Vérification du programme d’immigration de Paris

Rapport de vérification final
Citoyenneté et Immigration Canada
Vérification et divulgation internes
Octobre 2003

Table des Matières

• 1.0 CONTEXTE
• 2.0 RÉSULTATS DE LA VÉRIFICATION ET RECOMMANDATIONS
  • 2.1 FONCTION DE GESTION
  • 2.2 GÉRER LA CHARGE DE TRAVAIL
    • 2.2.1 Formation sur le STIDI
    • 2.2.2 Accès aux fonctions du STIDI
    • 2.2.3 Guide du gestionnaire du STIDI : problèmes de qualité
  • 2.3 INTÉGRITÉ ET CONFORMITÉ DU PROGRAMME
    • 2.3.1 Transition vers la Loi sur l’immigration et la protection des réfugiés
  • 2.4 RECOUVREMENT DES COÛTS
  • 2.5 CONTRÔLE DES DOCUMENTS CLÉS
  • 2.6 GESTION DES RESSOURCES HUMAINES
  • 2.7 GESTION DU RISQUE ET ASSURANCE DE LA QUALITÉ
  • 2.8 SUIVI DE LA VÉRIFICATION DE 1995
• ANNEXE A : PLAN D’ACTION DE GESTION

1.0 CONTEXTE

Nous avons vérifié, entre le 20 janvier et le 3 février 2003, le programme d’immigration au bureau de Paris. Notre vérification coïncidait avec une autre vérification effectuée dans cette mission par le ministère des Affaires étrangères et du Commerce international.

La vérification avait pour but :

• d’évaluer la force des pratiques de gestion dans les domaines de la gouvernance, des capacités organisationnelles, de la gestion du risque, et de l’information pour la prise de décision et la production de rapports;
• d’identifier les possibilités d’améliorer le cadre actuel de contrôle de gestion.

La portée de la vérification était limitée à la mission de Paris — nous n’avons pas visité les bureaux satellites. Plus précisément, nous avons examiné la gestion des fonctions d’immigration, la gestion de la charge de travail, le contrôle des documents clés, la gestion des ressources humaines ainsi que la gestion du risque et l’assurance de la qualité. Nous avons également évalué les progrès de la mission pour ce qui est de la transition vers la nouvelle Loi sur l’immigration et la protection des réfugiés (LIPR). Finalement, nous avons vérifié la situation concernant les mesures correctives prises à la suite des recommandations découlant de la vérification de la mission en 1995.

Dans le cadre de la vérification, nous avons examiné des dossiers et des documents, et nous avons interrogé l’équipe de gestion de l’immigration, les agents canadiens et les employés et agents recrutés sur place. Nous avons également assisté à des réunions du personnel et rencontré des représentants d’autres programmes de l’ambassade et du Service de l’immigration du Québec (SIQ).

La mission de Paris est un Centre régional de programmes offrant tous les services aux immigrants et non-immigrants. Cette mission est responsable de 13 pays et territoires, et comprend deux bureaux satellites. Le programme d’immigration fait travailler 50 personnes, dont un agent de contrôle de l’immigration, deux médecins et 42  employés recrutés sur place (ERP).

En 2002, le programme d’immigration de Paris a délivré 11 816 visas d’immigrant et a reçu 8 384 demandes d’immigration (dont 6 605 dans la catégorie des travailleurs qualifiés). Pour ce qui est des demandes de non-immigrants, elle a reçu 9 015 demandes de résidence temporaire; 5 997 demandes de permis de travail temporaire; et 4 665 demandes de permis d’études. Environ 70 % des demandes d’immigration reçues sont destinées au Québec. Les revenus liés au recouvrement des coûts en 2002 s’élevaient à quelque 11 millions de dollars.

