penche sur les questions exigeant une décision et une orientation stratégique, et sur les questions organisationnelles et horizontales.

La responsabilité de participer aux comités de gouvernance interministériels est principalement déléguée au DPI. Le DPI siège au Comité de responsabilisation de gestion, au Comité de gestion du Ministère et au Comité du service à la clientèle. Sa participation à ces comités lui permet d’éclairer et d’instruire le Ministère au sujet de la GI, de soulever les préoccupations liées à la GI afin qu’elles soient discutées et approuvées, ainsi que de solliciter des commentaires au sujet de diverses initiatives en matière de GI et de faire approuver ces dernières. Le DPI est ainsi au fait des principales initiatives ministérielles en matière de GI. Au cours des réunions hebdomadaires de la haute direction auxquelles il assiste, le DPI échange des renseignements avec les directeurs qui relèvent de lui, et ces derniers échangent des renseignements entre eux horizontalement et avec les principaux représentants des projets du SMGC et de biométrie.

Le DPI est aussi un membre important de plusieurs groupes de travail sur la GI, formés de directeurs issus de divers groupes de la DGGTI, et initiatives de CIC, ainsi réunis afin d’assurer l’élaboration et la mise en œuvre réussies de politiques, procédures et lignes directrices concernant les données. Figurent parmi ces groupes de travail le Groupe de travail de direction des données, le Groupe de travail interministériel du Projet de biométrie pour les résidents temporaires, le Comité des normes et de l’architecture d’entreprise en GI‑TI et un groupe de travail connexe sur la production de données, composé de directeurs généraux.

Réalisation des objectifs stratégiques et opérationnels de CIC

La DGVIR s’attendait à ce que le programme et les plans de GI de CIC répondent aux besoins, en permettant la réalisation des programmes, services et objectifs stratégiques et opérationnels du Ministère.

Le Plan stratégique de GI 2010‑2013, rédigé par le CGIC et approuvé par le CoRG, précise ce que compte faire le Ministère pour remplir les obligations en matière de GI que lui imposent les textes de loi pertinents et la politique du SCT. Le Plan stratégique énumère les initiatives en matière de GI et les répartit entre les quatre grands thèmes suivants : créer un environnement de travail collaboratif; établir une convergence de la GI; perfectionner la tenue de documents physiques et électroniques; et améliorer les canaux de partage des connaissances.

Le Plan stratégique de GI comprend un grand nombre d’éléments clés tels que les buts et les objectifs, les facteurs stratégiques, les initiatives, les jalons et un plan de communication. Toutefois, l’ajout de directives de CIC concernant la GI, de stratégies d’atténuation des risques, d’un plan de ressources humaines en GI et d’une stratégie de mesure du rendement de la GI accompagnée des principaux paramètres ou indicateurs du rendement le renforcerait. Le Plan renvoie aussi au Cadre de responsabilisation de gestion et à l’outil d’évaluation des capacités en matière de gestion de l’information, en plus d’énoncer les quatre grands thèmes; la confusion demeure, cependant, quant à l’ordre de priorité de ces questions ou à la façon dont elles seront mesurées pour évaluer le rendement de la GI.

Il y a, à la DGI, un tableau sommaire des jalons du Plan stratégique, mais il pourrait être amélioré afin de mesurer plus efficacement l’avancement du Plan et des initiatives s’y rattachant. En ce moment, le tableau indique seulement le trimestre durant lequel les jalons ou initiatives devraient être terminés et néglige donc deux éléments primordiaux : premièrement, aucune mention de la personne chargée de mener à bien chaque initiative et, deuxièmement, aucune évaluation de l’écart entre les ressources prévues et les ressources réelles, pas même en ce qui a trait au calendrier, aux ressources humaines et aux estimations globales des coûts pour chaque initiative.

Par conséquent, on ne connaît pas avec certitude l’étendue des progrès réalisés par la DGI pour réaliser les objectifs stratégiques et les initiatives en matière de GI.

Consultation

L’élaboration d’un plan stratégique de GI nécessite la participation des principales parties intéressées de l’ensemble du Ministère. Un examen approfondi des procès-verbaux et des rapports de décision du CGIC n’a pas révélé que les cadres supérieurs des directions générales pertinentes (les utilisateurs des produits de GI) ou des comités décisionnels (le CoRG et le COMEX) avaient été consultés au cours de l’élaboration de l’ébauche du Plan stratégique de GI de CIC. En outre, le directeur de la GI ne consacre qu’une partie de son temps aux activités centrées sur la GI, étant occupé le reste du temps par la TI et les questions administratives connexes.

