Vérification du Programme de la sécurité du personnel

Rapport épuré

Juillet 2016

Ce rapport fut revu en considération de la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Certaines parties du texte comprises dans ces documents ne peuvent pas être publiées et sont identifiées comme suit : [ *** ]; l'information publiée est NON-CLASSIFIÉE.

Table des matières

  1. Sigles et abréviations
  2. Sommaire
  3. Réponse de la direction
  4. 1. Contexte
  5. 2. Objectif, portée, méthode et énoncé de conformité
  6. 3. Constatations
  7. 4. Conclusion
  8. 5. Recommandations
  9. Annexe A – Objectif et critères de vérification
  10. Annexe B – Aperçu du processus de triage
  11. Annexe C – Résultats détaillés de l'examen des dossiers

Sigles et abréviations

ASM
Agent de la sécurité ministérielle
CFG
Cote de fiabilité de la GRC
CT
Conseil du Trésor
DGSM
Directive sur la gestion de la sécurité ministérielle
DPI
Dirigeant principal de l'Information
DPRH
Dirigeant principal des Ressources humaines
EMS
État-major supérieur
ETP
Équivalent temps plein
GRC
Gendarmerie royale du Canada
NFS
Norme sur le filtrage de sécurité
PSG
Politique sur la sécurité du gouvernement
PSM
Plan de sécurité ministérielle
PVR
Plan de vérification axé sur les risques
SDSM
Sous-direction de la sécurité ministérielle
SEDSI
Services en direct de sécurité industrielle
SGAS
Système de gestion des accréditations de sécurité
SIGRH
Système d'information sur la gestion des ressources humaines
SII
Système intégré d'information
SNGDA
Système national de gestion des dossiers administratifs
SPS
Services de police spécialisés
SSM
Section de la sécurité ministérielle
TI
Technologies de l'information

Sommaire

En sa qualité de service de police national du Canada, la Gendarmerie royale du Canada (GRC) doit assurer l'intégrité de près de 30 000 employés, 25 000 entrepreneurs et plus de 17 000 bénévoles dans au-delà de 700 collectivités partout au Canada. Elle s'acquitte de cette responsabilité en effectuant un triage sécuritaire approprié avant leur entrée en fonction et en faisant périodiquement des vérifications de mise à jour par la suite.

Ces dernières années, le Programme de la sécurité ministérielle a eu de la difficulté à fournir le niveau de service attendu en raison de contraintes financières qui se sont accompagnées d'une hausse de la demande après la mise en œuvre de Services partagés Canada, du nouveau Service de protection parlementaire et de l'initiative nationale d'intensification du recrutement de membres réguliers. Pour accroître l'efficience de son programme de triage sécuritaire et assurer la satisfaction des exigences opérationnelles, la Sous-direction de la sécurité ministérielle (SDSM) a donc apporté un certain nombre de modifications au processus et se penche actuellement sur d'autres améliorations possibles.

La vérification du Programme de la sécurité du personnel effectuée en 2011 a révélé que le processus de triage sécuritaire du personnel de la GRC manquait de rigueur. De plus, il était difficile d'évaluer l'atteinte des objectifs de ce processus en raison du manque de surveillance et de supervision à son égard et de la structure hiérarchique en place à l'époque. ***.

La vérification de cette année a confirmé la réalisation de certains progrès; par exemple, le processus est maintenant appliqué plus rigoureusement, il a fait l'objet de plusieurs mesures visant à améliorer son efficience, et la tolérance au risque est mieux définie et communiquée. ***. Des améliorations s'imposent à ces égards afin de favoriser la prestation efficace et efficiente du programme de triage sécuritaire.

Les vérificateurs ont observé plusieurs problèmes relatifs à la ***. La SDSM est consciente des problèmes à ce chapitre et travaille à améliorer la saisie des données sur le rendement. Malgré les obstacles en question, l'examen des dossiers et l'analyse des données disponibles sur le programme ont permis de relever plusieurs possibilités d'optimisation du processus.

La réponse de la direction incluse dans le présent rapport témoigne de la détermination des cadres supérieurs à donner suite aux conclusions et recommandations issues de la vérification. La direction s'emploie d'ailleurs à élaborer un plan d'action détaillé en ce sens. Lorsqu'il sera approuvé, la Vérification interne de la GRC surveillera sa mise en œuvre et fera, au besoin, une vérification de suivi.

Réponse de la direction

Les Services de police spécialisés (SPS) souscrivent aux recommandations issues de la vérification du Programme de la sécurité du personnel ***. Ils considèrent également l'optimisation et la normalisation des méthodes de fonctionnement ainsi que la mise en œuvre d'un cadre national de supervision et de mesure du rendement comme des éléments essentiels à la prestation réussie du programme.

Dans cette optique, les SPS ont entrepris, avant même que la vérification soit terminée, des démarches importantes qui visent à corriger les problèmes de supervision du programme en mettant l'accent sur la normalisation des méthodes de fonctionnement pour améliorer la gouvernance à l'échelle nationale. Ils sont toutefois conscients du fait qu'il reste beaucoup à faire. Bon nombre des problèmes relevés lors de la vérification étaient bien connus et figurent parmi les priorités énoncées dans le Plan de sécurité ministérielle (PSM) de la GRC pour 2015-2018. Les SPS ont d'ailleurs commencé à mettre en œuvre le PSM et les technologies de l'information (TI) nécessaires à son exécution. Ils continueront également à collaborer avec les principaux intéressés et avec l'État-major supérieur (EMS) afin de cerner les coûts du programme et de mettre en œuvre un modèle de financement qui tient compte des priorités, de la tolérance au risque et des capacités de l'organisation.

Les SPS poursuivront leurs efforts pour donner suite aux recommandations pendant les deux prochains exercices, comme le prévoit le PSM. Un plan d'action détaillé à l'égard de ces recommandations sera soumis au Comité ministériel de vérification avant sa prochaine réunion.