2.0 RÉSULTATS DE LA VÉRIFICATION ET RECOMMANDATIONS

2.1 FONCTION DE GESTION

Nous avons constaté que le programme d’immigration de la mission de Paris a bénéficié d’une équipe de gestion hautement expérimentée. Le gestionnaire du programme d’immigration (GIP) est en affectation à Paris depuis six ans et comprend très bien l’environnement dans lequel il travaille. La direction a établi de très bonnes relations de travail avec d’autres programmes de l’ambassade, des intervenants externes comme le Service de l’immigration du Québec, et la direction géographique. Des processus de communication interne efficaces sont en place et il y a une étroite collaboration entre les membres de l’équipe de gestion.

Les plans de travail et les objectifs de la mission de Paris reflètent les priorités de la Région internationale et les objectifs stratégiques du Ministère.

Nous avons constaté que la direction et le personnel se sont dotés de divers outils et pratiques pour les aider dans leurs activités quotidiennes, notamment des lettres types pour améliorer la communication avec les clients; un site Web personnalisé à l’intention de certains groupes de clients; et un système de messagerie vocale pour les clients. La mission a également préparé des séances de formation à l’intention des intervenants externes, comme le SCRS, la GRC et le SIQ, au sujet de la LIPR et des exigences qui en découlent. De plus, la mission a offert une formation intensive en cours d’emploi à tout le personnel responsable du programme d’immigration.

La direction a aussi d’excellentes capacités dans de nombreux autres domaines clés : l’imputabilité pour la prise de décision a été clairement définie, et nous avons noté que des renseignements détaillés sont disponibles aux fins de prise de décision et de production des rapports de rendement. Finalement, un certain nombre de mesures transitoires étaient en place en vue du renouvellement des employés occupant des postes clés, prévu au cours de 2003. Nous avons donc conclu que la mission est bien gérée et n’avons aucune recommandation à faire au sujet de la fonction de gestion.

2.2 GÉRER LA CHARGE DE TRAVAIL

L’examen que nous avons fait des dossiers nous a permis de conclure que les cas d’immigrant et de non-immigrant sont très bien gérés. Pour tous les cas de notre échantillon, la mission avait respecté les normes concernant le délai de traitement. La direction surveillait de près le traitement des cas et la mission de Paris a atteint tous ses objectifs. Les dossiers étaient en ordre et complets. L’examen des dossiers nous a donné une bonne idée de la façon dont le programme est géré.

Nous avons toutefois identifié trois problèmes concernant l’utilisation du Système de traitement informatisé des dossiers d’immigration (STIDI) : formation inadéquate; accès non approprié à un certain nombre de fonctions du système; et mauvaise connaissance du Guide du gestionnaire du STIDI.

2.2.1 Formation sur le STIDI

Au moment d’effectuer la vérification, le gestionnaire du STIDI n’avait pas reçu une formation appropriée à l’intention des gestionnaires du STIDI. Les nouveaux gestionnaires du STIDI doivent recevoir une formation à Ottawa ou être formés par le gestionnaire qu’ils remplacent. Bien que les problèmes concernant la formation du gestionnaire du STIDI du bureau de Paris aient été réglés, nous étions préoccupés par le fait que le gestionnaire du STIDI n’a pas reçu une formation adéquate dès le début. Le manque de formation a fait en sorte qu’il dépendait beaucoup de l’opérateur du STIDI recruté sur place, à qui la mission avait délégué des responsabilités considérables. Nous avons constaté que certaines des pratiques découlant de cette relation de dépendance avaient toujours cours dans la mission. Ces pratiques comportent un degré de risque, comme nous en faisons mention au point 2.2.2 ci-dessous.

(1) Recommandation
Chaque fois qu’un nouveau gestionnaire du STIDI est nommé pour une affectation, la Région internationale, en collaboration avec la DGGTI, doit s’assurer qu’il reçoit la formation appropriée à ce poste.