Comité de gestion de l’information et des connaissances (CGIC)

Les procès-verbaux des réunions du CGIC pour la période allant de mars à juillet 2010 montrent qu’il y a eu des discussions de haut niveau sur les stratégies, les outils et les documents requis pour établir la portée générale et l’importance de la GI ainsi que la vision en la matière. Malgré les responsabilités du CoRG et du COMEX en matière de gouvernance de la GI, il n’est pas ressorti des procès-verbaux des réunions que des questions de GI avaient été confiées à l’un ou l’autre comité pour une discussion plus approfondie. Les entrevues ont confirmé que la GI comme telle figure rarement à l’ordre du jour des réunions du COMEX, et, quoique le COMEX désire examiner le Plan stratégique de GI, le Plan n’est pas encore prêt à lui être présenté.

Lorsque la haute direction ne comprend pas clairement les objectifs, les rôles et les responsabilités en matière de GI, les gestionnaires ne peuvent pas aider la DGGTI à atteindre les objectifs de GI dans l’ensemble du Ministère et à maintenir les contrôles essentiels.

Conclusion

Dans l’ensemble, la structure de gouvernance, les mécanismes et les ressources requises sont en place à CIC pour soutenir la gestion de l’information tout au long de son cycle de vie. Le Comité de responsabilisation de gestion (CoRG) a approuvé le Plan stratégique de GI 2010‑2013. Ce document comprend les éléments clés concernant la GI (par exemple, les buts et objectifs ainsi que les facteurs stratégiques), mais pourrait être amélioré par l’ajout d’éléments qui définiraient mieux les orientations stratégiques de CIC en matière de GI. En outre, il serait possible de prévoir dans le processus décisionnel la réalisation de consultations de même que la participation des principales parties intéressées.

Recommandation 1

La DGGTI devrait améliorer l’actuel Plan stratégique de GI en élaborant des normes de GI, une stratégie de mesure du rendement de la GI et un plan de ressources humaines en GI.

Réponse de la direction

Le directeur général de la DGGTI, qui remplit également les fonctions de dirigeant principal de l’information (DPI) et de cadre supérieur chargé de la gestion de l’information (CSGI), approuve cette recommandation.

En consultation avec le SCT (responsable fonctionnel de la GI) et BAC (autorité fonctionnelle en ce qui concerne la tenue de documents), la DGI élaborera ou actualisera des normes de GI d’ici le 31 mars 2012.

En consultation avec les parties intéressées de CIC (tous les secteurs et toutes les régions), la DGI actualisera le Plan stratégique de GI et y ajoutera une stratégie de mesure du rendement de la GI et un plan de ressources humaines en GI. Le Comité de gestion de l’information et des connaissances, le CoRG et le COMEX l’approuveront avant le 31 octobre 2011.

Recommandation 2

La DGGTI devrait veiller à ce que le Plan stratégique de GI soit présenté au COMEX pour examen et approbation. Cela assurerait sa visibilité dans tout l’organisme, en plus d’amener les cadres supérieurs à appuyer les efforts déployés pour faire connaître et encourager les comportements sensibles à la GI.

Réponse de la direction

Le CSGI approuve cette recommandation. La DGI présentera le Plan stratégique de GI actualisé au COMEX pour approbation avant le 31 octobre 2011.

3.2 Gestion des risques

La DGVIR s’attendait à ce que les risques liés à la GI soient relevés et étayés des mesures appropriées pour contrer ces risques et des stratégies d’atténuation.

Plan stratégique de GI

Le Plan stratégique de GI s’avère le meilleur outil pour décrire les risques liés à la GI et les stratégies d’atténuation de ces risques. Le Plan actuel comprend une évaluation des risques, mais celle-ci n’indique pas précisément les stratégies utilisées pour réduire les incidences et l’importance des risques relevés.

Une information limitée sur les risques liés à la GI fait en sorte que les cadres supérieurs ne sont pas suffisamment renseignés lorsqu’ils prennent des décisions sur la modification des priorités et l’affectation des ressources. De plus, le Plan stratégique de GI n’aide guère le comité directeur de la GI à déterminer la manière dont il doit gérer les risques liés à la GI dans un cadre opérationnel.