Le sous-commissaire aux SPS,
Peter Henschel

1. Contexte

En sa qualité de service de police national du Canada, la GRC doit assurer l'intégrité de près de 30 000 employés, 25 000 entrepreneurs et plus de 17 000 bénévoles dans au-delà de 700 collectivités partout au Canada. Elle s'acquitte de cette responsabilité en effectuant un triage sécuritaire approprié avant leur entrée en fonction et en faisant périodiquement des vérifications de mise à jour par la suite.

Le processus de triage sécuritaire de la GRC est assujetti aux exigences énoncées dans trois documents du Conseil du Trésor (CT), soit la Politique sur la sécurité du gouvernement (PSG), la Directive sur la gestion de la sécurité ministérielle (DGSM) et, depuis le 20 octobre 2014, la Norme sur le filtrage de sécurité (NFS), qui a remplacé de la Norme sur la sécurité du personnel entrée en vigueur le 9 juin 1994. La NFS établit les nouvelles activités de filtrage approfondi exigées des ministères et des organismes qui remplissent ou appuient de façon directe des fonctions de sécurité et de renseignement. L'annexe B de la NFS (Modèle et critères de filtrage de sécurité) présente les activités de filtrage ordinaire et de filtrage approfondi. Elle prévoit la consultation de sources ouvertes pour toutes les habilitations de sécurité exigeant un filtrage approfondi et la réalisation d'un test polygraphique pour la cote Très secret approfondi. La NFS prévoit une période de mise en œuvre de 36 mois, ce qui signifie que les ministères et les organismes ont jusqu'en octobre 2017 pour s'y conformer. La GRC a par ailleurs diffusé à l'échelle nationale sa politique et ses procédures internes relatives au triage sécuritaire en les publiant dans son Manuel de la sécurité.

La NFS décrit le filtrage de sécurité comme une pratique fondamentale qui est au cœur de la PSG et qui permet d'établir et de maintenir une relation de confiance au sein du gouvernement, entre le gouvernement et les Canadiens ainsi qu'entre le Canada et d'autres pays.

Selon la PSG, il incombe au commissaire, à titre d'administrateur général, d'assurer la mise en œuvre et la gouvernance efficaces des activités de gestion de la sécurité et de l'identité au sein de la GRC. Le commissaire doit désigner un ASM qui assumera la responsabilité fonctionnelle de la gestion du Programme de sécurité ministérielle. À la GRC, cette responsabilité est confiée au directeur général de la SDSM.

La DGSM vise à assurer la gestion efficiente, efficace et responsable de la sécurité dans les ministères. Elle prévoit la coordination centralisée des activités de sécurité ministérielle et leur intégration systématique aux opérations courantes afin que les personnes, les informations, les biens et les services soient protégés. De plus, elle définit les rôles et les responsabilités des employés qui appuient l'administrateur général de leur ministère dans la gestion de la sécurité ministérielle.

Le Programme de la sécurité du personnel de la GRC assure la fiabilité et l'habilitation de sécurité des personnes qui ont accès aux systèmes d'information, aux données et aux biens matériels de l'organisation en les soumettant au processus de triage sécuritaire de la GRC, qui appuie l'attribution, le refus, la suspension ou la révocation de la cote de fiabilité de la GRC (CFG) et, si le poste l'exige, de la cote de sécurité Secret ou Très secret.

Les activités de triage sécuritaire de la GRC sont exercées et soutenues dans l'ensemble du pays par la SDSM et quatre sections de la sécurité ministérielle (SSM), qui se trouvent à Vancouver, Regina, Halifax et Ottawa. Le processus de triage sécuritaire comporte plusieurs étapes, y compris des vérifications quant aux études, aux emplois, à la solvabilité et au casier judiciaire ainsi que la conduite d'entrevues et d'enquêtes sur le terrain. Lorsqu'une CFG ou une cote de sécurité expire, elle doit être mise à jour pour que sa durée de validité soit prolongée. Un aperçu du processus est présenté à l'Annexe B.

En 2014, la SDSM a signalé que les habilitations de sécurité en attente de mise à jour continuaient à s'accumuler et que la lenteur des activités de triage requises pour les nouveaux employés, les employés faisant l'objet d'un détachement et les employés occasionnels (entrepreneurs) causait des problèmes considérables aux gestionnaires recruteurs dans toute l'organisation. Les retards dans le processus de triage ont une incidence sur les opérations et l'établissement de partenariats; ils peuvent aussi entraîner l'annulation de fonds octroyés dans le cadre de contrats, faire subir des pénalités à la GRC pour cause de manquement à ses obligations contractuelles et amener des postulants qualifiés à accepter un emploi ailleurs.

Dans une analyse de rentabilisation publiée en 2015 sur la transformation du programme national de la Sécurité ministérielle (Transforming the National Departmental Security Program), la SDSM a noté que le délai moyen nécessaire à l'attribution d'une cote de fiabilité variait beaucoup d'une division à l'autre, soit de 17 à 52 semaines, alors que la norme de service établie par la SDSM prévoit un délai de 8 à 10 semaines. L'analyse de rentabilisation mentionne aussi que les besoins en triage sécuritaire ont beaucoup augmenté depuis que le gouvernement du Canada a regroupé ses services (en matière de TI et de rémunération entre autres), que le nombre de cadets recrutés par la GRC est passé de 320 à 960 par année en 2014 et qu'une importance accrue est accordée aux mesures de sécurité devant l'émergence de nouvelles menaces.

En 2011, la Vérification interne de la GRC a effectué un audit du Programme de la sécurité du personnel. Les conclusions suivantes en sont ressorties : il fallait accroître la rigueur du processus de triage sécuritaire, la supervision et la surveillance de ce processus étaient insuffisantes, et le niveau de tolérance au risque des cadres supérieurs était insuffisamment communiqué et compris.

En avril 2014, le commissaire a approuvé la réalisation d'un autre audit du Programme de la sécurité du personnel dans le cadre du Plan de vérification axé sur les risques (PVR) pour 2014-2017. Selon ce qui était prévu dans le PVR, cet audit devait s'accompagner d'un suivi pour évaluer la mise en œuvre du plan d'action élaboré par la direction en réponse aux recommandations formulées au terme de la vérification effectuée en 2011.

