19.8 Dans ses documents de consultation publique, le gouvernement fédéral a ainsi défini le commerce électronique :
Le commerce électronique, qui est au coeur de l'économie de l'information, se définit comme un ensemble de transactions et d'activités commerciales informatiques et électroniques comprenant, en règle générale, le traitement et la transmission de données et de renseignements numérisés.
19.9 Pour le gouvernement, le commerce électronique suppose l'utilisation d'ordinateurs et de systèmes de télécommunications dans une vaste gamme d'activités - allant d'activités internes, comme l'administration et les opérations, à des activités externes, comme la prestation des services au public. Ces activités peuvent être de nature financière, comme le transfert électronique de fonds, ou non financière, comme la transmission ou l'échange de données et d'information.
19.10 Au fil des ans, les initiatives de commerce électronique ( voir la pièce 19.1 ) ont été sanctionnées et appuyées par des comités interministériels formés de cadres supérieurs, tels que le Sous-comité du Comité consultatif supérieur du Secrétariat du Conseil du Trésor sur la gestion de l'information (SCGI) et le Conseil du renouveau administratif.
19.11 En particulier, le Secrétariat du Conseil du Trésor a déterminé que le commerce électronique constituait une initiative clé dans la mise en oeuvre du Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information de 1994. Vers la fin de 1995, le Secrétariat a obtenu l'approbation des ministres du Conseil du Trésor en vue de la mise en oeuvre du Plan directeur.
19.12 En décembre 1995, le Secrétariat a écrit à tous les sous-ministres pour les informer que le Conseil du Trésor avait approuvé la mise en oeuvre du Plan directeur et qu'il en avait sanctionné les mesures et les initiatives précises. La promotion du commerce électronique comptait parmi ces initiatives. Le Secrétariat a indiqué que le gouvernement avait l'intention d'annoncer publiquement que le commerce électronique serait son moyen privilégié de faire des affaires. De plus, le Secrétariat a formulé l'orientation qui devait permettre d'avoir fait avancer considérablement la conduite par voie électronique des activités internes en 1997 et des activités externes en 1998. La lettre soulignait également que le gouvernement avait l'intention de devenir un utilisateur modèle de l'inforoute. Depuis, le Secrétariat s'est engagé à maintes reprises à ce qu'en 1998 le commerce électronique devienne son moyen privilégié de faire des affaires avec les autres gouvernements, les organisations privées et les Canadiens.
19.13 Dans le discours du Trône de septembre 1997, le gouvernement a pris l'engagement suivant :
Nous mettrons l'infrastructure de l'information et du savoir à la portée de tous les Canadiens d'ici l'an 2000, ce qui fera du Canada le pays le plus « branché » du monde.
Il a poursuivi en disant que brancher les Canadiens leur donnerait les compétences et les connaissances dont ils ont besoin pour profiter de l'infrastructure du savoir et de l'information qui évolue rapidement au pays. Une nation branchée est considérée comme un élément important qui permettra aux Canadiens de participer à l'économie mondiale fondée sur le savoir et d'en tirer parti.
19.14 Le Groupe de travail sur le commerce électronique d'Industrie Canada mène la transition vers un « Canada branché ». Au début de 1998, il a énoncé une stratégie en deux volets - national et international - pour faire du Canada un leader en matière de commerce électronique d'ici l'an 2000.
19.15 Le volet national cherchait surtout :
19.17 Le volet national traçait également les grandes lignes du rôle que le gouvernement devrait jouer à titre d'utilisateur modèle du commerce électronique. En « se branchant », le gouvernement du Canada deviendrait alors un leader mondial de la transmission d'information et de la prestation de services par Internet. Cet objectif renvoie à une recommandation formulée en 1995 par le Comité consultatif sur l'autoroute de l'information. Il concorde aussi avec l'orientation fixée par le Secrétariat du Conseil du Trésor à la fin de 1995, selon laquelle il fallait que le commerce électronique devienne en 1998 le moyen privilégié pour la conduite des affaires du gouvernement.
19.19 Les ouvrages généraux ont montré qu'Internet représente un secteur prédominant de la croissance future du commerce électronique. Même si les statistiques sur l'utilisation d'Internet sont modestes, la croissance enregistrée jusqu'à maintenant a été impressionnante et les possibilités de croissance future sont énormes. Aux États-Unis, le commerce inter-entreprises par Internet a décuplé de 1996 à 1997, moment où il a atteint huit milliards de dollars américains; un groupe de recherche a prévu qu'il atteindra 327 milliards de dollars d'ici 2001, ce qui veut dire qu'il se multipliera par 40. Un autre groupe a estimé que le nombre d'entreprises américaines qui font affaire par Internet passera de 100 000 en 1998 à 600 000 en l'an 2000. Une étude réalisée par l'OCDE en 1997 souligne que les estimations les plus conservatrices du secteur privé prévoient que d'ici l'an 2000, le volume des transactions électroniques effectuées par les réseaux d'information mondiaux aura décuplé. Le commerce inter-entreprises par Internet devrait constituer une force majeure en Amérique du Nord et en Europe au cours des deux prochaines années.
19.20 En servant d'utilisateur modèle de l'inforoute et en poursuivant à l'échelle nationale l'objectif de « brancher les Canadiens », le gouvernement contribue à positionner le Canada dans une économie mondiale fondée sur le savoir. Traiter sur Internet représente un élément clé de la politique par laquelle le gouvernement veut faire du commerce électronique son moyen privilégié de conduire ses affaires. Le commerce électronique présente une occasion de trouver des moyens nouveaux et novateurs d'interaction avec le secteur privé, les autres niveaux de gouvernement et le public en vue de fournir des programmes et des services. Il aidera le gouvernement à répondre aux demandes prévues des utilisateurs externes au fur et à mesure que croissent l'accès et le recours à Internet. Au sein même du gouvernement, le commerce électronique peut être profitable pour l'administration et les opérations, car il permet d'accroître l'efficience et de réduire les coûts.
19.22 La vérification avait pour objet d'évaluer les progrès réalisés par le gouvernement à l'égard des trois principaux secteurs grâce auxquels il pourra faire des affaires par Internet : une infrastructure à clé publique comme moyen d'assurer un commerce électronique protégé; un cadre juridique à l'appui du commerce électronique; et des infrastructures technologiques communes. De plus, nous avons examiné quatre initiatives gouvernementales ayant trait à la prestation des services par voie électronique afin de déterminer les bonnes pratiques et les leçons qui pourraient en être tirées.