Ordre de priorité des projets de GI‑TI

Étant donné que de nouveaux projets de GI‑TI peuvent entraîner des risques liés à la GI non envisagés dans le Plan stratégique de GI, la DGVIR s’attendait à ce que les projets de GI‑TI fassent l’objet d’un examen afin d’en déterminer les incidences au chapitre de la GI.

Chaque année, l’ordre de priorité des projets de GI‑TI de tout le Ministère est déterminé dans le cadre d’un processus auquel participent les principales parties intéressées appartenant à la haute direction. Une fois que les projets ont été choisis, les mandats des projets de CIC en matière de GI‑TI ne sont pas examinés obligatoirement par la Gestion de l’information, contrairement aux pratiques exemplaires adoptées par les chefs de file dans le domaine de la GI. Un examen des mandats des projets par la DGI garantirait l’intégration des projets dans les systèmes existants et leur harmonisation avec la stratégie à long terme du Ministère au chapitre de la GI. Ainsi, les investissements en GI seraient optimisés, et les risques, bien gérés.

Conclusion

La gestion des risques liés à la GI s’inscrit dans l’approche globale de CIC en matière de gestion des risques. L’omniprésence de la GI et la nature intégrée de la gestion des risques font en sorte que d’autres approches de la gestion des risques à CIC (par exemple, le profil de risque ministériel avec surveillance trimestrielle) contribuent à atténuer les risques liés à la GI mentionnés dans la présente vérification. Toutefois, un renforcement additionnel de la gestion des risques dans le domaine de la GI contribuerait à son tour au renforcement des efforts de CIC pour gérer les risques.

Recommandation 3

La DGGTI devrait améliorer l’actuel Plan stratégique de GI en élaborant un plan détaillé d’atténuation des risques.

Réponse de la direction

Le CSGI approuve cette recommandation.

En consultation avec les parties intéressées de CIC (tous les secteurs et toutes les régions), la DGI actualisera le Plan stratégique de GI en y ajoutant un plan détaillé d’atténuation des risques. Le Comité de gestion de l’information et des connaissances, le CoRG et ensuite le COMEX l’approuveront avant le 31 octobre 2011.

Recommandation 4

La DGGTI devrait veiller à ce que, dans le cas de toutes les initiatives de GI‑TI, le processus d’approbation des mandats de projet prévoie l’approbation des mandats par le directeur de la Gestion de l’information.

Réponse de la direction

Le CSGI approuve cette recommandation.

La DGI soumettra cette recommandation au comité de gestion de la DGGTI pour approbation avant le 30 septembre 2011.

3.3 Contrôles de gestion et contrôles opérationnels

La DGVIR s’attendait à ce qu’il y ait des contrôles de gestion et des contrôles opérationnels pour assurer une gestion constante et efficace de l’information.

Outils et systèmes à l’appui de la GI

Le principal outil de gestion des documents et de l’information utilisé à CIC est le Système de gestion des dossiers, des documents et de l’information (SGDDI). Le Ministère est doté d’un certain nombre de systèmes financiers et opérationnels autonomes qui s’occupent d’archiver leurs propres données, mais le SGDDI a été conçu pour recevoir les documents produits par le personnel à l’aide des données de ces autres systèmes. Bien que le SGDDI ait été implanté dans 80 % du Ministère, il ne s’agit pas d’un outil d’usage obligatoire et il n’est pas utilisé par tous. Au cours des entrevues menées dans le cadre de la présente vérification, diverses raisons ont été fournies pour expliquer le manque d’intérêt envers ce système :

  • manque de formation;
  • problèmes relatifs au contrôle des versions et difficulté d’établir si la toute dernière version d’un document est archivée dans le SGDDI;
  • connaissance insuffisante des règles d’affectation des noms, faisant en sorte qu’il est difficile de trouver les documents voulus;
  • insatisfaction à l’égard de la capacité de recherche du SGDDI.

Le SGDDI étant peu utilisé, l’information est également stockée sur les lecteurs réseau partagés du Ministère et sur des applications logicielles autonomes.