2. Objectif, portée, méthode et énoncé de conformité

2.1 Objectif

La vérification avait pour objectif d'évaluer l'efficience et l'efficacité des modalités de triage sécuritaire afin de déterminer si elles étaient conformes à la PSG et à la NFS, si elles étaient rationalisées et si elles s'accomplissaient dans un délai raisonnable.

2.2 Portée

La vérification a porté sur les modalités et les activités de filtrage qui avaient cours à la Direction générale et dans les SSM régionales à l'égard des membres réguliers, des membres civils, des employés de la fonction publique et des entrepreneurs. La vérification a compris également un examen indépendant des modalités de triage sécuritaire, y compris des initiatives d'examen et de schématisation entreprises à leur égard par la SDSM, afin de trouver des moyens possibles d'accroître l'efficience sans augmenter de façon indue les risques pour la GRC, tout en assurant la conformité à la PSG et à la NFS.

Le travail accompli dans le cadre de la vérification a également permis de faire l'évaluation et le compte rendu de l'état d'avancement du plan d'action dressé par la direction après la vérification de 2011.

2.3 Méthode

La planification de la vérification s'est terminée en juillet 2015. Durant cette phase, l'équipe de vérification a tenu des entrevues, procédé à une revue générale des modalités en vigueur et examiné les politiques, les directives et les procédures pertinentes ainsi que les résultats d'examens antérieurs.

Les sources utilisées pour élaborer les critères de vérification comprennent les politiques du CT et de la GRC. L'objectif et les critères de vérification sont énoncés à l'Annexe A.

Pendant la phase d'examen, qui s'est terminée en mars 2016, les vérificateurs ont employé diverses techniques, notamment des entrevues, des examens de la documentation et des dossiers, des analyses ainsi que des activités d'observation physique. Ils ont fait des visites sur place dans chacune des quatre SSM et à la SDSM. Après la phase d'examen, l'équipe de vérification a tenu des réunions afin de valider ses constatations auprès du personnel et a présenté les conclusions pertinentes à la haute direction.

2.4 Énoncé de conformité

La mission de vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en font foi les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations

La vérification du Programme de la sécurité du personnel effectuée en 2011 a révélé que le processus de triage sécuritaire de la GRC ***. Les vérificateurs ont également constaté qu'il était difficile de déterminer si le processus atteignait ses objectifs en raison du manque de surveillance et de supervision à son égard et de la structure hiérarchique en place à l'époque. ***.

La direction a accepté les constatations et les recommandations issues de la vérification et s'est engagée à mener un examen dans le but d'accroître la rigueur du processus de triage sécuritaire. Cet examen devait inclure des consultations visant à établir une structure hiérarchique appropriée. La direction a également pris l'engagement de définir sa tolérance au risque et de la communiquer par l'intermédiaire de l'EMS de la GRC, ***.

Nous nous attendions donc à ce que la nouvelle vérification révèle la prise de mesures pour améliorer de façon globale la rigueur et l'efficience du processus de triage sécuritaire, plus précisément :

  • à ce que les dossiers de sécurité soient conformes aux exigences de la NFS et du Manuel de sécurité;
  • à ce que les risques à l'égard du programme soient gérés adéquatement et à ce que la tolérance au risque de la direction ait été communiquée et comprise dans toute l'organisation;
  • à ce qu'une structure hiérarchique appropriée ait été établie et mise en œuvre;
  • à ce que des données financières sur le coût du programme soient disponibles et à ce qu'elles soient prises en compte dans les décisions relatives à la répartition des ressources;
  • à ce que le rendement du programme soit mesuré et surveillé de sorte que des améliorations puissent y être apportées au besoin;
  • à ce que les résultats du cadre de gouvernance amélioré aient permis de rationaliser le programme à l'échelle de l'organisation, de communiquer les moyens d'optimisation relevés et de les incorporer aux politiques et aux procédures connexes.

Au cours des entrevues, des examens de la documentation et des dossiers, des analyses et des activités d'observation physique menés dans le cadre de notre mission, nous avons constaté que plusieurs améliorations avaient été apportées au processus depuis la vérification de 2011, mais qu'un certain nombre de risques et de lacunes persistaient, notamment quant à la disponibilité de données fiables sur le rendement et les ressources. De plus, nos activités d'analyse et d'examen des dossiers ont révélé l'existence d'autres moyens possibles d'améliorer l'efficacité et l'efficience du processus.

3.1 Activités du programme depuis 2011

La PSG et la NFS exigent que des structures, des mécanismes et des ressources de gouvernance soient en place pour assurer la gestion efficace et efficiente de la sécurité à l'échelle ministérielle et gouvernementale, et que les services de triage sécuritaire soient efficaces, rationnels et conformes aux besoins des ministères, des organismes et de l'ensemble du gouvernement du Canada.

Le Programme de la sécurité ministérielle a éprouvé de la difficulté à fournir le niveau de service attendu en raison de contraintes financières qui se sont accompagnées d'une hausse de la demande après la mise en œuvre de Services partagés Canada, du nouveau Service de protection parlementaire et de l'initiative nationale d'intensification du recrutement de membres réguliers. Dans une analyse de rentabilisation présentée en 2015, la SDSM a noté que le délai moyen nécessaire à l'attribution d'une cote de fiabilité variait beaucoup d'une division à l'autre, soit de 17 à 52 semaines. Selon les données fournies par la SDSM et les quatre SSM, le nombre total de demandes d'habilitation de sécurité a grimpé d'environ 21 000 en 2013 à 25 121 en 2014. Le nombre de demandes observé en 2015, soit 25 258Footnote 1, est comparable à celui de l'année précédente. Les ressources affectées au programme de triage sécuritaire pendant cette période sont restées stables du point de vue des équivalents temps plein (ETP) nommés pour une durée indéterminée (dont le nombre s'établissait à environ 125 en 2014 et en 2015). Cependant, si l'on tient compte du recours aux heures supplémentaires, aux employés occasionnels et aux employés nommés pour une durée déterminée, les ressources totales affectées au programme sont passées d'environ 172 ETP en 2014 à 189 en 2015 (Figure 1)Footnote 2.

Des améliorations ont été apportées au Programme depuis la vérification de 2011.