19.23 D'autres renseignements au sujet des objectifs, de l'étendue et des critères de la vérification se trouvent à la fin du présent chapitre, dans la section intitulée À propos de la vérification .
19.25 Pour que les opérations électroniques soient protégées, des mesures de sécurité différentes doivent remplacer les contrôles traditionnels qui rassurent les utilisateurs. La cryptographie fournit une protection dans quatre secteurs; elle fait en sorte : que les opérations restent confidentielles ( confidentialité ); qu'elles ne soient pas trafiquées ( intégrité ); qu'elles proviennent véritablement de la source déclarée ( authentification ); et que leur existence ne puisse pas être niée par l'auteur ( non-répudiation ). La pièce 19.2 présente un glossaire d'expressions choisies qui ont trait au principaux services crypto- graphiques publics. Ces expressions apparaissent en italique lorsqu'elles sont employées pour la première fois dans le chapitre.
19.26 En 1995, le gouvernement a déterminé que la nécessité d'une transmission protégée et privée des données constituait une question clé à laquelle il fallait répondre. Sous la direction d'un sous-comité du Conseil du renouveau administratif, on a entrepris des travaux en vue d'établir une infrastructure à clé publique pour le gouvernement. Les principales techniques de cryptographie à clé publique ont recours aux technologies pour chiffrer, déchiffrer et vérifier les données. En plus de la composante technique, une infrastructure est nécessaire pour gérer et coordonner au sein des ministères et des organismes l'administration des régimes de sécurité qui sont liés aux principaux services cryptographiques.
19.28 La recommandation a été acceptée par le gouvernement. À la fin de 1995, le Conseil du Trésor a sanctionné le projet d'infrastructure à clé publique du gouvernement du Canada (ICP GC) et a approuvé les besoins connexes de financement. Le projet devait être terminé en 1998 et les ministères devaient pouvoir s'en servir dès décembre 1998. Le Secrétariat, à titre d'organisme de surveillance, a créé et présidé l'Autorité de gestion des politiques chargée d'énoncer les politiques relatives au projet de l'ICP GC et de fournir un cadre de gestion pour les ministères et organismes participant au projet. En partenariat avec une entreprise privée, le Centre de la sécurité des télécommunications du gouvernement a agi comme maître-d'oeuvre de la mise au point du produit technique. Le Centre s'est aussi vu confier le rôle d' autorité de certification centrale , en tant qu'établissement central pour le gouvernement.
19.29 En juillet 1996, le gouvernement a signé un contrat avec une entreprise privée afin qu'elle mette au point un produit d'infrastructure à clé publique (ICP) pour le gouvernement du Canada qui répond aux exigences de celui-ci. En juin 1998, l'entrepreneur a livré un produit d'ICP provisoire. Le Centre de la sécurité des télécommunications s'attendait à ce qu'en décembre 1998, la version provisoire du produit soit acceptée et sanctionnée en vue d'être utilisée par les ministères et les organismes.
19.30 Quatre des six ministères qui ont participé au financement initial du projet utilisaient les premières versions commerciales du produit dans le cadre d'un projet pilote. Ils prévoient passer à la version provisoire du produit d'ICP une fois que le Centre aura donné son approbation temporaire. De plus, un certain nombre d'autres ministères et organismes ont exprimé leur intérêt; certains ont acheté le produit commercial en quantité limitée et s'en servent pour en faire l'essai, surtout pour envoyer des messages internes protégés.
19.31 L'Autorité de gestion des politiques (AGP), établie au début de 1996 pour le projet de l'ICP GC était présidée par le dirigeant principal de l'information par intérim du Secrétariat du Conseil du Trésor. Un nouveau dirigeant principal de l'information a été nommé en mars 1997 et a assumé la présidence en décembre 1997. Même si le problème du passage à l'an 2000, qui est lié à l'utilisation de deux chiffres pour désigner l'année, est devenu la priorité de la Direction du dirigeant principal de l'information, le projet de l'ICP GC a gardé un caractère de priorité stratégique.
19.32 Au début de 1998, on a reconnu que d'autres ressources seraient nécessaires pour faire avancer l'élaboration des politiques et le cadre de gestion du projet de l'ICP GC. Le Secrétariat a créé le Groupe interministériel de mise en oeuvre de l'ICP qui, en juillet, disposait d'un effectif d'environ 15 personnes. Le directeur du Groupe est devenu le coprésident de l'AGP. Au début de juillet 1998, quelque onze sous-comités et groupes de travail avaient été créés, engageant plus de 300 employés de divers ministères et organismes ( voir la pièce 19.3 ). En outre, on a créé le Comité directeur interministériel principal, composé de hauts fonctionnaires et assumant un rôle consultatif auprès de l'AGP.
19.33 Lorsque nous avons terminé notre vérification au début de juillet 1998, le gouvernement, sous la direction de l'AGP, avait déterminé qu'il fallait huit politiques de certificat pour l'ICP GC. Les politiques représentent quatre niveaux d'assurance en matière de sécurité : rudimentaire, de base, moyenne et élevée. L'AGP a aussi dirigé l'élaboration puis l'approbation d'un cadre d'éléments dont il faut tenir compte dans une politique de certificat et dans un énoncé de pratiques de certification .
19.34 Les politiques de certificat et les énoncés de pratiques de certification constituent des instruments nécessaires pour guider la mise en oeuvre et la gestion d'une infrastructure à clé publique. Ces instruments sont essentiels à la certification réciproque , processus grâce auquel les utilisateurs des différentes organisations qui exploitent une infrastructure à clé publique sont assurés qu'ils peuvent faire confiance aux autres. Le Groupe interministériel de mise en oeuvre de l'ICP préparait un projet de politiques et s'attendait à ce qu'il soit terminé et prêt pour fins de consultation en août 1998. Une fois que les politiques de certificat auront été adoptées, tous les ministères et organismes qui décideront de participer au projet de l'ICP GC élaboreront des énoncés de pratiques de certification compatibles avec ces politiques.
19.35 En juillet 1998, nous avons constaté que des progrès avaient été réalisés dans divers secteurs du projet de l'ICP GC. Un produit technique provisoire avait été livré et attendait d'être approuvé par le Centre de la sécurité des télécommunications, et le cadre de gestion de la composante infrastructure était en voie d'élaboration. Toutefois, nous avons aussi observé que plusieurs risques importants pourraient miner le projet. Les paragraphes suivants traitent de ces risques.
