Constatations de la GRC concernant la vérification interne horizontale de la conformité à la Politique sur la structure de la gestion, des ressources et des résultats par le Bureau du contrôleur général

Rapport final: avril 2013

Ce rapport fut revu en considération de la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Certaines parties du texte comprises dans ces documents ne peuvent pas être publiées et sont identifiées comme suit: [ * ]; l'information publiée est NON-CLASSIFIÉE.

Table des matières

  • 2 Constations
    • 2.1 Orientation provenant de l'organisme contral
    • 2.2 Orientation stratégique et structures de responsabilisation
    • 2.3 Affectation des resources
    • 2.4 Surveillance du rendement
    • 2.5 Initiatives horizontales

Sigles et abréviations

AAP Architecture des activités de programme
ACDI Agence canadienne de développement international
AP Activités de programme
APC Arrangement sur la police civile au Canada
BCG

Bureau du contrôleur général du Canada
CMR Cadre de mesure du rendement
CRG

Cadre de responsabilisation de gestion
CT Conseil du Trésor
GRC Gendarmerie royale du Canada
MAECI

Affaires étrangères et Commerce international Canada
PMIPMP

Programme de missions internationales des policiers affectés au maintien de la paix
RMR Rapports ministériels sur le rendement
RPP Rapport sur les plans et les priorités
SCT Secrétariat du Conseil du Trésor
SGRR Structure de la gestion, des ressources et des résultats
SMD Sous-ministre délégué
SP Sécurité publique
SPAR

Système des plans annuels de rendement
TBP Tableau de bord prospectif

Sommaire exécutif

La Gendarmerie royale du Canada (GRC) est l'un des quatorze grands ministères et sept petits ministères choisis par le Bureau du contrôleur général (BCG) aux fins de sa vérification horizontale de la conformité à la Politique sur la structure de gestion, des ressources et des résultats (SGRR). La phase de planification de la vérification, qui incluait l'élaboration des objectifs, de la portée et des critères, a été réalisée par le BCG. La Vérification interne (VI) de la GRC a été invitée à effectuer la phase d'examen de la vérification suivant la méthodologie élaborée par le BCG et à rendre compte de ses constatations et de ses conclusions au BCG afin qu'elles soient incluses dans un rapport consolidé.

Le rapport du BCG a conclu que «En général, les ministères respectent les exigences de la Politique sur la SGRR». Le rapport souligne que le Secrétariat du Conseil du Trésor (SCT) a besoin d'offrir des directives additionnelles en ce qui a trait à la mesure du rendement, à la définition et à l'allocation des services internes et des liens interministériels des programmes. Le SCT a également besoin d'offrir des clarifications en ce qui a trait à la gestion des ressources ministérielles et à l'utilisation de l'architecture des activités de programme (AAP) Footnote 1 comme fondement pour les attributions. Six recommandations figurent dans le rapport du BCG, dont deux s'appliquent à la GRC.

Les constatations d'ensemble du BCG concordent avec la situation observée à la GRC. Alors que les principes généraux de la Politique sur la SGRR sont respectés, les pratiques de gestion, progressent vers une application complète. L'organisation s'emploie à rendre ses systèmes d'information, ses stratégies de mesure du rendement et ses structures de rapports et de gouvernance compatibles avec sa SGRR, mais l'intégration complète demande encore du travail.

Le présent rapport offre des détails supplémentaires sur le respect de la Politique sur la SGRR par la GRC et comporte les plans d'action de la gestion élaborés en réponse aux recommandations du BCG. La VI de la GRC surveillera les progrès de l'application des plans d'action de la gestion et entreprendra des activités de suivi, au besoin.

1. Objectif, portée et méthode

1.1 Objectif

La vérification interne horizontale du BCG visait à évaluer si la Politique sur la SGRR était respectée.

1.2 Portée

La GRC était l'un des quatorze grands ministères et sept petits ministères qui ont été visés par la portée de la vérification. De plus, le Secrétariat a été inclus en raison de son rôle d'organisme central.

L'équipe de vérification a examiné les SGRR, y compris, mais sans s'y limiter, la conception et la clarté des résultats stratégiques, l'AAP et les structures de gouvernance qui étaient en place pour gérer le rendement des programmes au sein des ministères. Bien que la Politique ne fasse pas directement référence aux initiatives horizontales, l'équipe de vérification a également examiné comment les principes de la politique s'appliquent aux initiatives horizontales.

La période principale de la vérification était l'année fiscale 2011-2012. Cependant, les plans et processus utilisés aux fins de la planification de l'année fiscale 2012-2013 ont également été pris en considération, lorsque nécessaire, pour compléter les éléments de preuve.

1.3 Méthode

La phase de planification a été réalisée par le BCG qui a aussi décidé de la méthode à utiliser en phase d'examen (examen et cueillette d'information complétés par la Vérification interne de la GRC). Les ministères participants ont transmis leurs résultats au BCG qui a rendu compte des constatations d'ensembles.

2. Constatations

2.1 Orientation provenant de l'organisme central

L'organisme central doit fournir une plus grande orientation pour aider les ministères à mettre en œuvre certains aspects de la Politique sur la SGRR.

Cette constatation concerne le SCT dans son rôle de fournir une orientation aux ministères afin de les aider à se conformer à la Politique sur la SGRR. Le détail de la constatation peut être consulté dans le rapport intitulé Vérification interne horizontale de la conformité à la Politique sur la structure de la gestion, des ressources et des résultats du BCG, sous «Constatation1 ».

Cette constatation a donné lieu à une recommandation s'adressant au SCT.

2.2 Orientation stratégique et structures de responsabilisation

L'orientation stratégique est établie dans les ministères, et des structures de responsabilités ont été élaborées dans la plupart des ministères pour la soutenir.

La GRC a récemment mis à jour et défini trois résultats stratégiques mesurables qui reflètent son mandat et sa vision, et qui sont liés aux priorités gouvernementales fondamentales et aux résultats prévus.

Les résultats stratégiques sont de nature à long terme et de longue haleine, mesurables à l'aide du cadre de mesure du rendement (CMR) et liés au mandat de la GRC. Les résultats permettent aussi d'établir des liens horizontaux entre les ministères qui ont des résultats stratégiques semblables, par exemple l'Agence des services frontaliers du Canada et la Sécurité publique (SP).

En vue d'établir une orientation stratégique complémentaire, la GRC a identifié cinqpriorités découlant de l'analyse de l'environnement, d'une analyse de l'évolution de la criminalité et de l'évaluation nationale des menaces. L'établissement de priorités permet une concentration plus stratégique des opérations en vue d'accroître la sécurité publique. Pour la période en cause, chaque priorité stratégique correspondait à des résultats et à des objectifs établis et évalués par un groupe de travail dirigé par un commissaire adjoint. La GRC a utilisé le tableau de bord prospectif (TBP) pour éclairer la haute direction dans sa prise de décisions sur les priorités stratégiques. Chaque priorité contribue à l'un des résultats stratégiques de l'organisation.

Le commissaire apporte son leadership à l'orientation stratégique de l'organisation et consulte les principaux intéressés par l'entremise de l'Équipe de gestion supérieure. À travers ce processus, les commandants divisionnaires ont participé à l'établissement des résultats stratégiques de la GRC.

L'organisation a en place une structure de gouvernance qui encadre les mécanismes de prise de décisions, les responsabilités et l'imputabilité. Le commissaire approuve les éléments de la SGRR pour la GRC [Rapport sur les plans et priorités (RPP), Rapport ministériel sur le rendement (RMR), AAP, etc.], et avec la collaboration de l'État-major supérieur, il veille à ce que les mises à jour nécessaires soient faites en temps voulu. La haute direction est responsable des extrants et résultats convenus qui figurent dans la SGRR. En 2011-2012, chaque cadre a dû inclure au moins une initiative de son TBP à son accord de rendement. L'organisation s'emploie à améliorer la gestion du processus.

La GRC veille à ce que ses systèmes d'information, ses stratégies de mesure du rendement et ses structures de rapport et de gouvernance soient conformes à sa SGRR, mais il reste encore du travail à faire pour en assurer la pleine intégration et la mise en œuvre. L'organisation suit de très près sa conformité à la Politique sur la SGRR et discute avec le SCT toute modification qu'elle entend apporter, étant donné que tous les rapports qu'elle doit présenter au Parlement sont fondés sur sa SGRR.

Aucune recommandation n'a été faite en lien avec cette constatation.

2.3 Affectation des resources

L'AAP n'est pas l'unique outil pour la réaffectation des ressources dans les ministères et à l'échelle de l'administration fédérale.

La GRC a une structure d'AAP qui regroupe ses activités. Toutes les activités, sous-activités et sous-sous-activités de programme de l'AAP sont décrites et définies pour que tout ce qu'elles englobent soit clairement identifié. On a récemment mis à jour les descriptions des programmes pour les clarifier et les rendre plus complètes, afin qu'elles satisfassent aux exigences de la Politique sur la SGRR.

Dans l'AAP, les sous-sous-activités sont rattachées aux sous-activités de programme qui sont, elles, rattachées aux activités de programme, qui à leur tour sont rattachées à des résultats stratégiques précis de la GRC et rattachées aussi aux résultats du gouvernement du Canada.

L'AAP est à la base des rapports externes de la GRC, à savoir le RPP et le RMR.

À chaque cycle de rapports, le SCT émet des gabarits nécessaires à la production des rapports afin qu'ils soient uniformes d'un ministère à l'autre. À ce moment, le gabarit est transmis aux programmes qui sont responsables des activités figurant à l'AAP de la GRC. Les indicateurs de rendement, qui sont conformes au CMR, sont alors transmis pour être inclus dans le RPP, avec le narratif qui explique les priorités et les faits saillants des plans pour chaque programme, puis liés aux ressources allouées dans le Budget principal des dépenses.

Le RMR suit la même procédure, puisqu'on rend compte des cibles et des mesures de rendement, organisées suivant l'AAP.

Du point de vue financier, le Budget principal des dépenses est préparé et présenté par activité de programme (AP), suivant les politiques et les lignes directrices du Conseil du Trésor (CT). Les niveaux de financement historiques par AP reflètent les présentations antérieures et les transferts d'affectations intra- et interministériels qui ont été approuvés au fil des années et qui sont encore considérés comme faisant partie du financement de base des ministères. Ce sont ces «soldes d'ouverture», pour chaque activité de programme, qui sont ensuite rajustés pour refléter les modifications approuvées à la suite de nouvelles présentations au Conseil du Trésor, d'autres rajustements techniques ou d'autres décisions de réaffectation interne. Le système financier de la GRC est actuellement configuré pour tenir compte des dépenses par AP à l'intérieur de l'organisation.

Lors de la demande pour un financement supplémentaire, l'organisation prépare une présentation au Conseil du Trésor qui décrit l'initiative et ses conséquences financières sur l'organisation. La présentation est étayée par une analyse de rentabilisation détaillée qui explique quels nouveaux postes seront créés et à quoi servira le financement. Une affectation par AP des fonds demandés est aussi présentée. L'organisation répartira dans ses niveaux de référence les fonds reçus en fonction des renseignements inscrits dans la présentation.