Réponse de la direction
Il n’est pas toujours possible de dire qui occupera le poste de gestionnaire du STIDI avant une affectation. On attribue parfois cette responsabilité un an après l’arrivée d’une personne dans la mission et certaines personnes sont permutées. La RI et la DGGTI travailleront ensemble pour élaborer une trousse de formation à l’intention des personnes nommées à l’avance. Des ateliers pour les gestionnaires du STIDI seront tenus à titre de formation supplémentaire. Le guide sur le STIDI sera également mis à jour pour clarifier certaines fonctions, comme la création d’un compte dans le STIDI.

2.2.2 Accès aux fonctions du STIDI

Divulgation non autorisée du mot de passe

Le STIDI est le principal système de traitement des demandes d’immigration dans les missions canadiennes. Par conséquent, l’accès au système et à ses fonctions doit être rigoureusement contrôlé. Il est essentiel, pour savoir qui utilise le STIDI et à quelles fins, d’assurer un contrôle rigoureux du mot de passe des gestionnaires du STIDI. À la mission de Paris, nous avons remarqué qu’un ERP, l’opérateur du STIDI pour la mission, avait accès à ce mot de passe. Pour des raisons de sécurité, l’accès au mot de passe aurait dû avoir été limité à un certain nombre d’agents canadiens puisque seuls les citoyens canadiens ayant une autorisation de sécurité de niveau secret peuvent avoir accès au système.

Nous n’avons trouvé aucune preuve qu’une personne aurait pu abuser du système. Toutefois, selon nous, le fait de divulguer un mot de passe d’une telle importance à un ERP (aussi compétent soit-il) introduit le risque de rendre un système de traitement clé vulnérable à l’usage abusif. Le risque est accru par le fait que l’ERP opérateur du STIDI est physiquement à l’écart de son superviseur parce qu’il travaille sur un autre étage.

(2) Recommandation
Le gestionnaire du programme d’immigration doit s’assurer que le mot de passe du gestionnaire du STIDI n’est divulgué qu’aux agents canadiens qui sont citoyens canadiens et qui ont l’autorisation de sécurité exigée de niveau secret.

Réponse de la direction
L’accès au mot de passe du gestionnaire du STIDI est maintenant restreint exclusivement aux agents canadiens qui sont citoyens canadiens et qui ont l’autorisation de sécurité exigée de niveau secret.

Comptes d’utilisateur à accès trop élevé

Nous avons constaté que 16 des 42 ERP de la mission avaient accès à des fonctions du STIDI au-delà du niveau décisionnel exigé par leur poste. Ils avaient en effet accès à des fonctions autres que celles dont ils devaient avoir accès pour effectuer leur travail conformément à la description de travail et au niveau de sécurité.

Tous les membres du personnel ont un compte et un profil d’utilisateur qui définissent le niveau décisionnel — c.-à-d. les fonctions du STIDI auxquelles ils ont accès. Il incombe au gestionnaire du STIDI de contrôler les comptes d’utilisateur et de s’assurer que les employés n’ont accès qu’aux fonctions dont ils ont besoin pour effectuer leur travail. Nous avons toutefois remarqué que certains comptes d’utilisateur n’étaient pas conformes aux bonnes pratiques de gestion du risque présentées dans le Guide sur la détermination des risques — intégrité du programme préparé par la Région internationale. Par conséquent, certains employés avaient accès à des fonctions de traitement des demandes de visa au-delà de leur compétence. Par exemple, ils pouvaient accéder à des fonctions qui leur permettaient de refuser, de délivrer ou d’imprimer à nouveau des visas de résident temporaire ou permanent. Le fait de donner un tel accès à ces employés introduit le risque qu’une personne non autorisée prenne une décision relativement à une demande de visa, ou ait accès à des renseignements confidentiels contenus dans les bases de données de l’immigration.

Nous n’avons trouvé aucune preuve qu’une personne aurait pu abuser du système. Néanmoins, cette question est préoccupante en raison de la possibilité qu’un tel abus soit commis.