19.37 Lors de la préparation de l'analyse de rentabilisation, un groupe de travail a fait une enquête afin de déterminer l'importance de la demande gouvernementale à l'égard d'une infrastructure à clé publique pour appuyer le commerce électronique. L'enquête a été menée auprès de 26 ministères, organismes et sociétés d'État, représentant environ 15 p. 100 des entités gouvernementales et quelque 60 p. 100 des fonctionnaires fédéraux. En plus du Secrétariat du Conseil du Trésor, environ 14 entités, surtout de grands ministères, y ont répondu. L'enquête visait à faire participer directement les gestionnaires des opérations et le personnel chargé de la planification stratégique des opérations, mais le rapport d'enquête a permis de constater que les réponses de certains ministères avaient été préparées par des techniciens spécialisés en sécurité de l'information. D'après le rapport, même si ces techniciens étaient au courant des objectifs opérationnels stratégiques de leur ministère, il est aussi possible que ce facteur ait influé sur la qualité de l'évaluation de la demande.
19.38 Le rapport d'enquête présentait un résumé de la demande prévue de services de chiffrement et d'autorisation électronique de 1995 à 1999, par type d'utilisateur, à savoir fonctionnaire, entreprise privée et particulier. Les besoins étaient aussi classés par degré de certitude, allant de la demande possible à la demande ferme en passant par la demande probable.
19.39 Les résultats ont permis de prévoir, d'ici 1999, une demande ferme de services de chiffrement et d'autorisation électronique pour environ 45 000 fonctionnaires et 8 000 utilisateurs du secteur privé; aucune demande ferme n'a pu être prévue pour les particuliers. On a toutefois estimé que, d'ici 1999, le nombre d'utilisateurs pourrait dépasser 110 000 chez les fonctionnaires et atteindre 5,5 millions chez les particuliers. Les prévisions de coûts de l'analyse de rentabilisation étaient fondées sur l'information tirée du rapport d'enquête.
19.40 En 1998, le Secrétariat a convoqué plusieurs réunions pour discuter de la demande du produit commercial en vue de planifier une stratégie d'approvisionnement à l'échelle du gouvernement. Beaucoup de ministères et d'organismes se sont dit intéressés, mais la plupart n'étaient pas prêts à s'engager à acheter; le manque d'applications opérationnelles du produit était cité comme un obstacle majeur. La messagerie protégée entre les employés d'une organisation était l'application commune qui a vivement favorisé l'utilisation du produit commercial. Cela correspond aux prévisions faites dans le rapport d'enquête où il est estimé que parmi les 45 000 fonctionnaires utilisateurs qui devaient avoir besoin de services d'ici 1999, quelque 25 000 d'entre eux en auraient besoin pour l'envoi protégé de courriels internes.
19.41 Entre-temps, les gestionnaires et les administrateurs de programme des ministères et des organismes ont envisagé d'autres moyens de fournir des services et ont rationalisé les processus administratifs et opérationnels, la plupart du temps sans tenir compte du projet de l'ICP GC. Grâce aux divers comités interministériels et groupes de travail ainsi qu'aux comités consultatifs principaux et aux comités de surveillance, on est généralement sensibilisé aux différentes applications commerciales et aux initiatives mises de l'avant et on échange de l'information à leur sujet. Pourtant, aucune mesure directe n'a été prise pour coordonner les nouveaux processus opérationnels qui utilisent Internet, avec la mise au point des applications informatiques connexes et des services de cryptographie à clé publique qui les appuient.
19.42 Il y a un risque que le projet de l'ICP GC ne soit pas utilisé à sa pleine capacité au moment de la livraison. À notre avis, sans intervention directe, il est improbable que les processus opérationnels utilisant Internet et les applications informatiques connexes soient prêts lorsque les services de cryptographie à clé publique deviendront accessibles et seront officiellement approuvés à des fins d'utilisation au sein du gouvernement. Même si le problème du passage à l'an 2000 a préséance, il faut prendre des mesures pour encourager les gestionnaires de programme et les planificateurs des opérations du gouvernement à considérer l'utilisation d'Internet comme un autre moyen de fournir des services. De plus, les applications risquent aussi de viser les processus administratifs et opérationnels internes alors que le Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information prévoyait aussi la prestation des services externes par voie électronique.
19.44 À une époque où les réseaux publics sont ouverts, les utilisateurs relevant de différentes autorités de certification devront avoir des relations les uns avec les autres et certaines transactions devront se faire dans un environnement protégé. La confiance dans le système peut être maintenue seulement si les autorités de certification se font mutuellement confiance. Cette confiance peut être renforcée par la certification réciproque, processus par lequel le régime de sécurité et l'administration des certificats numériques sont vérifiés. La certification réciproque suppose également l'harmonisation des niveaux d'assurance pour les transactions.
19.45 Le processus de certification réciproque est technique et complexe et soulève des problèmes de gestion entre différentes organisations gouvernementales. C'est l'une des principales raisons qui pousse le gouvernement à élaborer de strictes politiques de certificat et la composante infrastructure de son projet de l'ICP GC. Le fait d'élargir les services de cryptographie à clé publique au-delà du gouvernement et de les faire entrer dans le domaine public complique encore le processus. Il soulève également beaucoup d'autres questions.
19.46 En voici un exemple. Logiquement, un fonctionnaire serait enregistré soit par sa propre organisation, soit par une autre entité gouvernementale chargée de cette responsabilité. Or, pour ce qui est des particuliers, la question de savoir qui est l'autorité de certification n'est pas évidente, pas plus qu'elle n'est dénuée d'intérêt.
19.47 Si le gouvernement devait se charger de certifier les particuliers, il pourrait demander à tous les ministères et organismes d'enregistrer les particuliers qui utilisent leurs propres programmes et services ou de mettre sur pied un point de service unique qui enregistrerait les particuliers pour toutes leurs transactions avec différents ministères et organismes, ou encore avoir recours à une combinaison des deux possibilités. Par ailleurs, le gouvernement pourrait demander aux particuliers de s'enregistrer auprès d'autorités de certification du secteur privé et il pourrait faire la certification réciproque avec l'aide de ces autorités pour assurer des transactions commerciales électroniques protégées entre le gouvernement et le public.