Au long de l'exercice financier, l'organisation peut demander des fonds additionnels pour satisfaire les nouveaux besoins financiers qui surgissent en cours d'année. Ces fonds sont affectés aux bonnes AP par différents mécanismes. Les réductions de financement, comme celles incluses dans les examens stratégiques, sont réparties elles aussi entre les activités de programme selon les réductions proposées approuvées.

Bien que l'AAP serve de base à l'affectation des ressources par la gestion ministérielle, l'intégration des données de la SGRR, aux exigences de l'établissement des rapports que la GRC doit produire, est toujours en cours. La GRC n'exploite pas encore complètement les données de la SGRR pour soutenir la prise de décisions, comme le constatait le SCT dans son évaluation du Cadre de responsabilisation de gestion (CRG) de la GRC en 2011-2012. Les observations suivantes ont été faites relativement à l'affectation des ressources:

  • Les renseignements de la SGRR ne sont pas utilisés pour étayer les documents soumis aux organismes centraux pour justifier les décisions en matière de financement.
    • Dans les trois exemples fournis au SCT, il n'y avait aucune référence claire faite à l'information de la SGRR (AAP ou CMR); la GRC n'a pas démontré une utilisation de l'information de la SGRR pour appuyer la planification et la prise de décisions.
    • Quand elle présente un document aux organismes centraux, la GRC est invitée à situer le programme dans son AAP et à préciser à quel résultat stratégique il contribue; dans le cas d'un nouveau programme, elle peut préciser où il devrait être placé. Pour ce qui est du CMR, la GRC devrait préciser les résultats attendus et les indicateurs de rendement qui y sont reliés et qui lui permettront de produire des données plus pertinentes sur la gestion du rendement. D'autres conseils seront transmis aux ministères pour le CRG 2012-2013.

Cette constatation a donné lieu à une recommandation à l'intention du SCT.

2.4 Surveillance du rendement

Les cadres ministériels de mesure du rendement ne fournissent pas toujours l'information sur les résultats nécessaire pour évaluer dans quelle mesure les programmes atteignent les résultats attendus.

La GRC a créé un CMR et recueille des données sur le rendement, cependant cette information ne supporte pas totalement la planification et la prise de décisions.

Un CMR objectif et mesurable fournit l'assurance que les résultats prévus seront atteints et, au besoin, facilite la prise de mesures correctives proactives. L'information sur le rendement qui est recueillie et analysée en temps opportun permet à l'équipe de gestion de prendre des décisions relatives à la réaffectation et d'améliorer de façon continue les activités opérationnelles.

Au moment de la vérification, le CMR de la GRC définissait les résultats attendus et les extrants pour chaque activité de programme, sous-activité et sous-sous-activité. Des indicateurs de rendement ont été fixés pour chacun, ainsi que des échéanciers d'établissement de rapports sur les cibles et le rendement. Il ressort de l'examen des rapports de 2010-2011 que les indicateurs de rendement et les cibles sont identifiés dans le RPP et qu'on en rend compte dans le RMR. On a remarqué que des cibles n'avaient pas encore été définies pour tous les indicateurs de rendement.

Le régime de gestion du rendement de la GRC repose lourdement sur le TBP. Comme il est expliqué dans les documents transmis au SCT par la GRC relativement à l'évaluation du CRG, les données sur le rendement tirées du TBP visent à éclairer la prise de décisions par la haute direction relativement aux priorités stratégiques. En plus du tableau de bord prospectif qui aide l'État-major supérieur à prendre des décisions à l'échelle organisationnelle, un groupe de travail a été mis sur pied pour chacune des cinq priorités stratégiques de la GRC pour faire un suivi des progrès à l'aide de TBP spécifique à chacune des priorités. Chaque objectif est accompagné de mesures du rendement qui sont suivies et font l'objet d'un rapport tous les trimestres. Suite à l'information obtenue, des ajustements sont apportés.

Une procédure semblable existe à tous les niveaux de l'organisation par l'entremise du Système des plans annuels de rendement (SPAR). Le SPAR est un outil Web qui aide les gestionnaires de première ligne, dans les unités et les détachements, à cerner les problèmes, à développer des objectifs, à fixer des indicateurs de rendement et à faire le suivi du rendement de façon trimestrielle.

En rapport avec la mesure du rendement, l'évaluation détaillée du CRG pour 2011-2012 statuait que:

  • Les indicateurs de rendement offrent, pour la plupart, une mesure claire et valide du résultat stratégique, des résultats attendus et des extrants.
  • Globalement, les indicateurs de rendement sont des mesures valides et fiables des résultats attendus correspondants et, pour la plupart, sont clairs et formulés comme il se doit. Seuls quelques-uns nécessitent encore une clarification.
  • Le cadre de mesure du rendement de la GRC comporte quelques indices, comme l'indice de la satisfaction des clients (performance, optimisation des ressources, valeur en apprentissage policier, niveau de la satisfaction postcours), mais la manière dont seront mesurés ces indices n'est pas claire.
  • L'information financière du RMR est suffisamment claire et expliquée par écrit lorsque nécessaire. Les liens entre les ressources et les résultats sont adéquatement illustrés.

Par contre, la GRC n'a pas montré qu'elle utilisait les données de la SGRR pour étayer la planification et la prise de décision. L'évaluation du CRG donnait pour la qualité du cadre de mesure du rendement et pour la qualité des rapports sur le rendement la cote «possibilités d'amélioration».

Qualité du cadre de mesure du rendement

  • Le cadre de mesure du rendement élaboré est incomplet.
    • Il manque des cibles à certains indicateurs de rendement établis pour des résultats attendus dans le CMR.
  • De nombreux résultats prévus ne sont pas énoncés clairement et ne correspondent pas à leurs programmes respectifs.
    • Certains résultats prévus n'ont pas la forme d'énoncés de résultats clairs et sont fondés sur des activités.
    • La GRC doit fournir une description complète des programmes aux niveaux des sous-activités et des sous-sous-activités de l'AAP afin de valider l'applicabilité des résultats prévus, développés à ces niveaux.

Qualité de présentation de l'information sur le rendement

  • Le RMR est généralement équilibré - le rapport présente à la fois des aspects positifs et des aspects négatifs du rendement et en offre une rationalisation ou une explication.
    • Le RMR fait la part des choses entre les leçons retenues à la PartieII et l'explication de l'indice de performance.
  • Le RMR fait un usage limité de la SGRR de l'organisation (c.-à-d. AAP et CMR) pour lier les plans au rendement.
    • Les résultats prévus et les cibles diffèrent de ceux inscrits dans le RPP et dans le CMR en dossier. Le RMR bénéficierait d'une utilisation plus régulière du CMR.
  • Quelques renseignements sont fournis sur la validité et la crédibilité des données utilisées. Quelques constatations pertinentes de vérification et d'évaluation sont incluses. Il est difficile pour le lecteur de trouver la source des données et des renseignements présentés dans le RMR ainsi que de connaître la qualité des données sous-jacentes.
    • Il serait bon d'inclure dans le RMR les résultats et les plans d'action découlant des vérifications et des évaluations prévues dans le RPP et portées au tableau des vérifications internes et des évaluations du RMR.
    • Le RMR gagnerait à préciser davantage l'incidence d'un changement dans les ressources sur les résultats attendus au niveau de l'AP.

L'existence et l'utilisation de renseignements sur le rendement en tant que contribution à la prise de décisions dépasse maintenant les stades précoce de l'élaboration, surtout aux niveaux inférieurs des programmes.

Faute de cibles pour toutes les mesures du rendement, il est difficile de juger si les activités de programme atteignent leurs objectifs. Les données sur le rendement sont nécessaires pour offrir à la direction l'information sur laquelle asseoir les décisions reliées à la prestation opérationnelle.

Cette constatation a donné lieu à la recommandation suivante adressée à la GRC et à d'autres ministères: «Dans la perspective de leur cadre de mesure du rendement, les ministères devraient améliorer leurs mesures du rendement selon la Structure de la Gestion, des Ressources et des Résultats de manière à renforcer leurs processus de planification et de prise de décisions.»

2.5 Initiatives horizontales

Des directives de la part de l'organisme central s'imposent pour aider les ministères à gérer les initiatives horizontales.

Une initiative horizontale impliquant la GRC a porté sur le Programme de missions internationales des policiers affectés au maintien de la paix (PMIPMP). Le PMIPMP est géré conformément au cadre de l'Arrangement sur la police civile au Canada (APC), un partenariat entre l'Agence canadienne du développement international (ACDI), la GRC, le ministère des Affaires étrangères et du Commerce international (MAECI) et la SP.

Le PMIPMP soutient le déploiement de policiers canadiens à l'étranger. Le PMIPMP est un instrument de politique étrangère qui vise à stabiliser des États fragiles et des situations de conflit par le rétablissement d'institutions publiques efficaces. La GRC planifie et évalue les missions, choisit et forme le personnel et procure un soutien complet tout au long du déploiement et au retour au Canada; elle gère les relations avec les services de police partenaires et veille à ce que des protocoles d'entente soient signés pour soutenir les besoins de ressources humaines du PMIPMP.

Gouvernance

Cette initiative présente une structure de gouvernance claire tel que décrite dans l'entente de l'APC, structure qui énonce aussi le rôle et les responsabilités de la GRC.

Les résultats attendus de l'initiative horizontale sont concrets et harmonisés aux objectifs du PMIPMP énoncés dans la présentation au CT, ainsi qu'au mandat de la GRC.

Les résultats attendus et les indicateurs figurent dans le modèle logique de l'APC et la stratégie connexe de mesure du rendement est arrimée à l'activité de programme Opérations policières internationales de la GRC et à sa sous-activité Missions de paix internationales. La responsabilité pour chaque indicateur de rendement de l'APC a été formellement attribuée à un ministère ou organisme partenaire de l'APC dans le CMR de l'APC. Le CMR décrit comment les progrès vers l'atteinte des résultats attendus seront mesurés.

Un comité directeur de l'APC (de niveau SMD), un comité consultatif de DG de l'APC et un groupe de travail de l'APC sont en place pour soutenir le PMIPMP. Un mandat existe pour chaque comité et groupe de travail de l'APC, précisant les rôles et les responsabilités qui s'y rattachent. La GRC a un membre qui siège à chacun des comités.

La GRC est responsable de livrer les résultats attendus de cette initiative puisqu'elle est de nature très opérationnelle. Le comité directeur et le groupe de travail de l'APC jouent un rôle actif dans la surveillance de l'initiative. Les cadres de la GRC sont tenus responsables des résultats tactiques du PMIPMP et de la gestion du rendement financier par voie d'accords de gestion du rendement et des examens du rendement qui y sont associés.

La communication officielle des rapports pour le PMIPMP est en place. L'APC exige la production d'un rapport annuel. Le rapport annuel 2010-2011 de l'APC présente des données financières ainsi que des données sur le rendement opérationnel.

Une évaluation formelle du programme doit être faite aux cinq ans dans le cadre du renouvellement de la présentation au CT. Une évaluation a été faite en 2010 et a conclu que le programme atteignait ses objectifs.