Cette situation est due, en partie, à certaines caractéristiques du STIDI lui-même et à l’ajout d’un certain nombre de fonctions rendant les comptes d’utilisateur difficiles à administrer et chronophages. Comme nous en avons fait mention au point 2.2.3, une autre cause serait les lacunes dans le contenu et la présentation des renseignements sur les comptes d’utilisateur dans le Guide du gestionnaire du STIDI, préparé par la Direction générale de la gestion et des technologies de l’information (DGGTI).

(3) Recommandation

a) Le gestionnaire du programme d’immigration doit identifier les risques potentiels propres à la mission et pouvant affecter l’intégrité du programme, et ce, en remplissant et en mettant à jour annuellement, avec l’aide du gestionnaire du STIDI, le Guide sur la détermination des risques — intégrité du programme. Ce guide énonce les responsabilités de la direction concernant les divers domaines de risque dans la mission, comme la sécurité du STIDI.

b) Le gestionnaire du STIDI doit prendre des mesures pour s’assurer que les employés n’ont accès qu’aux fonctions du STIDI correspondant à leur niveau décisionnel.

Réponse de la direction

a) Le gestionnaire du programme d’immigration p.i. a rempli le Guide sur la détermination des risques — intégrité du programme le 30 mai 2003. Le nouveau gestionnaire du programme d’immigration, qui est arrivé au cours de l’été 2003, a accepté l’entière responsabilité concernant la sécurité du STIDI, et s’assurera que tous les problèmes y étant liés sont réglés dans la mission. De plus, le 10 juin 2003, la Région internationale (AC) a fait parvenir des directives à toutes les missions pour souligner l’importance d’avoir des mesures adéquates en place en ce qui a trait à l’intégrité du programme et l’identification des risques, notamment les niveaux décisionnels pour le STIDI, le contrôle des documents clés et la surveillance du recouvrement des coûts.

b) Le personnel de la mission n’a accès qu’aux fonctions du STIDI correspondant au niveau décisionnel de chaque employé. Cet élément a fait l’objet d’une révision dans le cadre de l’exercice mentionné au point a) qui consistait à remplir le Guide sur la détermination des risques — intégrité du programme.

2.2.3 Guide du gestionnaire du STIDI : qualité

Le guide est le principal outil de l’AC pour les gestionnaires du STIDI. Nous sommes d’avis que les renseignements y figurant sur la création d’un compte d’utilisateur et l’établissement du niveau décisionnel pour accéder à certaines fonctions du STIDI, étaient désuets et incomplets. D’autres parties du guide semblaient contredire ou ne pas être conformes au Guide sur la détermination des risques — intégrité du programme de la Région internationale (RI). Ce document de la RI a été conçu pour aider les gestionnaires de programme à identifier les risques propres à la mission et pouvant affecter l’intégrité du programme d’immigration.

Nous avons constaté que, puisque le STIDI a évolué depuis sa mise en service au milieu des années 1980, d’autres fonctions ont été ajoutées au système et que divers niveaux décisionnels ont été associés à ces fonctions. Le Guide du gestionnaire du STIDI ne couvre cependant pas toutes les nouvelles fonctions et les niveaux décisionnels connexes. Nous avons donc conclu que les imprécisions dans le contenu et la présentation du guide ont contribué à la naissance des problèmes associés aux comptes d’utilisateur, comme nous l’avons mentionné plus haut.

Les problèmes de qualité liés aux directives à l’intention des gestionnaires du STIDI ajoutent à la difficulté à laquelle ces derniers doivent faire face au sujet de la gestion des comptes d’utilisateur dans les missions à l’étranger. Toute anomalie dans la surveillance de ces comptes introduit un risque potentiel pour l’intégrité du programme d’immigration.

En février 2003, l’équipe de vérification a demandé à la DGGTI de confirmer le niveau décisionnel requis pour avoir accès à diverses fonctions du STIDI. Ces renseignements — en plus d’autre matériel contenu dans le Guide sur la détermination des risques — intégrité du programme — seraient donc ajoutés au Guide du gestionnaire du STIDI pour aider les gestionnaires du STIDI à surveiller les comptes d’utilisateur et à établir les niveaux décisionnels. La DGGTI se penche présentement sur cette question.