La SDSM a réalisé des progrès en ce qui concerne certains des problèmes constatés lors de l'audit du Programme de la sécurité du personnel effectué par Vérification interne, Évaluation et Examen en 2011. Elle a accru la rigueur du processus de triage, a défini et communiqué le niveau de tolérance au risque de la direction par l'intermédiaire de l'EMS de la GRC et a déterminé puis mis en œuvre un certain nombre de moyens d'optimisation du processus.

Rigueur du processus de triage – Conformité aux exigences des politiques applicables

Les exigences et les procédures de triage sécuritaire applicables au sein de la GRC sont conformes aux exigences de la PSG et de la NFS, et sont énoncées dans le Manuel de la sécurité de la GRC.

Nous avons constaté que le personnel à tous les échelons de la hiérarchie des SSM connaissait les exigences de la NFS et du Manuel de la sécurité et que bon nombre des outils utilisés dans chaque SSM, par exemple les listes de vérification, avaient pour but d'assurer la conformité à ces documents.

En examinant un échantillon de 243 dossiers se rapportant à différents types d'habilitation de sécurité, nous avons constaté que *** SSM ***, les habilitations étaient *** conformes aux exigences de la NFS et du Manuel de la sécurité, et toutes les procédures requises avaient été suivies. Il s'agit là d'une amélioration notable par rapport aux constatations ressorties de la vérification de 2011 quant à la conformité du processus.

Comme il a déjà été mentionné, la NFS du CT a établi des exigences quant à la consultation de sources ouvertes et à la réalisation de tests polygraphiques dans le cadre des activités de filtrage approfondi, et ces exigences prendront effet en octobre 2017. ***.

PSM, détermination de la tolérance au risque et communication de celle-ci

La PSG et la DGSM décrivent l'exigence selon laquelle les ministères doivent constamment évaluer les risques pour la sécurité, les menaces et les facteurs de vulnérabilité et mettre en œuvre des contrôles internes adéquats afin d'assurer une adaptation continue aux besoins changeants du ministère et du contexte opérationnel. Il a été recommandé, dans le rapport de vérification de 2011, que le niveau de tolérance au risque des cadres supérieurs soit déterminé et communiqué afin qu'il soit bien compris et appliqué de manière uniforme à l'échelle du programme.

En juillet 2015, le commissaire a approuvé le premier PSM triennal de la GRC. Ce plan, qui est conforme aux exigences énoncées dans les politiques du CT, décrit la gouvernance de la sécurité au sein de l'organisation et définit les rôles et les responsabilités du commissaire, de l'ASM et des SSM, entre autres intervenants. On peut y lire que l'autorité fonctionnelle à l'égard du Programme de la sécurité ministérielle revient à l'ASM et que les responsabilités de ce dernier incluent explicitement la mise en œuvre de contrôles et de modalités de sécurité permettant de gérer de façon systématique les risques pour la sécurité du ministère et les activités nécessaires à la réalisation des objectifs et des priorités du PSM.

Nous avons constaté que la SDSM avait effectué une évaluation rigoureuse des risques pour la sécurité auxquels la GRC était exposée (y compris les risques liés au programme de triage sécuritaire) dans le cadre de l'élaboration récente du PSM. La SDSM se base sur les résultats de cette évaluation pour déterminer ses priorités des trois prochaines années, tout en reconnaissant que les risques continueront à évoluer.

La SDSM a également cherché à donner suite à la recommandation formulée dans le rapport de vérification de 2011 en menant des consultations internes et externes qui visaient à déterminer les catégories de risques pour la sécurité et qui ont mené à l'élaboration d'un outil décisionnel intitulé Catégories de risques pour la sécurité à la GRC : Indicateurs, facteurs atténuants et tolérances. Ce guide a pour but d'aider les analystes de la sécurité du personnel, les enquêteurs, les gestionnaires des risques et les décideurs à appliquer uniformément les facteurs de risque pendant le processus d'attribution et de renouvellement de la CFG et des cotes de sécurité. Les indicateurs de risque, les facteurs d'atténuation et les niveaux organisationnels de tolérance au risque qui sont présentés dans le document se fondent sur de vastes activités de recherche et de consultation auprès d'organisations partenaires au Canada et à l'étranger ainsi que sur l'analyse de plus de 1 000 dossiers d'habilitation sécuritaire faisant état de renseignements défavorables.

En date d'avril 2016, le guide était encore à l'état d'ébauche et n'avait été approuvé qu'à titre d'outil pour les habilitations de sécurité des membres réguliers. Le jugement des intervenants sera toujours un facteur dans les décisions relatives aux habilitations de sécurité, mais lorsque le guide sera entièrement approuvé et plus largement diffusé, la SDSM estime qu'il aidera à mieux faire comprendre la tolérance au risque de la haute direction et qu'il fournira des consignes suffisantes aux SSM pour leur permettre d'évaluer les risques de manière plus uniforme.

Moyens d'optimisation relevés et mis en œuvre par la SDSM

Lors de son évaluation des activités qui pouvaient faire l'objet d'une gestion des risques afin d'accroître l'efficience du programme de triage sécuritaire, la SDSM a trouvé et adopté des solutions consistant par exemple à accélérer certaines nominations et à abaisser le niveau d'habilitation requis pour certains postes.

***

La NFS stipule que, dans tous les cas, le particulier doit obtenir officiellement l'habilitation requise (cote de fiabilité, cote de sécurité Secret, cote de sécurité Très secret, cote d'accès aux sites ou autorisation d'accès aux sites) avant de se voir confier des fonctions, d'être affecté à un poste ou d'obtenir l'accès à des informations, à des biens ou à des installations de nature délicate.

***

Mesures provisoires de la SDSM pour accroître l'efficience du processus

En juin 2014, comme suite à des recommandations formulées par la SDSM, l'EMS de la GRC a approuvé une série de mesures provisoires pour désengorger le processus de triage sécuritaire et réduire les délais associés aux demandes visant des postes non policiers. Ces mesures avaient pour but de rationaliser et de normaliser les exigences de triage applicables à des cas précis de manière à réduire les délais de traitement des demandes en attendant la mise en œuvre d'une stratégie de sécurité ministérielle à plus long terme. Figuraient au nombre de ces mesures :

  • une réduction du nombre de postes nécessitant la cote Très secret;
  • la rationalisation des exigences de triage applicables aux entrepreneurs engagés pour des contrats de courte durée;
  • l'accélération des réactivations et l'attribution de droits d'accès temporaires;
  • l'accélération des détachements grâce à une gestion des risques.