On a cerné une possibilité d'amélioration relativement à la publication des résultats du programme. L'information concernant le PMIPMP est publiée sur le site Web de la GRC, mais elle est à un très haut niveau et très limitée et ne fait pas référence, ni ne s'accompagne d'un lien, au plan annuel et au rapport annuel.

Affectation des ressources

La GRC a conçu des processus et procédures adéquats pour soutenir l'affectation et le suivi des ressources conformes aux objectifs du PMIPMP (les processus sont en voie d'être modifiées pour être harmonisées à l'ébauche du CMR récemment élaboré). Les objectifs et résultats prévus du PMIPMP, et ceux de l'APC s'y reliant, ainsi que les objectifs et résultats prévus de la GRC, offrent un cadre pour l'affectation et pour le suivi des ressources de cette initiative horizontale.

Pour ce qui est des missions particulières du PMIPMP, le MAECI détermine les priorités de la politique étrangère. Le groupe de travail de l'APC discute et s'entend sur les déploiements internationaux. Les objectifs de chaque mission ainsi que le nombre de policiers à déployer figurent au «concept des opérations».

Le concept des opérations intègre les objectifs, les résultats prévus, la durée et les niveaux de référence et coûts incrémentiels prévus de la GRC, ainsi que les détails administratifs et logistiques, le tout en harmonie avec l'information contenue dans le mémoire aux ministres de l'APC, demandant l'autorisation du déploiement. C'est la GRC qui détermine les ressources nécessaires à chaque mission à même sa procédure de planification en lien avec le concept des opérations de ladite mission. On a constaté que sur 11missions, une seule avait un concept des opérations en place.

L'APC indique le modèle d'établissement des coûts pour le PMIPMP. La GRC est responsable d'établir le budget de chaque mission suivant le modèle ébauché dans l'APC. Ce modèle indique les méthodes à appliquer pour répartir les coûts du programme financés par la GRC (à partir des niveaux de référence de la GRC tirés de son enveloppe pour l'aide internationale).

Pour le moment, le rapport mensuel est encore de nature très opérationnelle, mais la GRC a créé un outil destiné à saisir l'information sur le rendement au niveau de l'unité, conformément aux éléments pertinents précisés dans le CRG de l'APC.

Cette constatation a donné lieu à deux recommandations à l'intention du SCT et la recommandation que voici s'adressait à la GRC et à d'autres ministères: «Les ministères devraient achever et mettre en place des cadres pour la surveillance du rendement des initiatives horizontales.»

3. Conclusion

Bien que les principes généraux de la Politique sur la SGRR soient respectés, les pratiques de gestion progressent vers une mise en œuvre totale. L'organisation s'emploie à harmoniser ses systèmes d'information, ses stratégies de mesure du rendement et ses structures de rapports et de gouvernance avec sa SGRR, mais l'intégration complète demandera encore du travail. Il est nécessaire que la GRC maintienne ses efforts et obtienne des directives supplémentaires du Secrétariat afin de s'assurer d'un progrès continu vers une mise en œuvre intégrale des exigences de la politique.

4. Recommandations et plan d'action de la direction

Recommandation 1 :

Aux fins de leurs cadres de mesure du rendement, les ministères devraient améliorer les mesures du rendement de leurs structures de la gestion, des ressources et des résultats, de manière à appuyer leurs processus de planification et de prise de décisions.

Plan d'action de la gestion :

La Direction de la planification et des politiques stratégiques (DPPS) de la GRC souscrit à la recommandation.

Elle a entrepris au printemps de 2012 d'améliorer le CMR de la GRC. La DPPS a assisté à des ateliers et des séances de formation du SCT pour s'assurer de suivre de près la politique et ses exigences à la GRC.

La DPPS s'est donné pour but de clarifier les résultats attendus et de choisir des indicateurs de rendement révélateurs pour les activités, les sous-activités et les sous-sous-activités. On a beaucoup aidé les secteurs d'activité de la GRC avec la rédaction d'un CMR sur lequel les gestionnaires de programmes pourront asseoir leur planification et leur prise de décisions.

Une version provisoire du CMR a été présentée le 17 août 2012 et une version finale, tenant compte des commentaires du SCT, a été présentée en novembre 2012.

L'intégration du CMR à la procédure de planification de la GRC se poursuivra toute l'année. La DPPS travaille à un plan d'activité qui incorpore la structure de gestion, des ressources et des résultats (SGRR) à tous les aspects de la planification et de l'affectation de ressources. Cette stratégie de gestion du rendement devrait être entièrement mise en œuvre d'ici le 1er avril 2014.

Poste responsable : Dirigeant principal de la Planification et des Politiques stratégiques / off. resp., Planification et Gestion stratégique.

Recommandation 2 :

Les ministères devraient finaliser et mettre en place des cadres pour la surveillance du rendement des initiatives horizontales.

Plan d'action de la gestion :

Le Programme de missions internationales des policiers affectés au maintien de la paix (PMIPMP) est géré conformément au cadre de l'Arrangement sur la police civile au Canada (APC), un partenariat entre le MAECI, la GRC, l'ACDI et la SP. Les partenaires de l'APC visés par la vérification (tous à l'exception de l'ACDI) ont examiné le rapport de vérification et souscrivent à ses constatations.

Les partenaires de l'APC mettront la dernière main au modèle logique et au cadre de mesure du rendement entrepris pour le PMIPMP et les mettront en œuvre pour les diverses missions dans lesquelles des policiers canadiens sont déployés. Avec ces outils, les partenaires de l'APC évalueront et mesureront les résultats obtenus par la présence des policiers à l'étranger afin de surveiller le rendement global du PMIPMP et de soutenir la planification et la prise de décisions en lien avec la participation à une mission.

Un plan complet détaillé sera préparé par les partenaires de l'APC, avec les conseils nécessaires du SCT en ce qui a trait à la mesure du rendement des initiatives horizontales. En particulier, les partenaires de l'APC consulteront le guide que publiera bientôt le SCT. Les partenaires de l'APC s'emploieront à mettre en œuvre l'ensemble des cadres pour le suivi du rendement du PMIPMP d'ici mars 2014.

Poste responsable : Sous-commissaire à la Police fédérale / Directeur du Développement de la police internationale.

Annexe A - Objectif de la vérification et critères connexes

L'objectif de la vérification était de déterminer si la Politique sur la structure de la gestion, des ressources et des résultats (Politique sur la SGRR) est respectée.

1. Résultats stratégiques : Grâce à l'orientation et au leadership des administrateurs généraux, les ministères ont déterminé des résultats stratégiques clairs et mesurables qui servent de fondement pour l'établissement de liens horizontaux.

  • La SGRR ministérielle comprend des résultats stratégiques clairement définis et mesurables, qui reflètent le mandat et la vision du ministère et qui sont reliés aux priorités du gouvernement. (Politique sur la SGRR, section 6.1.1.1)
  • Les résultats stratégiques ministériels servent de fondement à l'établissement de liens horizontaux entre les ministères. (Politique sur la SGRR, section 6.1.1.1)
  • Les administrateurs généraux exercent un leadership global dans l'élaboration, en consultation avec les intervenants clés du ministère, des modifications devant être apportées aux résultats stratégiques et à l'architecture des activités de programme (AAP). (Politique sur la SGRR, section 6.1.4)
  • Les administrateurs généraux approuvent la SGRR ministérielle et voient à l'exécution régulière et en temps opportun de mises à jour et d'examens pour en assurer la pertinence. (Politique sur la SGRR, section 6.1.2)

2. Architecture des activités de programme : Les ministères ont expliqué leur AAP de manière assez détaillée pour montrer comment ils affectent et gèrent leurs ressources pour atteindre les résultats visés.

  • Les activités de programme connexes sont cernées, regroupées, et liées aux résultats stratégiques qu'elles soutiennent. (Politique sur la SGRR, section 6.1.1.2)
  • Les affectations de ressources prévues, les résultats escomptés et les mesures du rendement sont liés aux activités de programme à l'égard desquelles les résultats réels sont signalés et servent à surveiller le rendement et à prendre des décisions. (Politique sur la SGRR, section 6.1.1.2)
  • L'AAP sert de fondement pour l'affectation des ressources à tous les niveaux du gouvernement. (Politique sur la SGRR, section 6.1.1.2)
  • Le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) approuve le niveau de l'AAP auquel il doit affecter et contrôler les ressources. (Politique sur la SGRR, section 8.1.1)

3. Structure de gouvernance : Les ministères décrivent les responsabilités et les obligations redditionnelles visant les mécanismes décisionnels, la surveillance et la prise de décisions.

  • La SGRR ministérielle décrit les mécanismes décisionnels, les responsabilités et les obligations redditionnelles du ministère. (Politique sur la SGRR, section 6.1.1.3)
  • Les systèmes d'information, les stratégies de mesure du rendement, les rapports et les structures de gouvernance des ministères appuient la SGRR. (Politique sur la SGRR, section 6.1.5)
  • Les cadres supérieurs rendent des comptes sur les extrants et les résultats prévus dans la SGRR. (Politique sur la SGRR, section 6.1.6)
  • Les ministères surveillent leur conformité à la Politique sur la SGRR et informent le Secrétariat de tout changement qu'ils comptent apporter. (Politique sur la SGRR, section 6.2.1)
  • La structure de présentation du Budget des dépenses et des rapports au Parlement est fondée sur l'AAP ministérielle. (Politique sur la SGRR, section 6.1.1.2)
  • Les modalités d'une initiative horizontale contiennent une description des rôles et des responsabilités liés aux affectations de fonds, à la collaboration horizontale ainsi qu'aux rajustements et aux améliorations de la gestion de l'initiative horizontale. (Vérification des initiatives horizontales seulement)
  • La surveillance du rendement des initiatives horizontales est menée régulièrement et rapidement. (Vérification des initiatives horizontales seulement)
  • Les initiatives horizontales contiennent des dispositions relatives à l'évaluation et aux rajustements. (Vérification des initiatives horizontales seulement)
  • Un cadre relatif aux initiatives horizontales est utilisé pour présenter des rapports au Parlement par l'entremise des documents du Budget principal des dépenses et de tout autre rapport parlementaire en la manière et la forme définies par le Conseil du Trésor ou son Secrétariat. (Vérification des initiatives horizontales seulement)

4. Rôle du Secrétariat : Le Secrétariat assure un leadership et fournit des conseils et une orientation concernant la mise en œuvre de la Politique sur la SGRR.

  • Le Secrétariat travaille en étroite collaboration avec les ministères afin de veiller à ce que l'esprit et l'objet de la Politique sur la SGRR soient compris et intégralement mis en œuvre. (Politique sur la SGRR, section 7.1)
  • Les changements qu'on envisage d'apporter au résultat stratégique et aux niveaux de l'AAP ne sont faits qu'après avoir été approuvés par le Conseil du Trésor. (Politique sur la SGRR, section 6.1.3)
  • Le Secrétariat assure un leadership et fournit des conseils et une orientation concernant la production et l'utilisation de l'information financière et non financière intégrée sur le rendement des programmes à l'échelle pangouvernementale. (Politique sur la SGRR, section 8.2)
Note 1

La Politique sur la SGRR a été mise à jour le 1er avril 2012. Pour les besoins du présent rapport, nous avons utilisé la terminologie qui figurait dans l'ancienne politique qui était en vigueur au moment des phases de planification et d'examen de la vérification (avant le 1er avril 2012). Ainsi, le rapport parle de l'architecture des activités de programme (AAP) alors que la politique de 2012 parle de l'architecture d'alignement des programmes. De même, les activités de programme sont devenus des programmes dans la politique de 2012.