19.48 Chaque option comporte des avantages, des inconvénients et des conséquences. Une approche « chacun pour soi » entraînerait des chevauchements et ferait augmenter les coûts. De plus, les particuliers seraient peut-être obligés d'avoir de nombreux certificats numériques pour recevoir des services du gouvernement ou pour faire des transactions avec lui. Le concept « un utilisateur, un certificat » est au coeur du problème - ce qui veut dire qu'un particulier obtiendrait et utiliserait un seul ensemble de certificats pour faire des affaires avec le gouvernement. Quelle que soit la politique éventuelle du gouvernement sur la délivrance des certificats, certains particuliers s'attendraient à ce que le gouvernement fasse tout son possible pour réduire au minimum le nombre de certificats dont ils ont besoin.
19.49 En revanche, demander à une seule organisation gouvernementale d'agir comme autorité de certification des particuliers pourrait soulever des questions en matière de protection des renseignements personnels et exposer l'État à des risques de poursuite. Il faudrait alors garder en un seul endroit une forte concentration de données personnelles sous forme électronique; la certification d'un particulier par le gouvernement s'exposerait au risque de mauvaises utilisations ou d'abus.
19.50 Si le gouvernement faisait appel à des autorités de certification du secteur privé, les particuliers s'enregistreraient auprès de celles-ci et le gouvernement aurait à prévoir des mesures de certification réciproque avec chacune d'elles. Cela compliquerait les choses et pourrait soulever un défi de taille. De plus, le gouvernement aurait à régler des questions de principe, comme celle de savoir s'il faudrait choisir des autorités de certification du secteur privé pour la certification réciproque ou limiter leur nombre et celle de savoir, le cas échéant, dans quelle mesure le gouvernement devrait inciter le secteur privé à investir dans ce domaine.
19.51 Une autre question : les coûts éventuels pour le public. Peu importe l'autorité de certification choisie, le particulier devra engager des coûts pour son enregistrement initial, pour le maintien de sa certification et, au besoin, pour les changements et les renouvellements. S'il s'agissait d'un service gouvernemental, la mesure dans laquelle les coûts seraient recouvrés au moyen de frais d'utilisation serait une question de politique; s'il s'agissait d'un service du secteur privé, le public se verrait probablement imposer des frais. Ces facteurs influeront sur les services que le gouvernement souhaite offrir par voie électronique, et celui-ci devra les étudier avec soin.
19.52 Alors que l'enquête sur la demande effectuée à l'appui du projet de l'ICP GC a prévu une demande importante de services de chiffrement et d'autorisation de la part du public, son architecture technique est surtout axée sur les ministères et les organismes. L'Autorité de gestion des politiques et les prestataires éventuels de services du secteur privé ont peu dialogué avant 1998. Ce n'est qu'au cours des derniers mois que les répercussions de la certification du public ont commencé à faire l'objet d'analyses. Dans un rapport qu'il a préparé en mai 1998, un groupe de travail interministériel a recommandé que des ressources soient affectées aux fins d'une évaluation en profondeur, d'une analyse de faisabilité et de la détermination d'une option privilégiée pour l'enregistrement des utilisateurs externes.
19.53 La question de la certification des particuliers est complexe et comporte des répercussions importantes. Si le gouvernement ne la règle pas rapidement, d'autres options pourraient surgir et compliquer par la suite la coordination d'une approche commune. Cela pourrait gravement compromettre le rendement de ce que le gouvernement a investi dans le projet de l'ICP GC et restreindre la portée des affaires protégées que le gouvernement pourrait faire par Internet.
19.55 Nous avons aussi remarqué que l'élaboration du produit accuse des retards. Le contrat initial prévoyait la livraison du produit technique en 1998, à un moment qui aurait donné au gouvernement le temps de l'accepter et d'en approuver le déploiement vers la fin de l'année.
19.56 L'entrepreneur a livré une version provisoire en juin. Selon l'information obtenue du Centre de la sécurité des télécommunications, une mise à jour serait faite à l'automne et la version devrait être approuvée temporairement aux fins d'utilisation en décembre 1998. D'après le Centre, la version provisoire du produit est mise à l'essai pour les niveaux d'assurance rudimentaire et de base, et peut-être pour le niveau d'assurance moyenne. Un produit final supportant tous les niveaux d'assurance est maintenant attendu pour l'été de 1999 et l'acceptation et l'approbation finales du gouvernement, vers la fin de la même année.
19.57 De plus, les normes applicables aux produits cryptographiques évoluent. Par l'intermédiaire du projet de l'ICP GC, le gouvernement a adopté certaines normes techniques qui permettent l'interopérabilité de différentes technologies au sein du gouvernement. Ces normes ne sont pas sanctionnées par une organisation de normalisation accréditée et elles sont soumises aux forces du marché. Comme les normes évoluent, elles risquent d'être supplantées par d'autres, ce qui occasionnerait des retards supplémentaires dans l'élaboration du produit et entraînerait peut-être des incompatibilités avec certains partenaires commerciaux et des segments du secteur privé.
19.58 Selon les estimations de l'analyse de rentabilisation effectuée à l'appui du projet, les coûts totaux pour 16 ministères se situaient à environ 35 millions de dollars pour la période de cinq ans se terminant en 1999 et les coûts ultérieurs de fonctionnement continu atteignaient environ quatre millions de dollars par année. Les estimations n'incluaient pas les coûts éventuels des mises à niveau, de la maintenance et du soutien. Dans un secteur en évolution aussi rapide que celui de l'ICP, la sous-évaluation des coûts de fonctionnement annuels peut être importante. De plus, l'analyse de rentabilisation portait principalement sur l'utilisation de la cryptographie au sein du gouvernement. Les estimations ne tenaient pas compte des coûts liés à la certification des particuliers ni de la possibilité qu'il faille financer les autorités de certification du secteur privé ou partager les coûts avec elles. Si les estimations ne reflètent pas les coûts entiers d'un projet, il sera difficile d'évaluer le rendement et d'en faire rapport à une date ultérieure. En outre, cela peut mettre en doute le rendement prévu de l'investissement du projet.
19.59 Les risques et les défis que nous avons notés peuvent gravement compromettre la mesure dans laquelle l'infrastructure à clé publique permettra d'assurer un environnement protégé pour le commerce électronique. Ils peuvent miner la politique selon laquelle le gouvernement veut faire du commerce électronique son moyen privilégié de conduire des affaires ainsi que son objectif de devenir un utilisateur modèle de l'inforoute.