Si le SGDDI n’est pas adopté et employé dans l’ensemble du Ministère, CIC ne pourra pas profiter des avantages de ce système technologique central de GI, conçu pour la gestion de l’accès aux documents, le contrôle des versions, les demandes d’AIPRP et la disposition de l’information. Le développement et le soutien de systèmes autonomes augmentent le coût de la GI au Ministère et les risques qui s’y rattachent.

Documents secrets

La gestion des documents portant la cote « Secret » ou une cote supérieure constitue un défi que doivent relever tous les ministères, car la création d’un réseau informatique sûr pour l’archivage de cette information peut coûter extrêmement cher. À CIC, ce sont des documents papier qui sont gérés et, partout au Ministère, ces documents sont conservés dans des armoires verrouillées. Il n’y a pas de mécanisme central de suivi.

Cette approche comporte deux inconvénients. Tout d’abord, les postes de permutants sont courants à CIC, et il est difficile pour les personnes qui les occupent de savoir exactement ce qui se trouve dans leurs armoires verrouillées au début de leur affectation. Ensuite, l’incapacité d’assurer le suivi des documents secrets complique le contrôle des versions puisqu’il peut exister plusieurs exemplaires d’un même document.

Faute de processus systématique pour le suivi et le repérage des documents secrets, l’organisme ne sait pas quels documents classifiés sont distribués en son sein, qui est responsable de ces documents et qui y a accès.

Rôles et responsabilités délégués et structure de responsabilisation

Le cadre supérieur chargé de la GI (le CSGI) à CIC est le DPI, dont les fonctions sont remplies par le DG de la DGGTI. Dans le cadre de ses attributions, le CSGI se voit déléguer des pouvoirs et siège à un certain nombre de comités ministériels.

Le directeur de la GI, qui est responsable à la fois de fonctions de GI et de TI, est à la tête de la DGI.

Le directeur de la GI préside aussi le CGIC. Ce comité formé de directeurs a pour responsabilité d’élaborer des plans d’action et des recommandations pour répondre aux préoccupations de CIC concernant la GI. Les réunions de ce comité devraient avoir lieu tous les mois ou au besoin. Grâce aux rôles et responsabilités établis et à l’obligation de rendre compte, les questions de GI sont gérées conformément aux pouvoirs délégués.

Deux secteurs de responsabilité proches de la GI n’incombent pas au CSGI : l’accès à l’information et la protection des renseignements personnels, ainsi que la gestion des protocoles d’entente (PE) signés avec des parties intéressées externes. Même si la présente vérification ne portait pas sur l’obligation de rendre compte dans ces secteurs, la mesure dans laquelle ces deux secteurs peuvent avoir accès à l’information dont ils ont besoin pour atteindre leurs objectifs a été incluse dans la portée de la vérification, et les observations et recommandations en tiennent compte.

Conservation et disposition

Les entrevues ont révélé qu’à CIC, les stratégies de conservation varient d’un endroit à l’autre. La DGI compte établir des autorisations de disposition de documents pour chaque système d’information, mais le travail n’a pas encore débuté. La DGI est en retard dans l’élaboration des calendriers de conservation : seulement 8 des 17 calendriers requis sont officiels.

Il est vital pour l’organisme que celui-ci soit doté d’une stratégie de conservation, en ce qu’elle lui permet de bien comprendre les exigences et les responsabilités. Sans directives claires, les utilisateurs pourraient conserver les documents plus longtemps qu’il ne le faut, ce qui augmenterait les coûts de conservation, ou au contraire, détruire des documents qui devraient être conservés.

Échange de renseignements

CIC échange des renseignements avec un grand nombre de partenaires. On s’affaire actuellement à centraliser la gestion des PE qui régissent ces échanges de renseignements. Bien que cela dépasse la portée de la présente vérification, il est à noter qu’on ne sait pas avec certitude comment les autres parties aux PE se conformeront aux politiques et procédures de CIC en matière de GI et y feront écho lors de l’utilisation des renseignements de CIC.

Conclusion

Malgré les moyens de contrôle en place et les rôles et responsabilités clairement définis, le cadre de contrôle de gestion relatif à la GI pourrait être amélioré à certains chapitres. En gardant le cap sur l’adoption du SGDDI au lieu de privilégier des outils de GI spécifiques pour chaque direction générale, en gérant les renseignements secrets ou classifiés et en établissant des autorisations de disposition de documents, on renforcera le cadre de contrôle global et on atténuera les risques liés à la GI et les risques opérationnels.