Retour à la référence de la note de bas de page 1 referrer

Divulgation d’un acte répréhensible en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (LPFDAR) 2013-2014

En 2010, des dénonciations ont été faites à l'officier supérieur de la GRC désigné en vertu de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles (LPFDAR). Le commissaire Paulson a conclu, à la suite d'une enquête administrative rigoureuse menée pour l'application de la LPFDAR, que ces allégations avaient mis au jour des problèmes systémiques dans (a) l'administration d'un marché de services passé avec un fournisseur tiers (le « marché ») et (b) l'application des directives régissant l'exercice des pouvoirs financiers de signer. Il a été déterminé que la conduite alléguée constituait un acte répréhensible du type visé à l'alinéa 8(b) de la LPFDAR, c'est-à-dire un usage abusif de fonds publics.

L'enquête a révélé que les problèmes systémiques relatifs à l'administration du marché découlaient d'un malentendu entre la GRC et l'entrepreneur quant aux modalités de rémunération. Les pratiques de facturation applicables en vertu du marché présentaient une certaine ambiguïté et se prêtaient par conséquent à différentes interprétations. Il est ressorti de l'enquête que la GRC avait fait des versements en trop à l'entrepreneur, mais qu'il n'y avait eu aucune tentative de violation intentionnelle des conditions du marché.

Le manque de conformité aux directives régissant l'exercice des pouvoirs financiers de signer n'a donné lieu à aucun paiement irrégulier ni à aucune perte de fonds publics.

Le marché en question n'est plus en vigueur. Comme il est expliqué ci-dessous, les mesures correctives faisant suite à la conclusion d'acte répréhensible en sont à différents stades de mise en œuvre. Aucun employé n'a tiré profit de cet acte répréhensible confirmé.

Recommandations relatives à l'acte répréhensible confirmé :

  1. Faire appel à un expert de l'industrie pour participer à la passation de tout nouveau marché de cette nature avec un intervenant du secteur privé afin que les conditions soient énoncées avec une plus grande précision.
  2. Voir à ce que soient clairement énoncées les conditions de tout nouveau marché avec un fournisseur tiers de ce genre. En particulier, il est recommandé d'y prévoir :
    • des dispositions précises en matière de paiement ainsi qu'une définition claire des rôles et des responsabilités que doit reconnaître et respecter tout fournisseur tiers de ce genre;
    • des paramètres précis concernant les renvois à des fournisseurs tiers de ce genre;
    • un mécanisme efficace pour le règlement de tout différend entre la GRC et un fournisseur tiers de ce genre.
  3. Déterminer s'il y a lieu d'avoir un avocat à temps plein au sein du Programme.
  4. Procéder à un examen interne des factures et des dépenses du fournisseur tiers pour en vérifier la conformité aux conditions du marché et à l'article 34 de la Loi sur la gestion des finances publiques (LGFP), puis prendre les mesures nécessaires pour recouvrer tout paiement excédentaire, le cas échéant.
  5. Soumettre le Programme à un examen de gestion complet portant sur la gouvernance, la reddition de comptes et l'intendance au sein de la GRC.
  6. Procéder à un examen des contrôles internes établis pour tous les aspects du Programme aux fins d'évaluation de la conformité à la LGFP et aux autres directives connexes.

Mesures correctives faisant suite à la conclusion d'acte répréhensible :

Sous la supervision du commissaire de la GRC, la direction a pris les mesures correctives décrites ci-dessous pour donner suite aux recommandations de l'agent supérieur désigné :

  • En consultation avec des experts de l'industrie, la GRC a effectué un examen complet du modèle de fonctionnement qu'appliquait le Programme à l'époque, exercice qui a porté sur les thèmes de la gouvernance, de la reddition de comptes et de l'intendance. Le plan d'action dressé à la suite de cet examen est maintenant en voie d'exécution. Les recommandations à mettre en œuvre concernent le peaufinage et la normalisation du processus en vigueur, l'examen des capacités et des délégations de pouvoirs actuelles, la modification des règles de gouvernance, le renforcement des obligations redditionnelles et l'amélioration des mécanismes de contrôle.
  • La GRC a revu le modèle de fonctionnement du Programme, qui ne prévoit plus le recours à un fournisseur tiers pour les services de ce genre. Dans le cadre du nouveau modèle, un poste permanent sera classifié et doté en vue de la direction du Programme.
  • Si un jour il était nécessaire d'engager un fournisseur tiers pour le Programme, la GRC accepte les recommandations concernant les conditions à inclure dans le marché qui serait passé avec lui.
  • La direction a effectué un examen interne des factures et des dépenses du fournisseur tiers, dont il est ressorti qu'il ne restait aucun trop-payé à recouvrer.
  • Au cours de l'exercice 2010-2011, le dirigeant principal des Finances et de l'Administration de la GRC a entrepris un examen complet des contrôles internes du Programme aux fins d'évaluation de la conformité à la LGFP et aux autres directives connexes. Cet examen a permis de déterminer et de mettre en œuvre des mesures pour améliorer les actuelles pratiques de gestion financière et de reddition de comptes en la matière.
  • En ce qui concerne la recommandation relative à la présence d'un avocat à temps plein au sein du Programme, l'évaluation de la question se poursuit.

Disclosure of wrongdoing under the Public Servants Disclosure Protection Act (PSDPA) 2013-2014

Disclosures of wrongdoing under the PSDPA were received by the RCMP Senior Officer designated under the PSDPA in 2010. Following a thorough administrative investigation for the purposes of the PSDPA, Commissioner Paulson concluded that the allegations revealed systemic issues in the: (a) administration of a contract for services with a third party service provider ("the Contract"); and (b) exercise of financial signing authorities inconsistent with policy directives. It was determined that these allegations amounted to wrongdoing in breach of section 8(b) of the PSDPA, specifically a misuse of public funds.

The investigation identified that the systemic issues in the administration of the Contract occurred as a result of differing interpretations between the RCMP and the contractor regarding the compensation structure in the Contract. There was a degree of ambiguity regarding the billing practices to be applied under the Contract and there were varying interpretations of how the billing should occur. The investigation identified that the RCMP paid some excess billing to the contractor. Therefore, while payments were made that were not in compliance with the terms of the Contract, the investigation did not identify any deliberate attempt to violate the provisions of the Contract.

No improper payments or any losses of public money occurred as a direct result of any financial signing authorities which were exercised inconsistently with policy directives.

The Contract has since expired. Corrective action has been initiated in relation to the findings of wrongdoing and as explained below is in various stages of implementation. No employee profited as a result of this founded wrongdoing.

Recommendations in relation to the founded wrongdoing:

  1. Engage an industry subject matter expert to assist in the procurement process for all future similar contracts with private industry so future contracts use terms that are well more precisely defined.
  2. Ensure clarity within the terms of future contracts with similar third party service providers. In particular it was recommended that in future, the contractual terms should include:
    • Specific payment provisions and well-defined roles and responsibilities for future similar third party service providers, which are recognized and respected;
    • Specific parameters for referrals to similar third party service providers;
    • An effective conflict resolution mechanism for any disputes between the RCMP and a similar third party service provider.
  3. Examine the requirements for full-time legal counsel within the Program ("the Program").
  4. Carry out an internal review of the third party service provider's billing and expense invoices to determine whether this was consistent with the terms and conditions of the Contract and ensure compliance with s. 34 of the Financial Administration Act (FAA). The RCMP should take the necessary steps to recover any overpayment, if applicable.
  5. Perform a comprehensive Management Review of the Program covering governance, accountability and stewardship within the RCMP.
  6. Carry out a review of the internal controls in place for all aspects of the Program to evaluate compliance with the Financial Administration Act and other related policy directives.

Corrective action taken in relation to the findings of wrongdoing:

Under the direction of the RCMP Commissioner, management has taken corrective action in response to the designated Senior Officer's recommendations to be implemented. The actions taken include the following steps:

  • In consultation with industry experts, the RCMP conducted a comprehensive review of the Program's then-business model, including governance, accountability and stewardship. As a result of the review, an action plan was formulated and is now being implemented. Recommendations to be implemented include refinement and standardization of existing process, examination of current capacity and delegated authorities, changes in governance, strengthening of accountabilities, and improvement of control mechanisms.
  • The RCMP revised its business model for the Program, which no longer includes a third party provider for such services. As part of the revised business model, a permanent position to lead the Program will be classified and staffed.
  • If in future there is a need to engage a third party service provider for the Program, the RCMP accepts the recommendations concerning the terms of future contracts with a similar third party service provider.
  • Management conducted an internal review of the third party service provider's billing and expense invoices. As a result it was determined that there are no outstanding, recoverable overpayments.
  • During the fiscal year 2010-2011, the RCMP Chief Financial and Administrative Officer undertook a comprehensive review of the Program's internal controls with respect to FAA compliance and other related policy directives. The review resulted in the identification and implementation of measures to enhance existing procedures for financial management and reporting practices.
  • With regard to the recommendation concerning full-time legal counsel within the Program, this matter is being assessed on an ongoing basis.

Le modèle STAR

Qu'est-ce que le modèle STAR?

L'acronyme STAR signifie « Situation, Tâche, Action, Résultat ». Ce modèle utilisé par la GRC fait état d'exemples de comportement illustrant un rendement utile à l'évaluation des compétences. Assurez-vous d'employer ce modèle pour expliquer de manière détaillée les circonstances, les mesures que vous avez prises et le résultat de ces mesures afin de décrire votre expérience policière.

Information recherchée

Situation : Décrivez la situation de l'exemple de façon claire et concise.

  • Quel était votre rôle?
  • Qui était concerné?
  • Quelle information importante a influencé vos décisions?

Tâche : Décrivez clairement la tâche que vous deviez accomplir.

  • À quelle difficulté vous êtes-vous heurté?

Action : Décrivez de manière claire et détaillée les mesures que vous avez prises.

  • Décrivez ce que vous avez fait concrètement.

Résultat : Décrivez clairement quel était le résultat.

  • Qu'avez-vous accompli?

L'exemple suivant illustre le modèle STAR que nous vous demandons de préparer pour présenter les deux exemples que vous devez fournir pour chaque compétence liée à votre expérience policière.

Exemple

Compétence :

Aptitude à mener des enquêtes et expérience dans le domaine.

Situation :

Au cours des trois dernières années, j'ai supervisé un groupe des enquêtes générales. En juillet et en août derniers, il y a eu une vague de vols par effraction dans des entreprises un peu partout dans la ville. Les premières enquêtes menées par les policiers ont fourni peu de preuves permettant de cibler des suspects possibles. Cela dit, j'ai constaté que les modes opératoires étaient semblables dans la plupart de ces infractions.