Les gestionnaires de la Sécurité du personnel ont fait remarquer que, même si les mesures provisoires visent à réduire les délais de traitement, leur impact sur l'efficience est dans une large mesure impossible à démontrer, vu l'absence de mécanismes pour en faire le suivi.

Des possibilités existent pour améliorer l'efficacité du programme de triage sécuritaire de la GRC.

Bien que des progrès aient été réalisés depuis la vérification de 2011 afin d'améliorer le programme de triage sécuritaire, il persiste un certain nombre de risques et de lacunes en ce qui concerne l'autorité fonctionnelle et la structure hiérarchique, les mécanismes de supervision et de surveillance ainsi que les pratiques de mesure du rendement. Des améliorations s'imposent à ces égards afin de favoriser la prestation efficace et efficiente du programme.

Autorité fonctionnelle et structure hiérarchique

Comme il a déjà été mentionné, selon le PSM de la GRC, la mise en œuvre de contrôles et de modalités visant à assurer la gestion systématique des risques pour la sécurité fait partie des responsabilités de l'ASM. Notre examen a révélé que l'ASM a eu de la difficulté à s'acquitter de cette obligation en raison de ***.

Un des problèmes soulevés pendant la vérification tient au modèle de fonctionnement selon lequel les activités de triage sécuritaire sont exercées par quatre SSM situées à Vancouver, Regina, Ottawa et Halifax, situation qui a affaibli la capacité de l'ASM à gérer le programme dans certains cas. Bien que les SSM relèvent de l'ASM sur le plan fonctionnel pour toutes les questions touchant la sécurité, elles relèvent de la gestion divisionnaire sur le plan administratif pour ce qui est de leurs activités quotidiennes et reçoivent également la majorité de leur financement de leur division d'attache.

*** lors de la vérification de 2011. ***.

Lors des entrevues effectuées pendant nos visites sur place, nous avons constaté *** d'établir les priorités du programme, de réaffecter des ressources, de mettre en œuvre des normes et des modalités et de déterminer le rendement attendu des SSM, même si le programme relève de l'autorité fonctionnelle de l'ASM selon la politique.

Certaines initiatives ont été lancées pour régler les problèmes de gouvernance, mais en date d'avril 2016, ***. Le fait de définir et de communiquer clairement l'autorité de l'ASM de déterminer l'affectation des ressources et de fixer les priorités favoriserait une gestion plus efficace du programme.

Données financières et affectation des ressources

Le modèle de financement actuel du programme de triage sécuritaire est complexe, et les données relatives à ses coûts sont limitées. Le programme n'a aucune source de financement centralisée. Les SSM reçoivent la majeure partie de leur financement de la division où elles se trouvent. Dans certains cas, elles ont obtenu des fonds supplémentaires de la part des divisions qu'elles servent (mais dont elles ne relèvent pas) ou de la SDSM pour appliquer des priorités nationales telles que la conduite d'enquêtes de sécurité en vue du recrutement de membres réguliers. Dans son analyse de rentabilisation de 2015, la SDSM a noté qu'à l'échelle nationale, environ 14 % des ETP du Programme de la sécurité du personnel étaient financés au moyen de fonds supplémentaires ou temporaires. Cette situation a créé des problèmes de dotation et une dépendance à l'égard des employés occasionnels ou nommés pour une durée déterminée. Certaines SSM ont conclu des ententes financières avec des clients afin que ces derniers financent temporairement la dotation de postes chez elles. Les titulaires des postes ainsi comblés travaillent alors exclusivement aux enquêtes de sécurité demandées par le client en question. Cette façon de procéder peut répondre à des besoins ponctuels, mais elle cause aussi un roulement permanent du personnel et exige un travail considérable pour recruter et former des employés temporaires qui risquent de poser leur candidature à un poste permanent lorsque l'occasion s'en présentera.

*** les enquêtes sur le terrain et d'en payer les coûts. ***. Selon les données fournies, les ressources affectées au programme de triage sécuritaire sont restées stables du point de vue des ETP nommés pour une durée indéterminée (dont le nombre s'établissait à environ 125 en 2014 et en 2015). Cependant, si l'on tient compte du recours aux heures supplémentaires, aux employés occasionnels et aux employés nommés pour une durée déterminée, les ressources totales affectées au programme sont passées d'environ 172 ETP en 2014 à 189 en 2015 (Figure 1).

Figure 1 - ETP affectés à la sécurité du personnel à l'échelle nationale en 2014-2015Footnote 3 (Source : SDSM et SSM)
(Les chiffres entre parenthèses tiennent compte des employés nommés pour une durée indéterminée et aussi du recours aux heures supplémentaires et aux employés occasionnels ou nommés pour une durée déterminée)
Année Service SDSM Service Atlantique Service Centre Service Nord-Ouest Service Pacifique Total % de variation
2014 4,25 (23,85) 11,85 (12,56) 37,27 (48,91) 27,45 (36,88) 43,97 (49,79) 124,79 (171,99) ---
2015 5 (31,83) 10,75 (12,42) 38,91 (41,12) 25,27 (48,58) 45,09 (54,57) 125,02 (188,52) < 1% (9,6%)

*** et les ententes ponctuelles pour l'obtention de fonds auprès des clients compliquent l'établissement de données sur les coûts. Sans données complètes et exactes sur les coûts et sans source stable de financement, il est difficile de confirmer les besoins en ressources du programme ou de répartir son budget de manière stratégique en fonction des hausses de la demande ou des nouvelles exigences comme celles qui ont été incorporées à la NFS d'octobre 2014 relativement à la consultation de sources ouvertes et à l'utilisation de tests polygraphiques. Cette situation risque aussi de faire perdre des occasions d'accroître l'efficience du programme, puisque l'ASM ne dispose pas de renseignements suffisants pour proposer des décisions stratégiques quant à la répartition des ressources.

L'obtention de données complètes et de meilleure qualité sur les coûts du programme favoriserait une répartition plus éclairée des ressources ainsi que la détermination des besoins en financement à long terme.

Surveillance et mesure du rendement

La PSG du CT exige que les administrateurs généraux veillent à la réalisation d'examens périodiques pour évaluer l'efficacité du programme de triage sécuritaire. La DGSM attribue à l'ASM la responsabilité de mesurer le rendement de façon continue afin de s'assurer que les niveaux de risque résiduels sont acceptables. La NFS exige de plus que l'ASM surveille la conformité à ses dispositions et l'efficacité des procédures et des pratiques de sécurité.

***. En réponse aux constatations issues de cette vérification, la direction s'est engagée à établir des mesures de rendement nationales et un mécanisme de surveillance continue des délais de traitement à l'échelle nationale.

À la fin de la phase d'examen, nous avons constaté que le centre de décision n'avait pas défini d'exigences précises à l'égard de l'information sur le rendement et que les SSM n'étaient pas tenues de saisir cette information et d'en faire rapport. ***.

Au cours de nos visites sur place lors de la phase d'examen, nous avons tenté d'obtenir de l'information sur le rendement auprès des différentes SSM, mais nous avons constaté que chacune d'elles fait la saisie de cette information selon des modalités et à des fins qui lui sont propres. ***. Par exemple, certaines SSM n'ont aucun employé chargé de faire l'enregistrement des nouvelles demandes d'habilitation, fonction qui peut aussi comprendre l'examen initial de ces demandes pour vérifier si elles sont complètes. Une SSM assigne les demandes d'habilitation selon le client, tandis qu'une autre les attribue aux analystes selon la catégorie d'employés, ***.

La gestion de la Sécurité ministérielle a reconnu la lacune qui persiste à cet égard et a récemment apporté une amélioration au programme; lors de la phase de compte rendu de la vérification, la SDSM a défini les exigences à respecter concernant l'information sur le rendement et a communiqué ces exigences aux quatre SSM en sa qualité de centre de décision. Elle a par ailleurs commencé à élaborer des normes de rendement nationales et à faire le suivi d'indicateurs de rendement clés pour chaque aspect du Programme de la sécurité ministérielle, y compris le Programme de la sécurité du personnel, conformément au PSM approuvé récemment.

***

Comme solution à plus long terme, la SDSM nous a fait savoir que le dirigeant principal de l'Information (DPI) de la GRC a choisi MS Dynamics comme plateforme pour le remplacement de tous les systèmes de gestion de dossiers. Le secteur du DPI fait actuellement l'essai de MS Dynamics au sein de la GRC, ***. La SDSM a examiné d'autres solutions provisoires, mais le SNGDA est le seul système de gestion de dossiers approuvé par le DPI aux fins d'utilisation temporaire.

L'établissement d'un cadre robuste pour les rapports sur le rendement aiderait la gestion de la SDSM et des SSM à établir des normes (y compris en matière de service), à surveiller le rendement, à repérer les possibilités d'optimisation et à prendre des décisions appropriées en ce qui concerne la répartition des ressources.

3.2 Possibilités d'optimisation du processus

Outre l'évaluation de la conformité à la PSG et à la NFS, la vérification avait comme objectif de déterminer les moyens possibles d'améliorer davantage l'efficience du processus sans accroître de façon indue les risques pour la GRC. Nous avons présumé, dans notre intention de faire une analyse détaillée et sérieuse du processus, que les modalités et les pratiques seraient uniformes dans toutes les SSM et que nous disposerions de données fiables sur la mesure du rendement, y compris de dossiers suffisamment détaillés pour nous permettre de déterminer clairement les délais de traitement associés à chaque étape du processus de triage, les points d'engorgement et les arriérés accumulés. Cependant, comme nous l'avons mentionné dans la section précédente, ***. La SDSM est consciente de ces problèmes et s'emploie à améliorer la saisie de l'information sur le rendement.

Des possibilités existent pour accroître davantage l'efficience du processus de triage sécuritaire.

Malgré les problèmes relatifs à la fiabilité et à la disponibilité des données sur le rendement, notre examen des dossiers et notre analyse des renseignements disponibles sur le programme ont permis de relever plusieurs moyens possibles d'accroître l'efficience du processus.

Entrevue de sécurité

Notre examen des dossiersFootnote 4a révélé que la SSM de l'Atlantique affichait en moyenne des délais de traitement plus rapides que les trois autres SSM pour tous les types d'habilitation sécuritaire (Annexe C). Selon l'explication fournie par le personnel du programme, ce résultat est notamment attribuable au fait que, dans la région de l'Atlantique, les enquêtes sur le terrain et les entrevues de sécurité sont coordonnées par le gestionnaire recruteur avant que le dossier soit envoyé à la SSM, tandis que dans les autres SSM, la coordination et la conduite des enquêtes sur le terrain et des entrevues de sécurité sont assurées par le personnel du programme de triage sécuritaire dans le cadre du processus d'habilitation. Parce que ses délais de traitement sont plus rapides, la SSM de l'Atlantique affiche un taux de règlement de dossiers plus élevé par ETP que les trois autres SSM (Figure 2).

En général, le délai de traitement global observé pour les SSM des régions du Centre, du Nord-Ouest et du Pacifique comprend le temps nécessaire à la conduite l'entrevue de sécurité ainsi que le temps d'attente préalable à sa tenue et le temps de traitement de ses résultats, qui peut être assez long, d'après ce que nous a dit le personnel du programme.

Figure 2 - Nombre total de triages sécuritaires effectués (Source : SDSM et SSM)
Année SSM Atlantique SSM Centre SSM Nord-Ouest SSM Pacifique Total % de variation
2014 4 110 3 861 5 962 6 497 20 430 ---
2015 5 126 5 002 6 073 8 196 24 397 +19,40%

L'entrevue menée dans le cadre du processus de triage sécuritaire aide beaucoup à évaluer et à corroborer l'information fournie par le postulant. Bien que cette entrevue soit importante, elle n'est pas obligatoire aux termes de la NFS. Celle-ci exige qu'un questionnaire de sécurité soit rempli ou qu'une entrevue de sécurité soit menée. ***.

***

Puisque le taux de refus est relativement faible, la GRC pourrait envisager, dans une perspective d'optimisation du processus de triage sécuritaire, de ne procéder à une entrevue de sécurité que si les risques le justifient (c'est-à-dire si d'autres activités de filtrage ont mis au jour des renseignements défavorables). ***.

Enquêtes sur les risques

Les enquêtes sur les risques constituent un autre point d'engorgement mentionné par le personnel du programme. Dans la majorité des cas, lorsqu'une des activités de triage révèle des renseignements défavorables, le dossier est renvoyé au groupe des enquêtes sur les risques de la SSM. Ce genre d'enquête peut comprendre des entrevues supplémentaires, des vérifications supplémentaires dans les dossiers policiers et la réalisation d'une étude par la SDSM pour trancher la demande, ce qui peut entraîner le refus, la suspension ou la révocation de l'habilitation sécuritaire.

***. La SSM visée pourrait accroître son efficience si elle délaissait la pratique en question.

Références relatives aux emplois et à la moralité

Le personnel du programme a mentionné certains aspects de l'enquête sur le terrain qui suscitent un engorgement à l'interne. Lors de nos entrevues avec les employés, nous avons constaté que l'évaluation des références relatives aux emplois et à la moralité des postulants n'est pas faite de la même façon dans toutes les SSM. L'une d'elles fait les entrevues pour vérifier ces références en personne, ce qui exige des déplacements à l'intérieur et parfois à l'extérieur de la région où l'enquêteur se trouve. *** et semble excessivement prudente compte tenu du taux de refus global. ***.

Vérification des dossiers policiers

La GRC interroge actuellement jusqu'à *** bases de données dans le cadre de son processus de triage sécuritaire. Les analystes doivent entrer dans chacune de ces bases de données les renseignements de base sur l'employé et parfois sur les membres de sa famille et ses relations, ce qui représente un travail assez long et exigeant.

***. L'équipe a aussi appris que les employés des SSM ont fait diverses propositions en vue de réduire le nombre de vérifications de bases de données qui sont effectuées pour chaque dossier, mais qu'aucune de ces propositions n'a été approuvée ni mise en œuvre. La SDSM envisage d'utiliser deux outils d'interrogation de bases de données, soit *** pour accélérer la mise à jour des habilitations sécuritaires. Si ces outils permettent de réduire l'arriéré de mises à jour, la SDSM pourrait envisager d'étendre leur utilisation à toutes les demandes de nouvelle habilitation et de rehaussement d'habilitation. Elle pourrait alors privilégier pour tous les dossiers une démarche axée sur les risques selon laquelle elle interrogerait d'abord ces deux systèmes et ne procéderait ensuite à l'éventail complet de vérifications des dossiers policiers que si les vérifications initiales relevaient des facteurs de risque.

Facilitation du transfert des habilitations de sécurité accordées par d'autres ministères et organismes

À cause des limites des systèmes de gestion de l'information utilisés dans le programme, nous n'avons pas été en mesure de déterminer le nombre de dossiers de triage visant des postulants qui possédaient déjà une habilitation de sécurité accordée par un autre ministère ou organisme fédéral. Cependant, d'après les entrevues menées avec les employés du programme et avec des gestionnaires recruteurs dans d'autres secteurs de la GRC, les dossiers de cette nature représentent une proportion non négligeable de la charge de travail du personnel du programme. À mesure que la fiabilité et la disponibilité des données sur le rendement s'amélioreront, le programme sera davantage en mesure d'évaluer la proportion réelle de la charge de travail que représentent les dossiers de ce genre.

*** la SDSM pourrait envisager soit de limiter la portée de l'évaluation, soit d'adopter une démarche axée sur les risques en ce qui concerne les habilitations de sécurité accordées par d'autres ministères et organismes gouvernementaux. Un statut particulier pourrait aussi être reconnu aux ministères et organismes qui font partie du portefeuille de la sécurité.

Arriéré de dossiers d'habilitation sécuritaire

Une mise à jour de l'habilitation sécuritaire est l'examen périodique effectué à l'égard de l'habilitation sécuritaire d'un employé. Selon le Manuel de la sécurité, une mise à jour est requise tous les 10 ans dans le cas de la CFG et de la cote Secret, et tous les 5 ans dans celui de la cote Très secret. Les mises à jour sont essentielles à l'atténuation des menaces internes. La SDSM définit comme une menace interne toute menace posée par un individu ou un groupe qui possède des connaissances spécialisées ou qui a accès à des renseignements ou à des biens d'importance cruciale au sein d'une organisation et qui entend s'en servir pour causer un préjudice ou un danger ou pour en tirer un gain personnel.

La vérification de 2011 a révélé l'existence d'un arriéré de demandes de mise à jour d'habilitation sécuritaire dans la plupart des régions. Dans le cadre de son plan d'action, la SDSM s'est engagée à examiner des solutions possibles pour éliminer ces arriérés.

***. Pendant la phase de compte rendu de la présente vérification, la SDSM a fait savoir que toutes les SSM avaient encore un important arriéré de demandes de mise à jour, et de plus petits arriérés de demandes de nouvelle habilitation et de rehaussement d'habilitation. ***. Des représentants de la SDSM nous ont dit qu'aucune information n'était disponible sur les arriérés de demandes de nouvelle habilitation et de rehaussement d'habilitation observés lors des années précédentes, ce qui a limité notre capacité à déterminer si ces arriérés avaient augmenté ou diminué.

***

De plus, à mesure que s'amélioreront la fiabilité et la disponibilité des données sur les arriérés, la SDSM et les SSM seront mieux outillées pour déterminer s'il existe des motifs solides justifiant l'obtention de ressources supplémentaires afin de mener un « blitz » de liquidation des dossiers en attente. Une fois les arriérés éliminés, les ressources du programme pourraient être consacrées au traitement des nouveaux dossiers, ce qui aiderait à accélérer les délais d'exécution.