19.60 Le gouvernement devrait prendre rapidement des mesures pour recenser et élaborer les applications qui nécessitent la transmission protégée de données. Il devrait demander aux gestionnaires des opérations et de programme des ministères et des organismes de participer directement aux travaux du Groupe interministériel de mise en oeuvre de l'infrastructure à clé publique du Secrétariat du Conseil du Trésor ainsi qu'au projet sur l'infrastructure à clé publique du gouvernement du Canada en vue d'optimiser l'utilisation de l'infrastructure pour appuyer le commerce électronique protégé dans l'ensemble du gouvernement.
19.61 Le gouvernement devrait régler simultanément la question de la certification des particuliers et celle de l'élaboration du produit technique et du cadre de gestion de l'infrastructure à clé publique, notamment consulter le secteur privé et les autorités de certification éventuelles du public.
19.62 Le gouvernement devrait gérer les risques déjà décelés et les autres risques au fur et à mesure qu'ils se poseront. Il devrait surtout :
Nous sommes d'accord pour dire qu'il faut faire participer les gestionnaires des opérations et de programme au projet d'infrastructure à clé publique du Secrétariat du Conseil du Trésor, et des consultations avec ces groupes sont en cours. L'inventaire récent des activités liées à l'ICP dans l'ensemble du gouvernement dresse la liste d'une centaine d'activités prévues ou en cours. La consultation et l'échange d'information se poursuivront. Un comité de niveau supérieur composé de gestionnaires des opérations venant de partout au gouvernement assure aux gestionnaires de programme un leadership dans ce domaine.
Des consultations avec les provinces et le secteur privé sur des questions comme la certification des particuliers et la certification réciproque sont en cours. Le Conseil des dirigeants principaux de l'information du secteur public, créé en mars dernier, examine ces questions dans le contexte d'une approche harmonisée pour la mise en oeuvre de l'ICP à l'échelle du Canada. Le modèle proposé pour la politique de certificat de l'ICP GC est actuellement examiné par des organisations publiques et privées.
La mise en oeuvre initiale de l'ICP dans sept ministères visait à répondre aux besoins internes de ceux-ci. Elle s'est faite dans le cadre d'un projet officiel et, à ce titre, elle est gérée par le Centre de la sécurité des télécommunications. Le passage du gouvernement à la prestation des services par voie électronique se fera dans le cadre de nombreux projets et sera géré par des ministères individuels. Le Secrétariat du Conseil du Trésor assurera la coordination et la surveillance de ces initiatives, mais il veillera à ne pas compromettre l'obligation de rendre des comptes qui incombera aux gestionnaires de projet individuels.
L'approche générale pour le projet d'infrastructure à clé publique est d'utiliser un logiciel de série. C'est une approche rentable qui assure une plus grande compatibilité qu'une approche personnalisée. Le Groupe interministériel de mise en oeuvre de l'ICP suit de près l'évolution des normes en vue d'assurer une conformité continue. Grâce aux consultations avec d'autres organismes canadiens et internationaux, le gouvernement se tient au courant des tendances et des activités dans ce domaine.
Les ministères prépareront des analyses de rentabilisation, non pas pour l'ICP comme telle, mais pour des applications adaptées à l'ICP qui visent à répondre à des besoins opérationnels précis. Ces applications permettront aux ministères de faire des affaires en toute sécurité à l'intérieur du gouvernement, entre administrations et avec les Canadiens. L'approche du gouvernement est de parachever la phase 1, soit mettre en place l'infrastructure pour appuyer les applications adaptées à l'ICP au fur et à mesure qu'elles seront mises au point et déployées.
19.65 À la suite de l'examen, le Ministère a déterminé que la rédaction de dispositions générales ou globales serait plus efficiente et permettrait une plus grande uniformité que la modification individuelle des lois. Entre autres, les dispositions générales serviraient d'outil pour interpréter les lois existantes de façon neutre au point de vue des supports. Elles offriraient une option supplémentaire et n'empêcheraient pas l'utilisation des mécanismes axés sur le support papier en vertu des lois existantes.
19.66 De plus, le ministère de la Justice a déterminé que la Loi sur la preuve au Canada devait être modifiée de manière à permettre que des dossiers électroniques soient déposés en preuve. Le groupe de travail de 1995 a aussi établi la nécessité éventuelle d'examiner et de modifier cette loi.
19.67 Au début de mai 1998, le Ministère a diffusé un document de travail intitulé « Facilitation du commerce électronique : lois, signatures et preuve ». Le document faisait état de ce que le Ministère se proposait de faire, comme il est indiqué aux paragraphes 19.65 et 19.66, pour éliminer les limites éventuelles qu'il avait recensées. Il prévoyait terminer ses consultations à la fin de l'été. À la suite de notre vérification, le Ministère nous a fait savoir que le gouvernement l'avait autorisé à rédiger les amendements et que le projet de loi serait prêt à être déposé à la Chambre des communes à l'automne de 1998.
19.68 Par ailleurs, le Ministère travaille avec les provinces et les territoires en vue d'élaborer une approche harmonisée. Il participe au projet sur le commerce électronique de la Conférence pour l'harmonisation des lois au Canada. La Conférence avait notamment envisagé d'approuver de façon définitive vers la fin août son projet de loi intitulé Loi uniforme sur la preuve électronique ; l'essentiel de ce projet de loi était incorporé dans les modifications proposées pour la Loi sur la preuve au Canada .
19.70 La nécessité de composer avec ces risques éventuels de poursuite a été généralement reconnue. En plus des lois, le cadre juridique comprend d'autres instruments comme les protocoles d'entente, les ententes contractuelles et les politiques de certificat qui constituent le fondement de la certification réciproque. Les premières analyses effectuées par le Sous-comité des questions politiques et juridiques ont révélé que ces instruments pouvaient être utilisés pour limiter les risques de poursuite de l'État. Néanmoins, il reste à déterminer l'importance des risques de poursuite, s'il y en a, dans les cas où il n'existe aucune relation contractuelle et où les tiers choisissent de se fier à l'information du gouvernement.