Tâche :

J'étais chargé de coordonner les activités et d'enquêter sur les vols par effraction afin de repérer les suspects et de prendre les mesures voulues.

Action :

J'ai recueilli de l'information sur tous les vols par effraction perpétrés dans la ville pour lesquels le mode opératoire était semblable. Par la suite, je suis entré en contact avec des sources humaines pour savoir s'ils avaient de l'information au sujet de cette série de vols. J'ai communiqué avec l'agent des relations avec les médias, qui a rédigé un communiqué de presse demandant l'aide du public pour obtenir de l'information sur ces vols. J'ai aussi rencontré l'équipe du Groupe des crimes contre les biens et recueilli des renseignements sur des suspects possibles. J'ai été capable d'identifier deux suspects principaux, les deux travaillant indépendamment avec d'autres complices. J'ai ensuite mis en œuvre un plan d'action afin de prendre des mesures à l'égard de ces suspects. J'ai demandé l'aide d'agents d'infiltration afin de confirmer l'endroit où se trouvait l'un des suspects. J'ai organisé et présidé une réunion le 10 septembre à laquelle ont participé des policiers des divers groupes d'enquête. J'y ai présenté un plan opérationnel que j'avais élaboré à des fins de discussion.

Résultat :

Quelques jours plus tard, le premier suspect a été arrêté et traduit en justice pour de nombreux cas d'introduction par effraction. Le 15 septembre, on a procédé à la mise en œuvre du plan opérationnel ciblant le deuxième suspect. Le 28 septembre, je l'ai appréhendé et au bout du compte, il a plaidé coupable à diverses accusations d'introduction par effraction.

The S.T.A.R. Format

What is the S.T.A.R. format?

S.T.A.R. stands for Situation, Task, Action and Result. The S.T.A.R. format is used by the RCMP to capture behavioural examples of relevant performance to assess competencies. Please ensure to use this format to provide a complete description of the circumstances, the actions taken, and the results of your actions to describe your functional police experience.

We're looking for

Situation: In brief, clearly describe the situation surrounding your example.

  • What was your role?
  • Who was involved?
  • What were the important details that impacted your decisions?

Task: In brief, clearly describe what the task you were called upon to do was.

  • What was your specific challenge?

Action: In more detail, clearly describe what action(s) you took.

  • Describe what you actually did.

Result: In brief, clearly describe what the result was.

  • What did you accomplish?

The following example demonstrates the S.T.A.R. format we are seeking as you prepare the two (2) required examples for each competency relating to your Functional Police Experience.

Example

Competency:

Experience and ability to conduct investigations.

Situation:

Over the past three years I was the supervisor of a general investigations unit. During the months of July and August of last year, there was a rash of business break and enters occurring throughout the city. Initial investigations by responding officers to these break and enters yielded little evidence to focus on potential suspects. However, I noticed that there were similarities in most of these break and enters, with matching modus operandi (MO's).

Task:

It was my job to co-ordinate and investigate the break and enters in an effort to locate the suspects and follow up accordingly.

Action:

I gathered information on all break and enters occurring in the city with similar MO's. I then contacted some human sources to find out if they had any information pertaining to the rash of break and enters. I liaised with the Media Relations Officer, who prepared a media release soliciting public assistance for any information pertaining to these break and enters. I also met with the Property Crime Unit and gathered intelligence on possible suspects. I was able to identify two main suspects, both working independently with other accomplices. I then implemented an action plan to deal with these suspects. I requested the assistance of our undercover investigators to confirm the location of one suspect. I conducted a meeting on September 10 consisting of police officers from all the different investigative units. I chaired this meeting and presented an operational plan which I had developed for discussion.

Results:

Within a couple of days the first suspect was arrested and taken before the courts for numerous break and enter offences. On September 15, the operational plan on the second suspect was implemented. On September 28, I arrested the second suspect and he eventually pled guilty to numerous break and enter charges.

Access to Information and Privacy (ATIP) online request pilot project

Executive summary

Table of contents

Purpose

Description

Why the Privacy Impact Assessment was necessary

Privacy Impact Assessment objectives

Privacy Impact Assessment findings and risk summary

Action Plan – Risk mitigation

Security management

Purpose

The Government of Canada is modernizing service to Canadians while increasing its open information environment. To improve service quality and ease of access for citizens, and to reduce processing costs for institutions, the Government of Canada is beginning to transform platforms supporting the administration of Access to Information and Privacy. Canadians are allowed, for the first time, to submit and pay for Access to Information requests online with the goal of having this capability available to all departments as soon as feasible.

Citizenship and Immigration Canada has undertaken this pilot initiative which allows for ATIP requests to be submitted quickly and efficiently by maximizing online technology. In its initial pilot phase, the Access to Information and Privacy Online Request Service allows clients to submit requests and fees online for Citizenship and Immigration Canada and the two other participating departments, Shared Services Canada and the Treasury Board of Canada Secretariat. Upon the successful implementation of this pilot, the service will be expanded to other federal government institutions.

Description

This Privacy Impact Assessment is a tri-institutional initiative for Access to Information and Privacy Online Request Service. This service provides an e-requesting platform which enables this new electronic request process; thereby eliminating the need to send and receive information and fee payments by mail. The scope of this Privacy Impact Assessment encompasses the electronic collection of personal information while re-examining the collection, use, disclosure and retention within the interoperability of this single window e-request service. This Assessment covers the data flow of the information through the system, from the point of collection by Citizenship and Immigration Canada to the point of reception of the information by the appropriate Access to Information and Privacy Division of the three participating institutions.

Why the Privacy Impact Assessment was necessary

In order to ensure compliance with the Privacy Act and associated Treasury Board Secretariat privacy policies, this Privacy Impact Assessment examined privacy risks which may be associated with this online service. Identified privacy risks were mitigated, reduced or eliminated by implementing specific response measures.

Privacy Impact Assessment objectives

To assess, reduce and mitigate potential risks associated with the collection of personal information over the internet and enabling the secure transfer of the personal information to the target institution.

To resolve any privacy issues that may be of potential public concern.

The Access to Information and Privacy Online Request Pilot leverages Citizenship and Immigration Canada's existing ePayment system (via the Receiver General Buy Button) used in a variety of electronic client service applications, along with lessons learned from these initiatives. The pilot also leverages the Secure File Transfer infrastructure managed by Public Works and Government Services Canada to ensure secure transmission of data between Citizenship and Immigration Canada and pilot departments.

Privacy Impact Assessment findings and risk summary

The online request intake process is safeguarded appropriately to ensure the secure transmission of client information up to the Protected B level. Once requests enter the e-service secure transmission to the appropriate receiving institutions is made via the Public Works and Government Services Canada's Secure File Transfer solution at a Protected B level. The transmission contains the request, any attachments that were uploaded, along with a copy of the proof of payment. Successful transmission is confirmed by the receiving department to Citizenship and Immigration Canada via an automated file server confirmation. The file servers at each receiving departments are also configured to send an email notification to their respective generic Access to Information and Privacy mailbox to notify them of the presence of a new request.

Once Citizenship and Immigration Canada receives the automated confirmation from a receiving institution that a request has been transmitted successfully, request-specific information will be purged from Citizenship and Immigration Canada's system. For reporting purposes, only basic transactional logs will be retained by Citizenship and Immigration Canada: logging time of request, type of request and intended department.

Action plan – Risk mitigation

The Government of Canada takes the protection of Canadians' information very seriously. The Privacy Impact Assessment's analysis of the risks was made against the ten universal privacy and fair information practice principles of the Canadian Standards Association Model Code for the Protection of Personal Information. In addition, it includes details on the technology such as the service design, the threat analysis and description of the technical safeguards provided to protect personal information.

The participating departments are ensuring compliance with the Privacy Act and associated Treasury Board Secretariat privacy policies with clear recommendations on how to mitigate any possible risks.

The Threat and Risk Assessment recommendations address ongoing safeguards implemented to protect personal information. In addition, security measures relating to privacy risks of this pilot will be assessed at mid-pilot with an appropriate privacy management plan developed to mitigate the possibility of residual risks.

Once the information is uploaded into the federal institution's Access to Information and Privacy processing system, the standard retention and disposal period will begin. All non-transitory information collected for a request will be retained for two years after the last administrative action within the ATIP tracking tool.

To ensure compliance with the Directive on the Social Insurance Number, individuals are asked not to provide their Social Insurance Number during the online application process, including when attaching documentation to support claims of a right of access under the Access to Information Act and the Privacy Act.

The Privacy Notice Statement is viewed with a prompt of acknowledgement before any information is entered into the online tool. The notice informs the requestor that this information is initially being collected by Citizenship and Immigration Canada but only for transmission to the intended institution.

Security management

A Threat and Risk Assessment on this pilot system was completed during the production implementation. Risks to confidentiality, availability and integrity of information stored and processed by this system were mitigated by implementing safeguards. The Receiver General Buy Button and Secure File Transfer infrastructure are common services that have already been certified and accredited for use by all federal departments and agencies.

The Government of Canada cannot guarantee the security of electronic mail; therefore a caution about sending sensitive personal information via e-mail was placed on the e-request highlighting this risk. The caveat stating that, "If you are concerned about the confidentiality of information, including your personal information, in transit, you should consider sending it directly to a government institution by secure means". If the requestor has concerns, supporting documents should be mailed to the appropriate department.

Projet pilote de demandes en ligne lié à l'accès à l'information et la protection des renseignements personnels (AIPRP)

Sommaire

Table des matières

Objet

Description

Justification de la nécessité de l'évaluation des facteurs relatifs à la vie privée

Objectifs de l'évaluation des facteurs relatifs à la vie privée

Résultats de l'évaluation des facteurs relatifs à la vie privée et résumé des risques

Plan d'action – Atténuation des risques

Gestion de la sécurité

Objet

Le gouvernement du Canada a entrepris de moderniser les services qu'il offre aux Canadiens, tout en augmentant son environnement d'information ouverte. Afin d'améliorer la qualité des services offerts et de faciliter l'accès pour les citoyens, ainsi que pour réduire les coûts de traitement pour les institutions, le gouvernement du Canada a entrepris de transformer les plateformes à l'appui de la gestion de l'accès à l'information et la protection des renseignements personnels. Ce projet permet, pour la première fois, aux citoyens du Canada, de présenter une demande d'accès à l'information et d'en faire le paiement en ligne, le tout dans l'optique d'offrir cette possibilité à l'ensemble des ministères aussitôt que possible.

Citoyenneté et Immigration Canada a entrepris un projet pilote qui permet de soumettre rapidement et efficacement des demandes d'AIPRP en maximisant la technologie en ligne. Au cours de la première phase de ce projet pilote, le service de demandes en ligne d'accès à l'information et de protection des renseignements personnels permet aux clients de présenter une demande d'accès à l'information et d'en faire le paiement en ligne pour Citoyenneté et Immigration Canada, ainsi que pour les deux autres ministères participants suivants : Services partagés Canada et le Secrétariat du Conseil du Trésor du Canada. Une fois la mise en œuvre de ce projet pilote réussie, le service sera étendu à d'autres institutions du gouvernement fédéral.