En agissant rapidement et de manière appropriée sur les arriérés d'habilitations sécuritaires, la GRC réduira à la fois le risque ***. Elle sera aussi davantage en mesure de consacrer les ressources du programme au traitement des nouveaux dossiers d'habilitation.

Portail des Services en direct de sécurité industrielle

La SDSM est en train de remplacer l'actuel processus de collecte de renseignements fondé sur les documents papier par *** Travaux publics et Services gouvernementaux Canada. ***. Cette application simplifie le remplissage du formulaire et réduit la nécessité de corriger les erreurs ou de trouver les renseignements manquants. *** sont utilisés pour le recrutement de membres réguliers et font l'objet d'essais au sein de la SSM de la région du Centre pour les autres catégories d'employés.

Autres moyens possibles d'accroître l'efficience du processus

En 2013, comme suite à la vérification de 2011, la SDSM a lancé une initiative de réingénierie des méthodes de travail internes afin de schématiser et de mesurer le processus de triage sécuritaire dans une perspective d'amélioration du rendement. Cette initiative a compris des consultations menées sur place auprès de chaque SSM dans le but de déterminer les méthodes de fonctionnement, de relever les problèmes et de noter les pratiques exemplaires. L'exercice a permis de constater les facteurs d'engorgement suivants :

  • le fait de devoir demander les renseignements manquants aux gestionnaires recruteurs ou aux postulants et d'attendre qu'ils soient fournis;
  • le fait de devoir demander des enquêtes sur le terrain;
  • le fait de devoir attendre que l'enquête sur le terrain ou l'entrevue de sécurité soit effectuée;
  • le fait de devoir attendre des vérifications de bases de données que les analystes ne peuvent pas effectuer eux-mêmes;
  • ***;
  • le fait de devoir attendre les résultats des enquêtes sur les risques après la découverte de renseignements défavorables;
  • le temps passé à attendre qu'un analyste se libère à l'interne.

Puisque les pratiques observées chez les SSM n'étaient pas uniformes et que les dossiers examinés lors des visites sur place ne présentaient pas suffisamment de données détaillées sur le rendement, l'équipe de vérification s'est vue dans l'impossibilité de mesurer et d'analyser ces facteurs d'engorgement en profondeur. Cependant, elle a pu confirmer, au moyen d'entrevues et par ses observations, que ces facteurs continuent d'être perçus comme des éléments qui contribuent au ralentissement du processus. Plus la fiabilité et la disponibilité des données sur le rendement s'amélioreront, plus le programme sera en mesure d'évaluer les répercussions de chacun de ces facteurs sur le délai d'exécution global du processus et les moyens à prendre pour en accroître l'efficience.

4. Conclusion

La SDSM a réalisé des progrès en ce qui concerne certains des problèmes relevés lors de l'audit du Programme de la sécurité du personnel mené en 2011 par Vérification interne, Évaluation et Examen. Elle a augmenté la rigueur du processus de triage sécuritaire, a défini et communiqué les niveaux de tolérance au risque par l'intermédiaire de l'EMS de la GRC, a déterminé et mis en œuvre plusieurs mesures d'efficience et a lancé des initiatives visant à améliorer le processus.

***. Des améliorations s'imposent à ces chapitres pour favoriser la prestation efficace et efficiente du programme de triage sécuritaire.

***. La SDSM est consciente de ces problèmes et s'emploie à améliorer la saisie des données en question. L'examen des dossiers et l'analyse des données disponibles sur le programme ont néanmoins permis à l'équipe de vérification de relever plusieurs moyens possibles d'améliorer l'efficience du processus.

5. Recommandations

  1. Le sous-commissaire aux SPS devrait collaborer avec l'EMS et les commandants divisionnaires afin de mieux définir, documenter et communiquer les pouvoirs de l'ASM à l'intérieur du Programme de la sécurité ministérielle et, plus précisément, du programme de triage sécuritaire du personnel.
  2. Le sous-commissaire aux SPS devrait élaborer un mécanisme pour assurer la saisie exacte et complète des coûts liés au programme de triage sécuritaire du personnel afin de favoriser la prise de décisions éclairées en ce qui concerne les besoins en ressources et la réaffectation stratégique de fonds au sein du programme.
  3. Le sous-commissaire aux SPS devrait élaborer un cadre de mesure du rendement et créer une fonction nationale de supervision et de surveillance afin d'assurer l'atteinte des objectifs du programme de triage sécuritaire du personnel.
  4. Le sous-commissaire aux SPS devrait évaluer, en collaboration avec d'autres intervenants de la Sécurité ministérielle, le bien-fondé et la faisabilité des mesures possibles d'optimisation du processus énumérées à la section 3.2 du présent rapport.

Annexe A – Objectif et critères de vérification

Objectif : La vérification avait pour objectif d'évaluer l'efficacité et l'efficience des modalités établies pour le triage sécuritaire du personnel afin de déterminer si elles étaient conformes à la PSG et à la NFS, si elles étaient rationalisées et si elles étaient accomplies dans un délai raisonnable.

Critère 1: Le cadre de gouvernance, la structure de financement et les mécanismes de surveillance favorisent l'atteinte des objectifs fixés et l'obtention des résultats escomptés en ce qui concerne le triage sécuritaire.

Critère 2: Toutes les étapes du processus de triage sécuritaire, y compris l'utilisation des outils appropriés, ont été examinées afin de relever des moyens possibles d'améliorer l'efficience du processus tout en tenant compte des risques pour l'organisation.

Critère 3: Les politiques et les procédures régissant le processus de triage sécuritaire sont conformes à la PSG et à la NFS et sont appliquées uniformément dans toutes les régions.

Critère 4: Des renseignements pertinents et suffisants sont disponibles quant au rendement et sont utilisés par la gestion pour surveiller le rendement, en faire rapport et faciliter la prise de décisions et la répartition des ressources.

Critère 5: Des normes de service ont été établies et leur application est surveillée par rapport aux attentes des clients.

Critère 6: Les niveaux de tolérance au risque en matière de triage sécuritaire ont été déterminés et communiqués.

Annexe B – Aperçu du processus de triage Footnote 5

***

Annexe C – Résultats détaillés de l'examen des dossiers

***

Date de modification :