19.71 Par conséquent, les membres de la communauté juridique du gouvernement ont proposé que chaque application articulée autour de l'infrastructure à clé publique soit précédée d'une évaluation des risques et des menaces au point de vue juridique. L'évaluation déterminerait et établirait la vulnérabilité sur le plan juridique de manière à ce que cette dernière puisse être réglée en conséquence, grâce à divers instruments du cadre juridique. L'Autorité de gestion des politiques a aussi incité les participants au projet de l'ICP GC à proposer divers scénarios qui pourraient être utilisés pour analyser plus à fond les questions de responsabilité.
19.72 Le gouvernement devrait veiller à ce que les risques de poursuite soient recensés et réglés au fur et à mesure qu'il entreprendra de nouvelles initiatives en matière de commerce électronique.
Réponse du gouvernement : De nouvelles dispositions législatives fourniront un cadre pour le commerce électronique. Le gouvernement est conscient des préoccupations au sujet des risques de poursuite. Il veillera à ce que les ministères soient sensibilisés à toutes les répercussions juridiques du commerce électronique, y compris les risques de poursuite éventuels, et à ce qu'ils gèrent ces risques en conséquence.
19.75 Sous la direction du Secrétariat du Conseil du Trésor, un document stratégique intitulé Commerce électronique : la vision et le programme d'action a été préparé en 1995 afin d'orienter l'initiative en matière de commerce électronique. Le document énonçait plusieurs initiatives et désignait un certain nombre de ministères et de groupes de travail qui devaient y donner suite. En raison du roulement du personnel et des changements de priorités au Secrétariat, de nombreuses initiatives n'ont toutefois pas été poursuivies après 1996.
19.76 Au début de juillet 1998, il n'y avait ni stratégie globale ni plan pour mettre à jour le document stratégique de 1995 et pour orienter le gouvernement vers son objectif. Rien ne précisait ce qui devait être accompli en 1998 ou ce que supposait le rôle d'utilisateur modèle d'ici l'an 2000. En outre, il n'existait pas de définition commune du commerce électronique au gouvernement. Les ministères et les organismes ont élaboré diverses initiatives en la matière, mais aucun effort de coordination n'a été déployé. Même si un comité interministériel de sous-ministres a demandé que les progrès du commerce électronique au gouvernement soient surveillés et que des données précises soient recueillies, rien n'a été fait en ce sens.
19.77 Le principal effort du Secrétariat pour faire avancer le commerce électronique au gouvernement a été déployé par son groupe de mise en oeuvre de l'ICP. Les services de cryptographie sont indispensables pour inspirer la confiance dans le commerce électronique protégé, mais ce ne sont pas des services essentiels pour tous les types de transactions internes et externes du gouvernement. Par exemple, on a dit avoir besoin, pour une seule des quatre initiatives que nous avons examinées, des services assurés au moyen de l'infrastructure à clé publique du gouvernement.
19.78 Les ministères et les organismes font progresser leurs propres initiatives en matière de commerce électronique. Toutefois, pour que le commerce électronique progresse à l'échelle du gouvernement, il faut qu'un parrain principal évalue les progrès du gouvernement et établisse l'orientation future. Sans ce parrain, le gouvernement risque de ne pas atteindre l'objectif de sa politique ni de respecter son engagement, à savoir devenir un utilisateur modèle. Fait encore plus important, l'objectif envisagé dans le Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information pourrait ne pas être pleinement atteint.
19.80 Dans le cadre du projet de l'infrastructure à clé publique du gouvernement, la définition et l'adoption de normes ouvertes à l'appui de la certification réciproque et du recours aux services de cryptographie progressent. Par exemple, des normes sont établies pour les annuaires électroniques au gouvernement de manière à ce que les autorités de certification puissent y inclure des certificats électroniques permettant au gouvernement ou aux particuliers d'y accéder.
19.81 Cependant, les efforts d'actualisation des NCTTI sont lents. Il faut des normes technologiques pour appuyer les infrastructures communes de sorte que différentes plates-formes technologiques puissent fonctionner entre elles. Les infrastructures communes facilitent l'accès transparent par le public à l'information et aux services de différents ministères et organismes. Dans le chapitre 16 de notre rapport de 1996, nous soulignions que de nombreuses NCTTI étaient d'une pertinence douteuse et qu'elles étaient supplantées par des normes de fait dans l'industrie des technologies de l'information. Au cours de la présente vérification, nous avons remarqué que la nécessité d'adopter des normes à l'appui d'infrastructures communes avait fait l'objet de discussions à de nombreuses tribunes interministérielles. Mais rien n'a été fait pour déterminer les types de normes nécessaires et les normes précises que le gouvernement devrait adopter.
19.82 Grâce aux travaux d'un comité interministériel, le Secrétariat du Conseil du Trésor a préparé un guide sur Internet. Le guide est accessible sur Internet et fournit des orientations techniques pour la création de sites Web. Nous avons constaté que l'ampleur des orientations pourrait être élargie et que plus d'importance pourrait être accordée à l'utilisation du guide par les ministères et les organismes.
19.83 Le guide contient principalement des orientations techniques pour la création de sites Web. Il contient aussi des orientations pour aider les utilisateurs des ministères et des organismes à tenir compte du principe gouvernemental de « présentation uniforme » et de « facilité d'utilisation ». Le principe de présentation uniforme veut que les sites Web partagent certaines caractéristiques communes de manière à ce que les particuliers puissent facilement déterminer qu'ils consultent un site Web du gouvernement. Le principe de facilité d'utilisation veut que la navigation sur les sites soit facile pour que les utilisateurs puissent accéder à l'information rapidement et efficacement. Toutefois, ni ce guide ni d'autres guides ne fournissent d'orientation sur des questions comme l'analyse de l'incidence d'un service Internet sur les utilisateurs et l'examen des préoccupations liées à la sécurité et à la protection des renseignements personnels.
19.84 Nous avons aussi constaté que l'accès au guide du Secrétariat sur Internet ainsi que son utilisation ne faisaient pas l'objet d'un suivi et qu'il n'existait pas de mécanisme de rétroaction. La longueur du guide ne facilite pas sa consultation sur Internet, et aucune copie papier n'a été distribuée.
19.85 En 1995, Travaux publics et Services gouvernementaux Canada a reçu l'approbation en vue d'établir un site Internet pour le Canada qui assurerait au gouvernement fédéral une présence sur Internet. Ce site devait aussi fournir un accès à guichet unique à l'information et aux services du gouvernement. Le concept de guichet unique a été abordé dans le Plan directeur en 1994 et appuyé par le Conseil consultatif sur l'autoroute de l'information, dans son rapport de 1995. Le site à l'adresse http://www.canada.gc.ca est entré en service en décembre 1995. Son utilisation a presque décuplé, passant d'environ 500 000 visites par mois au début de 1996 à environ cinq millions de visites par mois au début de 1998.
19.86 Le site Internet du Canada a donné suite à l'exigence initiale de fournir un point commun d'accès à l'information gouvernementale. Pourtant, le site n'est pas convivial et il ne facilite pas un accès transparent aux divers services gouvernementaux, surtout les services qui concernent plus d'un ministère ou plus d'un organisme. Dans la plupart des cas, un utilisateur doit savoir exactement quel ministère ou organisme fournit un service particulier pour pouvoir y accéder. Depuis sa mise en oeuvre, le site est demeuré statique; les changements se sont limités à la maintenance courante. Le Ministère nous a informés qu'il est conscient des lacunes du site et qu'il a l'intention d'y remédier. Sous réserve de la disponibilité des ressources, il compte adopter, pour le site, une orientation axée sur le client. Le Ministère nous a signalé que, depuis la fin de la vérification, on fait des démarches pour aider les utilisateurs à consulter les renseignements sur le site Internet du Canada.
19.87 Deux ans et demi après la diffusion de l'énoncé de politique sur le commerce électronique, il n'y a toujours pas de parrain principal pour définir une orientation future, et il reste beaucoup de questions à régler pour arriver à l'infrastructure commune nécessaire.
19.88 Le gouvernement devrait nommer un parrain principal qui aurait pour mission de faire progresser, au sein de l'administration fédérale, l'utilisation du commerce électronique et de faire du gouvernement un utilisateur modèle de l'inforoute. Il devrait notamment songer à prendre les mesures suivantes :
Réponse du gouvernement : En avril de cette année, le gouvernement a indiqué qu'afin de mieux respecter son engagement à l'égard des principes visant l'amélioration du service, il avait établi, au sein du Secrétariat du Conseil du Trésor, un nouveau secteur dont le mandat était de se concentrer sur les moyens à utiliser à l'échelle du gouvernement pour améliorer les services offerts aux Canadiens. La création de ce nouveau secteur s'est inscrite dans les efforts continus et concentrés que déploie le Secrétariat pour que le commerce électronique devienne le moyen privilégié par le gouvernement de conduire les affaires. Le nouveau secteur axe ses activités sur la priorité du gouvernement, c'est-à-dire « brancher » tous les Canadiens et mettre l'infrastructure de l'information à la disposition de tous les Canadiens d'ici l'an 2000. Les canaux de la prestation des services par voie électronique incorporeront et utiliseront l'infrastructure à clé publique, le cadre juridique et les infrastructures technologiques communes qui sont visés par la présente vérification.
Récemment, le Premier ministre a indiqué que le gouvernement appuyait le commerce électronique en disant que : « Le gouvernement fédéral n'est pas le seul à s'attaquer aux grandes questions relatives au commerce électronique. Avec le monde des affaires, les consommateurs et les autres paliers de gouvernement, nous progressons sur divers plans intéressant le commerce électronique, et je mentionne ici la fiscalité, la propriété intellectuelle, le droit à la vie privée, le cadre juridique et la politique en matière de cryptographie. »
Il convient de noter que la fonction de parrain est une responsabilité générale du gouvernement, les ministères jouant un rôle important. La fonction principale de parrain relève de plus d'un seul ministère ou sous-ministre. Le commerce électronique représente une nouvelle façon de faire des affaires et exige de nouvelles approches. Les questions sont horizontales et intéressent tous les ministères. Il est important de reconnaître cette responsabilité horizontale.
Les progrès du gouvernement en matière de commerce électronique seront communiqués dans le Rapport sur les plans et les priorités et dans le Rapport sur le rendement du Secrétariat du Conseil du Trésor.
Le gouvernement tient compte de la nécessité d'avoir des normes en matière de technologies de l'information. Les principales normes technologiques pour la messagerie protégée, les annuaires, les « cartes à mémoire » et les documents font l'objet d'un examen en vue d'être adoptées ou proposées pour adoption. L'établissement de normes supplémentaires à l'appui de l'ICP se fera selon les besoins et en fonction de la priorité relative de ces normes. Un examen interne des normes nécessaires à la mise en oeuvre de l'ICP, du commerce électronique et de la prestation des services par voie électronique sera entrepris à l'automne. Cet examen devrait permettre de recenser un certain nombre de projets en matière de normes qui devraient être amorcés ou réactivés.
19.91 Les quatre initiatives ont recours à Internet pour assurer des services gouvernementaux à des particuliers ou à des entreprises canadiennes. Trois de ces initiatives imposent des frais pour les services rendus. Une fois mises en oeuvre, deux initiatives compléteront des services existants qui utilisent le papier, alors que les autres initiatives deviendront le seul moyen d'avoir accès à ces mêmes services.
19.92 Certaines initiatives sont menées dans le cadre de projets pilotes, alors que d'autres ont été pleinement mises en oeuvre. Les initiatives vont des plus simples aux plus complexes. Elles nécessitent des caractéristiques de sécurité de divers niveaux, allant de l'authentification de l'identité des utilisateurs jusqu'à la protection de l'intégrité des données transmises et la perception des droits d'utilisation.
19.94 Pour deux des projets examinés, les responsables ont étudié la possibilité d'un partenariat avec le secteur privé et font maintenant participer des entreprises privées à la prestation des services par voie électronique. Grâce à son système MERX, Travaux publics et Services gouvernementaux Canada impartit la transmission d'information aux fournisseurs qui soumissionnent à des contrats d'approvisionnement. Le Ministère et les provinces participantes assurent le contenu, l'entreprise privée crée et tient le site Web ainsi que le système de facturation par lequel des frais d'utilisation sont imposés et recueillis.
19.95 Pour percevoir les frais d'utilisation de son application « Statistiques en direct », Statistique Canada retient les services d'une institution financière qui s'occupe de toutes les transactions par carte de crédit. Une solution interne aurait obligé le gouvernement à recourir à des services cryptographiques à clé publique. Elle aurait aussi obligé Statistique Canada à certifier directement les utilisateurs ou à en assurer la certification réciproque avec les autorités de certification de ces utilisateurs. De plus, comme nous l'avons constaté, l'approbation en vue du déploiement du produit technique pour l'infrastructure à clé publique du gouvernement n'est pas prévue avant décembre 1999, ce qui aurait retardé la mise en oeuvre du projet de Statistique Canada. En juillet 1998, l'initiative « Statistiques en direct » fonctionnait depuis environ deux ans.