Description

L'évaluation des facteurs relatifs à la vie privée est une initiative à laquelle participent trois institutions et qui constitue un service de demandes en ligne touchant l'accès à l'information et la protection des renseignements personnels. Ce service offre une plateforme en ligne pour ce nouveau processus de demandes électroniques. Il permet d'éliminer le besoin d'échanger de l'information et de faire des paiements par courrier. L'évaluation des facteurs relatifs à la vie privée comprend la collecte électronique des renseignements personnels et un réexamen du processus de collecte, d'utilisation, de divulgation, de conservation et d'élimination des renseignements personnels à l'intérieur de ce service de demandes électroniques à guichet unique. La portée de cette évaluation englobe le flux des données dans le système : du point de collecte par Citoyenneté et Immigration Canada, au point de réception par la division d'accès à l'information et de protection des renseignements personnels de l'institution destinataire parmi les trois institutions participantes.

Justification de la nécessité de l'évaluation des facteurs relatifs à la vie privée

Afin de veiller au respect de la Loi sur la protection des renseignements personnels et aux politiques connexes du Secrétariat du Conseil du Trésor du Canada sur la protection de la vie privée, l'évaluation des facteurs relatifs à la vie privée a examiné les risques d'entrave à la vie privée pouvant être liés à ce service en ligne. Les risques déterminés ont été atténués, diminués ou éliminés par la mise en œuvre de mesures précises.

Objectifs de l'évaluation des facteurs relatifs à la vie privée

  • Évaluer, réduire et atténuer les risques possibles d'entrave à la vie privée associés à la collecte de renseignements personnels en ligne et permettre la transmission sécuritaire de ces renseignements à l'institution concernée.

  • Résoudre les problèmes de protection de la vie privée susceptibles d'inquiéter le public.

Le Projet pilote de demandes en ligne d'accès à l'information et de protection des renseignements personnels tire profit du système de paiement en ligne existant de Citoyenneté et Immigration Canada (par l'intermédiaire du bouton d'achat du Receveur général), qui est utilisé dans une variété d'applications de service aux clients, ainsi que des leçons tirées dans le cadre de ce type d'initiatives. Ce projet pilote tire également profit de l'architecture de transfert sécurisé des fichiers gérée par Travaux publics et Services gouvernementaux Canada afin de garantir une transmission sécuritaire des données entre Citoyenneté et Immigration Canada et les ministères participant à l'initiative pilote.

Résultats de l'évaluation des facteurs relatifs à la vie privée et résumé des risques

Le processus d'acceptation des demandes en ligne est protégé de façon appropriée pour garantir la transmission sécurisée des renseignements de client jusqu'au niveau protégé B. Une fois les demandes entrées, elles sont acheminées à l'institution concernée par l'entremise de la Solution de transferts de fichiers sécurisés de Travaux publics et Services gouvernementaux Canada au niveau protégé B. La transmission comprend la demande, les pièces jointes téléchargées, ainsi qu'une copie de la preuve de paiement. Le ministère destinataire informe Citoyenneté et Immigration Canada qu'il a bien reçu la transmission en lui envoyant une confirmation automatique par l'intermédiaire du serveur de fichiers. Les serveurs de fichiers des ministères destinataires sont également configurés pour transmettre un avis par courriel à leur boîte aux lettres respective d'accès à l'information et de protection des renseignements personnels afin d'informer les autres ministères de la présence d'une nouvelle demande.

Une fois que Citoyenneté et Immigration Canada a reçu la confirmation automatisée de l'institution destinataire indiquant qu'elle a bien reçu la demande, l'information propre à la demande sera supprimée du système de Citoyenneté et Immigration Canada. Aux fins d'établissement de rapports, seuls des renseignements transactionnels de base seront conservés par Citoyenneté et Immigration Canada : heure d'ouverture de session de la demande, type de demande et ministère destinataire.

Plan d'action – Atténuation des risques

Le gouvernement du Canada prend très au sérieux la protection des renseignements personnels des Canadiens. L'analyse des risques de l'évaluation des facteurs relatifs à la vie privée a été effectuée conformément aux dix principes universels de gestion équitable et de protection des renseignements du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. De plus, elle comprend de l'information détaillée sur la technologie comme la conception du service, l'évaluation des menaces et la description des mesures de protection techniques fournies qui permettent de protéger les renseignements personnels.

Les ministères participants s'assurent de respecter la Loi sur la protection des renseignements personnels et les politiques connexes du Secrétariat du Conseil du Trésor du Canada sur la protection de la vie privée, et appliquent des recommandations précises sur la façon d'atténuer tout risque possible.

Les recommandations sur l'évaluation des menaces et des risques touchent les mesures de protection courantes pour protéger les renseignements personnels. De plus, les mesures de sécurité liées aux risques d'entrave à la vie privée du projet pilote seront évaluées en milieu de projet à l'aide d'un plan de gestion approprié visant à atténuer la possibilité de risques résiduels.

Une fois que l'information a été téléchargée dans le système de traitement d'accès à l'information et protection des renseignements personnels de l'institution fédérale concernée, la période de conservation et d'élimination des renseignements personnels commencera. L'ensemble des données permanentes colligées pour une demande sera conservé pour une période de deux ans suivant la dernière intervention administrative effectuée par l'intermédiaire de l'outil de suivi de l'AIPRP.

Pour être conforme à la Directive sur le numéro d'assurance sociale, on demande aux personnes de ne pas fournir leur numéro d'assurance sociale dans le cadre du processus de demande en ligne, y compris lorsqu'elles fournissent des documents à l'appui d'une demande d'accès à l'information en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

L'avis de déclaration sur la protection des renseignements personnels s'affiche avec une invite de confirmation de lecture avant que le demandeur puisse saisir des renseignements à l'aide de l'outil en ligne. Cet avis informe le demandeur que ces renseignements sont colligés à l'origine par Citoyenneté et Immigration Canada, mais seulement pour leur transmission à l'institution concernée.

Gestion de la sécurité

Une évaluation des menaces et des risques liés à ce système pilote a été effectuée au cours de l'étape de mise en œuvre. Les risques à la confidentialité, la disponibilité et l'intégrité des renseignements stockés et traités par ce système ont été atténués par la mise en œuvre de mesures de protection. Le bouton du Receveur général et l'infrastructure de transfert de fichiers sécurisés sont des services communs qui ont déjà été certifiés et accrédités pour être utilisés par les ministères et les organismes fédéraux.

Le gouvernement du Canada ne peut pas garantir la sécurité du courrier électronique; par conséquent, il a émis une mise en garde au sujet de la transmission de renseignements personnels sensibles par courriel en soulignant les risques associés aux demandes électroniques. Voici cette mise en garde : Si vous avez des préoccupations quant à la confidentialité des données, y compris celles de nature personnelle, pendant la transmission, nous vous conseillons d'avoir recours à des méthodes de transmission sécurisées pour les acheminer directement à l'institution gouvernementale concernée. Si le demandeur a des préoccupations à ce sujet, il devrait transmettre les documents à l'appui par courrier postal au ministère approprié.

Vérification de la destruction des fichiers électroniques relatifs aux dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule

Rapport final: janvier 2013

Ce rapport fut revu en considération de la Loi sur l'accès à l'information et la Loi sur la protection des reseignement personnels; l'information publiée est NON-CLASSIFIÉE.

Table des matières

Acronymes et abréviations

  • CAF - Contrôleur des armes à feu
  • DPI - Dirigeant principal de l'information
  • GRC - Gendarmerie royale du Canada
  • PCAF - Programme canadien des armes à feu
  • PGC - Procureur général du Canada
  • SCIRAF - Système canadien d'information relatif aux armes à feu
  • SPS - Services de police spécialisés

1. Contexte

Le 25 octobre 2011, la Loi modifiant le Code criminel et la Loi sur les armes à feu (projet de loi C-19) visant à supprimer l'obligation pour les particuliers et les entreprises d'enregistrer les armes à feu sans restrictions Footnote 1 a été déposée à la Chambre des communes. Le projet de loi C-19 (sous son titre abrégé - Loi sur l'abolition du registre des armes d'épaule) a reçu la sanction royale le 5 avril 2012, supprimant l'obligation d'enregistrer les armes à feu sans restrictions. La Province de Québec a demandé une injonction pour porter en appel la Loi sur l'abolition du registre des armes d'épaule et le 5 avril 2012, la Cour supérieure du Québec a émis une ordonnance en vertu de laquelle les résidents et les entreprises du Québec doivent continuer d'enregistrer les armes à feu sans restrictions.

Le Programme canadien des armes à feu (PCAF), aux Services de police spécialisés (SPS) de la GRC, est le secteur de service responsable de l'administration de la Loi sur les armes à feu et de ses règlements d'application concernant les permis ainsi que la possession, le transport, l'utilisation et l'entreposage des armes à feu au Canada de même que du soutien opérationnel direct à l'application de la loi pour toutes les enquêtes et demandes d'information ayant trait aux armes à feu. Le 10 septembre 2012, la Cour supérieure du Québec a rendu une décision favorable à la Province de Québec et a ordonné au Procureur général du Canada (PGC) Footnote 2 de fournir à la Province de Québec copie des fichiers des armes à feu sans restrictions relatives au Québec. Une fois ces données fournies, le PCAF cessera d'enregistrer les armes à feu sans restrictions du Québec et détruira les fichiers connexes. Le PGC a interjeté appel et, dans l'intervalle, le PCAF a été avisé de ne pas appliquer les changements entraînés par la Loi sur l'abolition du registre des armes d'épaule aux particuliers et aux entreprises établis au Québec. Footnote 3

La Loi sur l'abolition du registre des armes d'épaule comporte l'obligation de détruire tous les fichiers relatifs à l'enregistrement des armes à feu sans restrictions qui relèvent du commissaire aux armes à feu Footnote 4 et des contrôleurs des armes à feu (CAF). De manière précise, les dispositions transitoires de la Loi exigent ce qui suit :

  • « 29. (1) Le commissaire aux armes à feu veille à ce que, dès que possible, tous les registres et fichiers relatifs à l'enregistrement des armes à feu autres que les armes à feu prohibées ou les armes à feu à autorisation restreinte qui se trouvent dans le Registre canadien des armes à feu, ainsi que toute copie de ceux-ci qui relève de lui soient détruits.
  • (2) Chaque contrôleur des armes à feu veille à ce que, dès que possible, tous les registres et fichiers relatifs à l'enregistrement des armes à feu autres que les armes à feu prohibées ou les armes à feu à autorisation restreinte qui relèvent de lui, ainsi que toute copie de ceux-ci qui relève de lui soient détruits. »

L'organisation du PCAF compte un CAF désigné pour chaque province et territoire. Les CAF sont chargés de la prise de décision et du travail administratif en ce qui a trait aux permis, aux autorisations de transport et de port et aux cessions d'armes à feu par les particuliers et les entreprises. Le lien entre le permis et l'enregistrement peut amener le CAF à conserver une copie tangible du fichier d'enregistrement d'une arme à feu sans restrictions, d'où la précision dans les dispositions transitoires qu'elles s'appliquent aussi aux CAF. Sauf dans cinq provinces, les CAF sont nommés par le gouvernement fédéral et relèvent du directeur des Opérations des CAF au PCAF. Dans les cinq autres provinces - l'Ontario, le Québec, le Nouveau-Brunswick, l'Île-du-Prince-Édouard et la Nouvelle-Écosse - les CAF sont nommés par les provinces et rendent compte au ministre fédéral de la Sécurité publique en vertu d'accords de contribution.