(4) Recommandation
La DGGTI et la Région internationale doivent collaborer pour s’assurer que les gestionnaires du STIDI sont au courant des niveaux décisionnels associés aux diverses fonctions du système.

Réponse de la direction
Une nouvelle version du Guide du gestionnaire du STIDI, incluant les changements apportés concernant les niveaux décisionnels, a été affichée le 29 mai 2003 sur CIC Explore. La DGGTI et la RI continueront de travailler ensemble pour peaufiner le guide du STIDI au besoin.

2.3 INTÉGRITÉ ET CONFORMITÉ DU PROGRAMME

2.3.1 Transition vers la Loi sur l’immigration et la protection des réfugiés

La mise en oeuvre de la LIPR a entraîné des défis opérationnels de taille pour les missions. Néanmoins, notre examen des dossiers nous a révélé que la mission de Paris a géré la transition avec compétence, et que le personnel appliquait adéquatement les dispositions de la nouvelle loi. Certains éléments semblaient indiquer que les nouvelles procédures concernant le passeport des clients demandent plus de ressources pour la mission. Au moment d’effectuer la vérification, il était trop tôt pour évaluer comment la mission applique les nouveaux critères de sélection pour les travailleurs qualifiés. Le peu de renseignements disponibles lors de la vérification nous ont toutefois paru favorables.

2.4 RECOUVREMENT DES COÛTS

Notre vérification nous a permis de conclure de la fonction de recouvrement des coûts (RC) était généralement bien gérée dans la mission. Nous avons cependant suggéré certaines mesures pour accroître les contrôles et réduire les risques dans la mission.

Une autre question devant être réglée est l’absence de procédures officielles pour surveiller la fonction de RC, et de documentation concernant les résultats des contrôles.

L’ARC doit officiellement surveiller le processus de RC pour s’assurer que tous les droits pour le recouvrement des coûts pour le programme d’immigration sont correctement comptabilisés. Notre vérification nous a révélé que l’ARC surveille tous les aspects du processus de RC. Nous n’avons cependant trouvé que peu de renseignements dans les dossiers de l’ARC faisant état d’activités de surveillance ou des résultats de telles activités. L’ARC a fourni des exemples de procédures officielles d’échantillonnage aux fins de contrôles ultérieurs. La charge de travail a cependant retardé son travail à ce sujet.

(5) Recommandation
La mission de Paris doit établir des procédures officielles pour surveiller la fonction de recouvrement des coûts, et documenter les résultats de ses activités de contrôle.

Réponse de la direction
Des procédures officielles pour surveiller la fonction de recouvrement des coûts ont été établies et mises en place, notamment un test de vérification mensuel. La RI a reçu copie de ces procédures. Le gestionnaire du programme d’immigration (GIP) comprend et assume la responsabilité de superviser l’ARC et de s’assurer que les activités de contrôle sont documentées.

À noter également la réponse de la direction à la recommandation n^o 3, réf. 2.2.2 : le 10 juin 2003, la RI a transmis à toutes les missions les directives concernant le contrôle de la fonction de recouvrement des coûts.

2.5 CONTRÔLE DES DOCUMENTS CLÉS

La mission a géré cette fonction de façon efficace et nous n’avons remarqué aucune anomalie importante. Nous avons fait quelques suggestions concernant de légères améliorations que la mission pourrait apporter.

2.6 GESTION DES RESSOURCES HUMAINES

Nous avons examiné les pratiques de gestion des ressources humaines en ce qui a trait à la formation et au perfectionnement, à l’évaluation annuelle du rendement et au recours aux heures supplémentaires et aux contrats ou au personnel d’urgence.

La plupart des efforts déployés au cours de la dernière année pour la formation visaient à préparer et à offrir la formation sur la LIPR à tout le personnel du programme d’immigration. De façon générale, les besoins en formation font l’objet d’une discussion dans le cadre du processus d’évaluation annuelle ou sont soulevés par les employés. Plusieurs des ERP que nous avons interrogés ont indiqué qu’ils souhaiteraient pouvoir suivre davantage de formation. La direction était au courant de leurs besoins. En nous basant sur le modèle de formation sur la LIPR, nous avons suggéré à la mission d’élaborer chaque année un plan de formation officiel pour faire un suivi des besoins en formation et indiquer quelles mesures seront prises pour y répondre. Ce plan inclurait les besoins en formation pour le personnel de relève en ce qui concerne notamment, le recouvrement des coûts et les documents clés.

Nous avons constaté que le processus d’évaluation était opportun et permettait aux gestionnaires, superviseurs et employés d’obtenir de bons commentaires sur leur rendement. En ce qui a trait aux heures supplémentaires et au personnel supplémentaire, nous avons remarqué que le bureau est en mesure de gérer les opérations selon une politique d’aucune heure supplémentaire pour les ERP, même si des employés d’urgence sont embauchés pour faire face aux variations saisonnières de la charge de travail qui ont principalement lieu au cours de l’été.

2.7 GESTION DU RISQUE ET ASSURANCE DE LA QUALITÉ

Lors de la vérification, nous avons examiné les pratiques de gestion du risque et d’assurance de la qualité. Les pratiques de gestion du risque sont très évidentes au sein de l’unité de contrôle. Nous avons suggéré à la direction d’adopter une approche d’évaluation du risque dans le domaine du recouvrement des coûts afin de contrer les risques liés aux échecs du PDS+, et de déterminer le niveau de contrôle approprié pour la fonction.

La mission de Paris effectue des contrôles non officiels continus et des exercices précis pour vérifier la qualité de la prise de décision. Certains des éléments ciblés en matière d’assurance de la qualité comprennent les demandes émanant de l’extérieur, les requêtes de renseignements supplémentaires et l’uniformité des taux de refus. Le GIP a également indiqué qu’il était nécessaire d’établir un cadre national d’assurance de la qualité, comprenant des directives pour accroître les efforts limités actuels que la mission est présentement en mesure de déployer. On a donné suite à ce dernier élément en mai 2003 avec la mise en application du cadre d’assurance de la qualité et de lutte antifraude de la RI. Ce cadre vise à donner des conseils et à appuyer le réseau de traitement à l’étranger.

2.8 SUIVI DE LA VÉRIFICATION DE 1995

La portée de la vérification faisant l’objet du présent rapport comprenait un suivi pour évaluer les mesures prises par la mission dans le but de donner suite aux recommandations que nous lui avions faites dans le cadre de notre vérification de 1995. Nous avons constaté que la mission avait réglé la plupart des problèmes soulevés à l’époque, mais que certains aspects méritaient encore que l’on s’y attarde. Le suivi met principalement l’accent sur le recouvrement des coûts et les documents clés.

En ce qui concerne le recouvrement des coûts, nous avons constaté qu’il n’y avait toujours pas de procédures officielles de contrôle pour cet aspect (voir la section 2.4). Certains employés ont encore besoin de formation, notamment l’ARC de remplacement lorsqu’il est affecté à cette tâche, ou lorsque les procédures changent.

Pour ce qui est des documents clés, nous avons encore une fois remarqué qu’il n’y avait pas toujours deux agents canadiens présents lors de la destruction des documents clés. L’agent de contrôle des formulaires est maintenant au courant de cette situation.

(6) Recommandation
Deux agents canadiens doivent être présents lors de la destruction de documents clés.

Réponse de la direction
Le GIP et le personnel sont au courant de cette exigence et une procédure a été mise en place à ce sujet.

À noter également la réponse de la direction à la recommandation n^o 3, réf. 2.2.2 : le 10 juin 2003, la RI a envoyé à toutes les missions des directives concernant le contrôle des documents clés.

Annexe A : Plan d’action de gestion