Recommandation 5

La DGGTI devrait rechercher les causes fondamentales du manque d’intérêt envers le SGDDI, afin de dresser et de mettre en œuvre un plan correctif.

Réponse de la direction

Le CSGI approuvait cette recommandation au moment de la vérification.

Cependant, comme le logiciel du SGDDI utilisé actuellement à CIC arrive à la fin de sa vie, la DGGTI se concentre actuellement sur la mise en œuvre d’une nouvelle solution, plus robuste, appelée GC Docs (ECM LiveLink 10). Le passage à cette nouvelle solution est conforme à la nouvelle directive du gouvernement du Canada d’offrir aux ministères fédéraux une fonction de gestion des documents et des dossiers en mode SaaS, qui s’harmonise avec la stratégie de GI du gouvernement du Canada, sa politique, ses directives et ses normes de GI de même que les exigences ministérielles et le cadre de sécurité dématérialisé de la collectivité des SPTI. Par conséquent, la DGGTI n’investira pas de ressources supplémentaires pour rechercher les causes fondamentales du manque d’intérêt envers l’outil que constitue le SGDDI. La DGGTI consacrera plutôt du temps et des ressources à faire progresser la solution GC Docs (ECM LiveLink 10) à CIC.

La DGI s’associe au SCT, à BAC et à la crème des réalisateurs fédéraux du Système de gestion des documents et de l’information de l’entreprise (SGDIE) pour élaborer les exigences opérationnelles en matière de GI qui garantiront une mise en œuvre de GC Docs tenant compte des causes fondamentales des difficultés du SGDDI.

Recommandation 6

La DGGTI devrait fouiller les possibilités d’archivage central et de suivi des documents qui ne sont pas stockés dans le SGDDI en raison de leur classification de sécurité.

Réponse de la direction

Le CSGI approuve cette recommandation.

La DGGTI a commencé à fouiller les possibilités d’entreposage central et de suivi des documents qui ne sont pas stockés dans le SGDDI en raison de leur classification de sécurité. Les nouvelles solutions seront pleinement opérationnelles le 31 mars 2014.

Recommandation 7

La DGGTI devrait veiller à ce que les exigences des PE qui régissent l’échange de renseignements s’harmonisent avec les politiques et les procédures de CIC en matière de GI, et appliquer des mesures qui garantiront le respect des politiques de CIC par les autres parties à ces PE.

Réponse de la direction

Le CSGI approuve cette recommandation.

La création de la Direction générale de l’échange de renseignements pour servir de dépôt central à tous les PE a accru la capacité de CIC de s’assurer que les ententes d’échange de renseignements respecteront la schématisation des processus opérationnels et les définitions des documents opérationnels. L’autorité fonctionnelle relative à ce dépôt est transférée à la Direction générale de l’intégration.

Les PE seront accessibles et repérables avant septembre 2011. Le catalogue de la bibliothèque de CIC destiné au public héberge les points d’accès, et on étudie actuellement les possibilités d’archivage électronique. La mise en œuvre d’un cadre de contrôle des échanges de renseignements s’avère une initiative beaucoup plus vaste et complexe, qui comporte de multiples interdépendances au sein de CIC. Dans la mesure où il y aura plus de 500 PE qui nécessiteront la mobilisation des partenaires participant aux échanges de renseignements, la DGGTI devra veiller au respect des exigences précisées dans les politiques connexes. À cette fin, il faudra renforcer les capacités et concilier volumes élevés de PE et partenaires. Le tout sera prêt pour le 31 mars 2015.

Recommandation 8

La DGGTI devrait continuer d’établir des calendriers de conservation pour garantir le respect des exigences de BAC, et veiller au suivi de la conformité à ces calendriers.

Réponse de la direction

Le CSGI approuve cette recommandation.

Au 31 mai 2011, la DGGTI avait dressé tous les calendriers de conservation de CIC. D’ici le 31 mars 2012, CIC aura relevé et défini ses documents ayant une valeur opérationnelle. Il se conformera ainsi à la Directive sur la tenue de documents du SCT (20 avril 2009). Par la suite, la DGGTI commencera à chercher une méthode de suivi de la conformité qui puisse être utilisée dans un cadre opérationnel.

Date de modification :