Les dossiers relatifs à l'enregistrement des armes sans restrictions existent à la fois sous forme électronique et tangible (papier ou autre format). Les fichiers électroniques (données réelles) dont conservés dans le Système canadien d'information relatif aux armes à feu (SCIRAF) et les dossiers tangibles sont conservés dans les bureaux du PCAF et des CAF. Le SCIRAF est le système d'information qui héberge tous les fichiers électroniques relatifs aux permis, enregistrements, cessions d'armes à feu et autorisations de transport et de port d'armes à autorisation restreinte.

La Loi sur les armes à feu et ses règlements d'application donnent son cadre au SCIRAF. Le PCAF est propriétaire de l'application et le Secteur du dirigeant principal de l'information (DPI) de la GRC est responsable de l'architecture de la base de données ainsi que de l'administration et de la maintenance du SCIRAF. Le SCIRAF offre un soutien à l'administration et à l'exécution à tous les partenaires qui œuvrent à la délivrance de permis aux détenteurs/utilisateurs d'armes à feu, à l'enregistrement de toutes les armes à feu à autorisation restreinte ou prohibées et à la délivrance d'autorisations liées aux armes à feu à autorisation restreinte. Le Bureau central de traitement du PCAF traite les demandes de permis et d'enregistrement. La délivrance et la révocation des certificats d'enregistrement d'armes à feu relèvent de la responsabilité du registraire. En avril 2012, le SCIRAF comptait environ 7,5 millions de fichiers d'enregistrement d'armes à feu sans restrictions et demandes d'enregistrement et de cession connexes.

Le 5 avril 2012, le PCAF a cessé de délivrer des certificats d'enregistrement pour les armes sans restrictions, sauf pour les particuliers et les entreprises établis au Québec. Le 20 mai 2012, le PCAF a désactivé ses systèmes en ligne pour éviter que des particuliers et des entreprises n'enregistrent des armes sans restrictions, à moins qu'ils soient établis dans la province de Québec. Ces mesures avaient été mises au point par le PCAF en collaboration avec le Secteur du DPI pour se conformer à la Loi sur l'abolition du registre des armes d'épaule et à ses dispositions transitoires. Les étapes prévues détaillent le travail que nécessitera la destruction de tous les dossiers, électroniques et tangibles, des entrepôts d'information de la GRC et du PCAF, exception faite des fichiers concernant les agences publiques Footnote 5 et les particuliers et les entreprises établis au Québec, qui seront conservés.

Le Secteur du DPI a entrepris en octobre 2012 la destruction de tous les fichiers électroniques que l'on savait liés à l'enregistrement des armes sans restrictions que contenait le SCIRAF (à l'exception des fichiers concernant le Québec et les agences publiques).

2. Objectif, portée et méthode

2.1 Objectif

La présente vérification visait à donner une assurance raisonnable que les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes à feu qui ne sont ni prohibées ni à autorisation restreinte ont été détruits conformément aux exigences inscrites dans les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule.

2.2 Portée

La portée de la mission de vérification englobait tous les fichiers électroniques Footnote 6 du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions (exception faite du Québec et des agences publiques).

La vérification ne comportait pas de recherche de fichiers électroniques qui auraient dû être conservés par le PCAF dans le SCIRAF conformément à la Loi sur les armes à feu, puisqu'elle ne cadrait pas dans la portée de la Loi sur l'abolition du registre des armes d'épaule.

2.3 Méthode

La planification de la vérification a pris fin en novembre 2012 et a compris l'examen de documents, une revue générale du processus et l'entrevue de personnel du PCAF et du Secteur du DPI. Les sources utilisées pour élaborer les critères de vérification comprenaient COBIT 5 : Cadre de référence en matière de gouvernance et gestion des technologies de l'information. L'objectif et les critères de vérification sont présentés à l'Annexe A.

La partie examen de la vérification a été achevée en décembre 2012 et recourait aux techniques suivantes :

  • observation sur place de la destruction des fichiers électroniques du SCIRAF;
  • création et exécution de demandes d'information pour déterminer si les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions existaient toujours;
  • à l'aide d'outils de vérification assistés par ordinateur, analyse des rapports du Secteur du DPI et du PCAF et décompte de données clés du SCIRAF, qui ont servi à déterminer si des fichiers électroniques avaient par inadvertance échappé à la destruction;
  • confirmation obtenue du directeur général du Programme canadien des armes à feu et du dirigeant principal de l'Information de la GRC que les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions ont été détruits.

Un comité de supervision, qui comptait des membres de tierces parties, a apporté conseils et orientation au long de la mission de vérification. Le comité de supervision s'est réuni à chaque étape importante de la vérification. Des vérificateurs de tierces parties ont prêté leur expertise technique avant, pendant et après les tests sur la destruction des fichiers électroniques du SCIRAF liés à l'enregistrement d'armes sans restrictions.

2.4 Énoncé de conformité

La mission de vérification a été planifiée, menée et conclue en fonction des normes de vérification interne du gouvernement du Canada.

3. Principales constatations

3.1 Destruction des fichiers électroniques du SCIRAF

Les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions ont été détruits comme l'exigeaient les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule.

L'on s'attendait à ce que tous les fichiers électroniques Footnote 7 du SCIRAF que l'on savait liés à l'enregistrement des armes sans restrictions (exception faite du Québec et des agences publiques) aient été détruits.

Le Secteur du DPI a détruit les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement des armes sans restrictions, à partir des spécifications du PCAF, en écrasant les données du SCIRAF. Tous les fichiers que l'on savait liés à l'enregistrement d'armes sans restrictions qui pouvaient être traités par ce premier traitement en lot ont été détruits de cette façon. L'équipe de vérification était sur place pour observer des parties clés du processus de destruction. Pendant la destruction initiale, des anomalies ont été observées qui ont nécessité des mesures ultérieures.

Après la destruction initiale des fichiers électroniques, la base de données qui restait dans le SCIRAF a été interrogée pour déterminer si des données que l'on savait liées à l'enregistrement d'armes sans restrictions avaient échappé par erreur à la destruction. Au terme de l'analyse menée à l'aide d'outils de vérification assistés par ordinateur, on a confirmé les anomalies qui nécessitaient une validation supplémentaire du PCAF et du Secteur du DPI par rapport à l'obligation de destruction.

Le PCAF et le Secteur du DPI ont corrigé les anomalies qui avaient échappé à l'écrasement des données d'origine. Ces anomalies concernaient un nombre minime de fichiers électroniques dont les caractéristiques différaient des fichiers électroniques ciblés à l'origine pour être détruits dans le SCIRAF.

D'autres interrogations et tests de confirmation à l'aide d'outils de vérification assistés par ordinateur ont été menés pour s'assurer que les fichiers électroniques et les anomalies avaient bien été détruits dans le SCIRAF. L'analyse des résultats des tests de confirmation a confirmé la destruction effective de ces fichiers.

Le résultat des premiers tests de confirmation et interrogations ont validé que tous les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions ont été détruits.

4. Conclusion

Conformément aux exigences inscrites dans les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule, tous les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes à feu sans restrictions (exception faite du Québec et des agences publiques) ont été détruits.

Réponse de la gestion à la vérification

Un plan de mise en œuvre a été élaboré pour préparer le Programme canadien des armes à feu (PCAF) à exécuter les modifications à la Loi sur les armes à feu et à ses règlements d'application découlant du projet de loi C-19. Le plan de mise en œuvre prévoyait la destruction de toutes les données associées aux fichiers d'enregistrement des armes sans restrictions détenues dans le Système canadien d'information relatif aux armes à feu (SCIRAF), à l'exception des armes enregistrées par des entreprises ou des particuliers résidant dans la Province de Québec et des armes enregistrées au nom des agences publiques.

La destruction des données ciblées dans l'application du SCIRAF, conformément aux dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule, a été réussie. Le personnel du Programme canadien des armes à feu et du dirigeant principal de l'Information se sont efficacement attelés à une tâche très difficile, qui a connu le succès dont fait état le rapport.

Peter Henschel, sous-commissaire
Services de police spécialisés
Gendarmerie royale du Canada

Annexe A - Objectif et critères de vérification

Objectif: Donner une assurance raisonnable que les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes à feu qui ne sont ni prohibées ni à autorisation restreinte ont été détruits conformément aux exigences inscrites dans les dispositions transitoires de la Loi sur l'abolition du registre des armes d'épaule.

Critère 1 : Un plan a été établi pour la destruction des fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions (à l'exception du Québec et des agences publiques).

Critère 2 : Les fichiers électroniques du SCIRAF que l'on savait liés à l'enregistrement d'armes sans restrictions (à l'exception du Québec et des agences publiques) ont été effectivement détruits.

Audit of the Destruction of Electronic Records Pertaining to the Transitional Provisions in the Ending the Long-gun Registry Act

Final Report: January 2013

This report has been reviewed in consideration of the Access to Information Act and the Privacy Act. The published information is UNCLASSIFIED.

Table of Contents

Acronyms and Abbreviations

  • AGC - Attorney General of Canada
  • CFIS - Canadian Firearms Information System
  • CFO - Chief Firearms Officer
  • CFP - Canadian Firearms Program
  • CIO - Chief Information Officer
  • RCMP - Royal Canadian Mounted Police
  • SPS - Specialized Policing Services

1. Background

On October 25, 2011, An Act to Amend the Criminal Code and the Firearms Act (Bill C-19) with the intent to remove the requirement for individuals and businesses to register non-restricted firearms Footnote 1 was introduced in the House of Commons. Bill C-19 (short title - Ending the Long-gun Registry Act) received Royal Assent on April 5, 2012, removing the requirement for non-restricted firearms to be registered. The Province of Quebec filed an injunction to appeal the Ending the Long-gun Registry Act and on April 5, 2012, the Quebec Superior Court issued a court order that requires residents and businesses in Quebec to continue to register non-restricted firearms.

The RCMP's Canadian Firearms Program (CFP) is the service line within the RCMP's Specialized Policing Services (SPS) responsible for the administration of the Firearms Act and its associated regulations that govern possession, licensing, transportation, use, registration and storage of firearms in Canada as well as providing operational support to law enforcement agencies in all firearm-related inquiries and investigations. On September 10, 2012, the Quebec Superior Court ruled in favour of the Province of Quebec and instructed the Attorney General of Canada (AGC) Footnote 2 to provide the Province of Quebec with a copy of the non-restricted firearms records relating to Quebec. Once the data has been provided, the CFP will stop registering non-restricted firearms for Quebec and destroy the related records. The AGC filed an appeal, and in the interim, the CFP has been advised not to apply the Ending the Long-gun Registry Act changes to individuals and businesses residing in Quebec. Footnote 3

Ending the Long-gun Registry Act includes the requirement that all records related to the registration of non-restricted firearms under the control of the Commissioner of Firearms Footnote 4 and the Chief Firearms Officers (CFOs) be destroyed. Specifically, the Act's Transitional Provisions require that:

  • " 29.(1) The Commissioner of Firearms shall ensure the destruction as soon as feasible of all records in the Canadian Firearms Registry related to the registration of firearms that are neither prohibited firearms nor restricted firearms and all copies of those records under the Commissioner's control.
  • (2) Each chief firearms officer shall ensure the destruction as soon as feasible of all records under their control related to the registration of firearms that are neither prohibited firearms nor restricted firearms and all copies of those records under their control."