19.96 Le Cadre amélioré de gestion du gouvernement qui s'applique à la gestion des projets des technologies de l'information prévoit la préparation d'analyses de rentabilisation. Les initiatives électroniques peuvent être mises au point à diverses fins : pour faire l'expérience de nouveaux mécanismes de prestation des services; pour rationaliser les opérations et réduire les coûts; ou pour répondre aux pressions opérationnelles ou aux demandes des utilisateurs. Sans analyse de rentabilisation qui énonce les avantages attendus d'une initiative, il serait difficile d'en évaluer ultérieurement le pour et le contre. Si les coûts ne sont pas estimés au départ, il devient difficile de contrôler les dépassements de coûts et l'élargissement de la portée de l'initiative. À une exception près, nous avons constaté que l'on n'avait pas préparé d'analyse de rentabilisation des initiatives que nous avons examinées.
19.97 Nous avons aussi constaté qu'aucun des quatre ministères et organismes n'avait évalué les risques ou les menaces des initiatives. Les évaluations des risques et des menaces servent généralement à déterminer le niveau de sécurité nécessaire pour les transactions et à analyser les solutions de remplacement sur le plan de la sécurité. Elles contribuent à trouver les solutions les plus appropriées et les plus rentables en matière de sécurité.
19.98 À notre avis, les initiatives courantes de commerce électronique peuvent fournir une abondance de renseignements pour les autres projets. En plus de tirer des leçons de ces initiatives, les responsables d'autres projets peuvent en utiliser certaines caractéristiques ou certains éléments. Par exemple, d'autres organisations gouvernementales peuvent aussi avoir des applications opérationnelles qui exigent le dépôt protégé de documents ou demander des frais d'utilisation. Même s'il existe une liste des initiatives de commerce électronique au gouvernement, personne ne s'est vu confier la responsabilité de la tenir à jour ou d'examiner les initiatives et de faire part de l'expérience acquise aux ministères et aux organismes.
19.99 Le Secrétariat du Conseil du Trésor devrait voir à ce qu'un répertoire des initiatives de commerce électronique au gouvernement soit tenu et mis à jour régulièrement. Il devrait analyser les initiatives pour en dégager les bonnes pratiques et les leçons apprises, et faire part de cette information aux ministères et aux organismes de manière à ce qu'ils puissent tirer profit de l'expérience des autres.
Réponse du gouvernement : Nous sommes d'accord pour dire que l'information sur les initiatives en matière de commerce électronique doit être communiquée à l'ensemble du gouvernement de manière à ce que les ministères et les organismes puissent tirer profit de l'expérience des autres. Cette recommandation doit être contrebalancée par la nécessité de ne pas surcharger les ministères avec d'autres demandes de rapports. Les projets exploratoires sont actuellement mis en relief par le Secrétariat du Conseil du Trésor. On continuera à faire le suivi des initiatives et de leurs progrès dans un répertoire officieux.
19.101 En particulier, il travaille à l'élaboration d'une solution technique aux préoccupations concernant la sécurité des transactions effectuées sur les réseaux publics ouverts. Un produit provisoire est prêt et devrait être approuvé par le gouvernement d'ici la fin de 1998. Le cadre de gestion de ce projet de cryptographie est en voie d'élaboration.
19.102 Lors de l'examen du cadre juridique, le gouvernement a déterminé que toutes les lois fédérales étaient formulées de manière à favoriser le support papier et il poursuit ses travaux en vue de trouver une solution. Grâce à un comité interministériel, le Secrétariat du Conseil du Trésor a produit un guide sur Internet qui offre aux ministères et aux organismes des orientations techniques pour la création de sites Web, et le Canada dispose d'un site qui assure la présence du gouvernement fédéral sur Internet.
19.103 Par ailleurs, nous avons décelé plusieurs risques importants qui pourraient miner le projet de l'infrastructure à clé publique que le gouvernement a entrepris pour appuyer ses activités de commerce électronique protégé. Nous avons constaté que le processus opérationnel utilisant Internet et la mise au point d'applications informatiques connexes accusent du retard par rapport au projet d'infrastructure à clé publique, ce qui fait que l'infrastructure risque d'être peu utilisée lorsqu'elle sera achevée. La nécessité de certifier les particuliers et les répercussions d'une telle certification présentent un autre risque. Si ces risques ne sont pas gérés à temps, ils pourraient limiter considérablement le recours à l'infrastructure pour appuyer la prestation des services externes. De plus, nous avons décelé certains défis au niveau de l'élaboration et de la mise en oeuvre du projet qui doivent être relevés.
19.104 Nous avons aussi constaté que le commerce électronique peut avoir une incidence importante sur les risques de poursuite auxquels pourrait s'exposer le gouvernement. Une analyse plus approfondie de cette question et la recherche d'une solution s'imposent.
19.105 En outre, nous avons observé qu'il faut un parrain principal pour faire avancer le commerce électronique au gouvernement. Il reste de nombreuses questions à régler avant que des infrastructures communes soient en place pour appuyer la prestation transparente des services dans l'ensemble des ministères et des organismes. Une stratégie et une orientation sont nécessaires pour définir les objectifs et les buts du gouvernement en matière de commerce électronique au-delà de 1998. Il faudra aussi prendre d'autres mesures pour que le gouvernement tienne sa promesse de devenir un utilisateur modèle de l'inforoute d'ici l'an 2000.
La vérification avait pour objet d'évaluer les progrès du gouvernement dans trois secteurs clés :
Nous avons examiné quatre initiatives de commerce électronique qui sont mises à l'essai ou qui tournent sur Internet en vue d'assurer des services du gouvernement. Il s'agit de l'enregistrement des marques de commerce à Industrie Canada, du dépôt électronique des demandes relatives à la réglementation à l'Office national de l'énergie, du service d'appel d'offres MERX à Travaux publics et Services gouvernementaux Canada et de Statistiques en direct (CANSIM et données sur le commerce) à Statistique Canada.
Joe Lajeunesse
Pour obtenir de l'information, veuillez communiquer avec Mme Nancy Cheng.