The organization of the CFP includes a CFO appointed for each province and territory. CFOs are responsible for decision-making and administrative work related to licences, authorizations to transport, authorizations to carry, and confirming the purpose of the transfer of restricted and prohibited firearms by individuals and businesses. The connection between licensing and registration may result in the CFO retaining a hard copy of a record related to the registration of a non-restricted firearm, hence the requirement that the Transitional Provisions also apply to CFOs. The CFOs in all but five provinces are federally appointed and report to the CFP's Director of CFO Operations. In the remaining provinces of Ontario, Quebec, New Brunswick, Prince Edward Island, and Nova Scotia, the CFOs are provincially appointed and are accountable to the federal Minister of Public Safety through contribution agreements.

Records related to the registration of non-restricted firearms exist in both electronic and hard copy (paper or other media) form. Electronic records (live data) are held in the Canadian Firearms Information System (CFIS), and hard copy records are held within the CFP and CFO offices. CFIS is the information system that contains all electronic records related to licences, registrations, transfers of firearms, and authorizations to transport and carry restricted firearms.

The Firearms Act and its regulations establish the basic framework for CFIS. The CFP is the business owner of the CFIS application and the RCMP's Chief Information Officer (CIO) Sector is responsible for the database architecture, and the administration and maintenance of the system. CFIS provides administrative and enforcement support to all partners involved in licensing of firearms owners/users, registration of firearms and the issuance of authorizations related to restricted firearms. The CFP's Central Processing Site processes licence and registration applications. The issuance and revocation of firearms registration certificates is the responsibility of the Registrar. As of April 2012, there were approximately 7.5 million non-restricted firearms registration records as well as non-restricted registration and transfer applications associated to those registration records in CFIS.

On April 5, 2012, the CFP stopped issuing registration certificates for non-restricted firearms except for individuals and businesses residing in Quebec. On May 20, 2012, the CFP disabled its online systems to prevent individuals and business from registering non-restricted firearms unless they reside in the province of Quebec. These actions were part of the CFP's steps, developed in collaboration with the CIO Sector, to address the Ending the Long-gun Registry Act and to enact the Transitional Provisions. The steps detail the work involved in destroying all records, both electronic and hard copy, from the RCMP/CFP information stores, except those records related to public agencies Footnote 5 and individuals and businesses residing in Quebec, which will be retained.

The CIO Sector commenced the destruction of all electronic records identified as being related to the registration of non-restricted firearms in CFIS (with the exception of Quebec and public agencies) in October 2012.

2. Objective, Scope and Methodology

2.1 Objective

The objective of this audit was to provide reasonable assurance that the electronic records in CFIS identified as being related to the registration of firearms that are neither prohibited firearms nor restricted firearms were destroyed as required by the Transitional Provisions in the Ending the Long-gun Registry Act.

2.2 Scope

The scope of this audit included all electronic records Footnote 6 identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) in CFIS.

The audit did not include testing for electronic records that should have been retained by the CFP in CFIS to remain compliant with the Firearms Act as this was outside the scope of the Ending the Long-gun Registry Act.

2.3 Methodology

The planning portion of the audit was completed in November 2012 and included documentation review, process walkthrough, and interviews with CFP and CIO Sector staff. Sources used to develop audit criteria include COBIT 5: A Business Framework for the Governance and Management of IT. The audit objective and criteria are available in Appendix A.

The examination portion of the audit was completed in December 2012 and included the following techniques:

  • observed on-site the destruction of electronic records in CFIS;
  • created and ran queries to determine if electronic records identified as being related to the registration of non-restricted firearms still existed in CFIS;
  • analysed, with computer-assisted audit tools, CIO Sector and CFP reports and counts of key information in CFIS, which were used to determine if any electronic records were erroneously omitted from destruction;
  • obtained confirmation from the Director General, Canadian Firearms Program and the RCMP's Chief Information Officer that the electronic records identified as being related to the registration of non-restricted firearms in CFIS were destroyed.

An oversight committee, including third party members, provided ongoing advice and guidance throughout the audit engagement. Oversight committee meetings were held at each significant stage of the audit. Third party auditors provided technical expertise before, during and after the testing of the destruction of electronic records related to the registration of non-restricted firearms in CFIS.

2.4 Statement of Conformance

The audit engagement was planned, conducted and reported in accordance with the Internal Auditing Standards for the Government of Canada.

3. Audit Finding

3.1 Destruction of Electronic Records in CFIS

Electronic records identified as being related to the registration of non-restricted firearms were destroyed in CFIS as required by the Transitional Provisions of the Ending the Long-gun Registry Act.

It was expected that all electronic records Footnote 7 identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) in CFIS would be destroyed.

The CIO Sector destroyed electronic records identified as being related to the registration of non-restricted firearms from CFIS, based on CFP specifications, by overwriting existing information in CFIS. All records identified as being related to the registration of non-restricted firearms that could be processed by the initial batch process were destroyed in this manner. The audit team was on-site to observe key parts of the destruction process. Anomalies were identified during the initial destruction that would require further actions.

Following the initial destruction of the electronic records, the resulting CFIS database was further queried to determine if information identified as being related to the registration of non-restricted firearms was erroneously omitted from destruction. The results of the analysis, conducted with computer-assisted audit tools, confirmed the anomalies that required further validation from the CFP and CIO Sector against the requirement for destruction.

The CFP and the CIO Sector addressed the anomalies that had not been captured in the initial overwrite. These anomalies related to a minority of electronic records whose characteristics differed from the electronic records that were initially targeted for destruction in CFIS.

Additional queries and confirmation tests using computer-assisted audit tools were performed to ascertain that the electronic records and anomalies had been destroyed in CFIS. Analysing the results of the confirmation tests confirmed the destruction of these records.

The results of the initial queries and confirmation tests validate that all electronic records identified as being related to the registration of non-restricted firearms were destroyed in CFIS.

4. Conclusion

In compliance with the Transitional Provisions in the Ending the Long-gun Registry Act, all electronic records identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) were destroyed in CFIS.

Management Response to the Audit

An Implementation Plan was developed to proactively position the Canadian Firearms Program (CFP) to support the changes to the Firearms Act and associated Regulations introduced by Bill C-19. The Implementation Plan included the destruction of all data associated to non-restricted firearm registration records held within the Canadian Firearms Information System (CFIS) with the exception of firearms registered to businesses or individuals residing in the province of Quebec or firearms recorded to a Public Agency.

The destruction of the target data within the CFIS application, as per the Transitional Provisions in the Ending the Long-gun Registry Act, was successful. The staff at the Canadian Firearms Program and Chief Information Officer implemented a very challenging task effectively, leading to a successful result as identified in the report.

Peter Henschel, Deputy Commissioner

Specialized Policing Services

Royal Canadian Mounted Police

Appendix A-Audit Objective and Criteria

Objective:

To provide reasonable assurance that the electronic records in the Canadian Firearms Information System (CFIS) identified as being related to the registration of firearms that are neither prohibited firearms nor restricted firearms are destroyed as required by the Transitional Provisions in the Ending the Long-gun Registry Act.

Criterion 1: A plan was established for the destruction of electronic records identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) in CFIS.

Criterion 2: Electronic records identified as being related to the registration of non-restricted firearms (except Quebec and public agencies) were appropriately destroyed in CFIS.

Interpersonal Workplace Relationship Policy

Executive summary

The Interpersonal Workplace Relationship Policy (IWRP) is designed to address potential Conflict of Interest (COI) issues that may arise when RCMP employees become involved in interpersonal relationship within the workplace. In particular, the policy creates an employee obligation to report the existence of a relationship between supervisors/persons in authority and subordinates which may raise COI concerns. The purpose of the policy is to manage conflicts of interest, ensure public confidence in the integrity and management of the RCMP, provide a safe and respectful workplace, protect employees from abuse of authority and harassment that may arise as a result of an imbalance of power between employees in the workplace and support the operational effectiveness of the RCMP. Specific concerns over the nature of the information that is to be collected have been taken into consideration and precautions in the handling of reports are addressed through the application standard document handling security procedures employed to protect IWRP reports which will be placed on the employee Conflict of Interest File.

The PIA Type referenced in this material is Departmental in nature and is restricted to internal RCMP Human Resource (HR) processes. This is a new PIA produced in support of a policy initiative as articulated in paragraph 1. The Government of Canada (GOC) institution is the Royal Canadian Mounted Police which is headed by Commissioner Robert Paulson and the Delegated Officer for this policy is the OIC Access to Information & Privacy, Ottawa. A/Commissioner Craig MacMillan, Professional Integrity Officer, has been assigned overall responsibility for this PIA. Assistance has been provided by the A/Director, Professional Standards & External Review, Ottawa, Insp. John A. MacDonald.

The IWRP is a chapter of a new RCMP Conflict of Interest Directive which provides the framework for dealing with COI and supports measures implemented to address conflicts of interest, preferential treatment, apprehension of bias, and abuse of authority or power in the workplace. Legal authorities are primarily drawn from the RCMP Act & Regulations, the Public Servants Disclosure Protection Act, and Values and Ethics Code for the Public Sector, which in turn are supported by policy and procedures relevant to the collection, use and retention of information. The Privacy Act and the Access to Information Act also impact the management of this policy. Personal information gathered pursuant to this policy will be managed consistent with the existing Personal Information Bank (PIB) governing information pertaining to Public Service Employees (PSE 915) and the modification of an existing PIB governing information pertaining to Regular and Civilian Members of the RCMP (RCMP PPE 815).

The Section II PIA Risk Analysis matrix indicates an average score of 1.83 (on a scale of 1-4) which can be categorized as "low-moderate". Statistically, this suggests that the risk to privacy inherent in this new policy, despite the highly sensitive personal nature of the information that is being gathered, is tolerable. Given that the reporting processes involved in this policy are rudimentary paper-driven reports (highly restricted access) vs. automated, large scale data "vacuuming" across multiple government departments or business lines, the risk is further diminished. Therefore, no further steps, other than what are currently in place in the RCMP to guard sensitive information, are required.

Nevertheless, it is category #2 "Type of Personal Information Involved and Context" which raises the most concern and is therefore given additional weight. This policy requires that employees disclose limited information about romantic/sexual interpersonal workplace relationships (between supervisors/persons in authority and subordinates) to the employer. Extensive consultation has taken place in order to devise appropriate measures to handle this information and to determine to what extent the employer can use it to mitigate risk. Legal advice was sought in this regard and the feedback was incorporated into the overall language of the policy. It was determined through these processes that there are no legal prohibitions against the gathering of this information so long as it is used for the purpose for which it is collected.

Top of page
Date modified: