Vérification de la gestion des documents

Rapport final

4 octobre 2002

Table des matières

Résumé

1.0 Introduction

1.1 Contexte

1.2 Objectifs de la vérification

1.3 Portée de la vérification

1.4 Approche et méthodologie

2.0 Constatations et recommandations de la vérification

2.1 Pertinence de l'infrastructure de tenue des dossiers

2.2 Classification et classement des documents

2.3 Protection des renseignements personnels

3.0 Plan d'action de la gestion

Résumé

Les problèmes pangouvernementaux en matière de gestion des documents ont récemment été soulignés par l'archiviste national et le commissaire à l'information du Canada. Par exemple, on peut lire, dans le rapport annuel 1999-2000 du commissaire à l'information : « La gestion de l'information dans l'administration fédérale est dans un si piètre état que l'expression est presque devenue un oxymoron. La tenue des dossiers est en crise [...] et compromet le projet du gouvernement, lequel veut devenir l'administration la plus branchée au monde d'ici 2004».

Ces problèmes se posent dans le contexte du cadre stratégique actuel du Secrétariat du Conseil du Trésor en matière de gestion des documents: la Politique de gestion des renseignements détenus par le gouvernement (GRDG). Publiée pour la première fois en 1989, elle vise l'ensemble des renseignements détenus, peu importe le support utilisé, y compris les archives.

La Politique de la GROG est muette quant à l'aspect économique de son administration. Or, les coûts totaux que supposerait la réalisation de toutes les exigences de gestion, quoique encore inconnus, seraient certainement considérables. La direction doit se poser la question suivante: de quel ordre devraient être nos investissements en matière de tenue des dossiers (notamment en personnel spécialisé en la matière, en information du personnel, en espace et installations, en processus de manipulation des documents, en équipement et soutien technologiques et la surveillance de gestion) afin d'être en mesure de respecter nos obligations, tant juridiques que stratégiques, de même que les impératifs opérationnels?

Le portrait global que trace la présente vérification de la gestion des documents à la Commission de la fonction publique (CFP) est celui d'une organisation axée sur les connaissances, qui produit beaucoup de documents et qui en est dépendante, mais aussi celui d'une organisation à laquelle il manque une infrastructure adéquate en la matière. Résultat : les pratiques relatives à la manipulation des documents, papier et électroniques, qui sont contrôlés localement et séparément par les différentes unités opérationnelles ou par le personnel des Services des documents corporatifs, manquent d'uniformité.

Les Services des documents corporatifs ont vu leur personnel passer de 24 ETP à 11 au cours des sept dernières années. Quant au nombre de services des dossiers à l'administration centrale, il est passé de six à quatre. Le nombre de secrétaires et d'adjoints administratifs a aussi connu une réduction, et leurs responsabilités en matière de tenue de dossiers ont été déléguées aux autres membres du personnel. Il manque d'expertise dans le domaine de la gestion efficace des documents.

Les dossiers papier qui sont sous le contrôle du groupe des Services des documents corporatifs sont gérés conformément à la politique gouvernementale et aux pratiques en vigueur. En revanche, la version électronique des courriels, ainsi que certains fichiers électroniques, ne sont gérés selon aucune norme, ministérielle ou autre. Ni les utilisateurs , ni les professionnels de la gestion des documents ne disposent d'outils électroniques qui leur permettraient de gérer ces fichiers. Un grand nombre de membres du personnel de la CFP sont incapables de faire la différence entre l'information de nature institutionnelle⁽¹⁾ et celle de nature temporaire⁽²⁾ qui est contenue dans ces fichiers; ce qui pourrait se traduire par la destruction non autorisée de documents pouvant avoir une grande valeur.

Pour toutes les institutions gouvernementales, la protection des renseignements personnels constitue une responsabilité fondamentale, mais encore plus pour la CFP, où les renseignements sur les personnes sont essentiels à l'accomplissement de sa mission et de son mandat. Les exigences en matière de protection des renseignements personnels sont énoncées dans les lois, les politiques et les codes de pratiques exemplaires fédéraux. Dans l'univers des documents papier, la sécurité et la protection sont assurées par les pratiques, les outils manuels et les dépôts de documents: l'univers du tangible. Les documents sont manipulés, classés, triés, récupérés et transportés comme les objets matériels qu'ils sont. Dans l'univers des documents électroniques, la sécurité matérielle et les politiques relatives à la protection sont complétées par des mécanismes électroniques de contrôle d'accès et le cryptage.

La CFP dispose d'un ensemble suffisant de lignes directrices et de pratiques pour protéger les renseignements personnels contre une éventuelle divulgation non autorisée. Les employés interrogés comprenaient bien l'importance d'une manipulation adéquate des renseignements personnels, afin que les droits de chaque personne soient respectés. Si le Guide de classification et de désignation des renseignements de la CFP s'avère un outil utile, il n'en serait cependant que meilleur s'il fournissait des directives plus claires concernant la mise en application de ses exigences. Même si les membres du personnel sont sensibilisés et font montre de la diligence nécessaire lorsqu'ils manipulent des renseignements personnels, la CFP n'a aucune assurance que tous les renseignements personnels sont en sécurité et protégés au sens de la loi, de la politique et du code.

La présente vérification a mis au jour un certain nombre de problèmes ayant un rapport avec les trois secteurs examinés, le principal étant la nécessité de renforcer l'infrastructure de tenue des dossiers afin que tous les renseignements consignés soient gérés selon une norme commune. Pour ce faire, il faudra s'assurer que la politique, les procédures, les pratiques, les systèmes, ainsi que les autres ressources sont suffisantes pour appuyer la saine gestion des renseignements consignés de la CFP.

Les pratiques actuelles de la CFP en matière de protection des renseignements personnels sont raisonnables compte tenu de la nature des renseignements détenus. Il y a place à l'amélioration en ce qui a trait à la sensibilisation des membres du personnel et à la qualité des directives qui leur sont données. Cependant, tant que les lacunes du cadre de gestion des documents n'auront pas été comblées, la capacité de la CFP de se conformer complètement à la politique fédérale en matière de protection des renseignements personnels sera compromise.

1.0 Introduction

La présente vérification s'inscrit dans le cadre du Plan de vérification et d'examen 2000-2001 de la Commission de la fonction publique du Canada. Elle a été approuvée par le Comité de la vérification en juin 2000.

1.1 Contexte

Les renseignements consignés constituent une ressource qui doit être gérée, au même titre que les ressources humaines, financières, matérielles et immobilières de toute institution.

Est considéré comme un document tout renseignement consigné, peu importe son format, qui a été créé ou reçu par une institution, un groupe de travail ou une personne, dans le cadre du déroulement de ses activités ou de la conduite de ses affaires, et qui est par la suite conservé à titre de preuve de cette activité. Les documents servent aux institutions pour contrôler, appuyer ou documenter la prestation de programmes, mener à bien des activités, prendre des décisions, rendre compte de leurs activités ou fournir des preuves lors d'actions en justice.

La gestion des documents est la fonction qui permet aux institutions de remplir leurs obligations juridiques, qui consistent à gérer les sources de renseignements consignés, que ce soit en format papier ou électronique. Les politiques et les lignes directrices relatives à la création, à l'identification, à la classification, à la récupération, à la réception, à la transmission, au stockage, à la protection, au déclassement, à la conservation et à la diffusion de renseignements et de documents font partie du système ministériel de tenue des dossiers. L'infrastructure de tenue des dossiers englobe le système de tenue des dossiers, l'espace, l'équipement et le personnel nécessaires pour administrer la fonction de gestion des documents.

Toute institution doit, de par la loi, recueillir et tenir à jour des documents gouvernementaux. Tel qu'il est stipulé dans le document intitulé La gestion des renseignements détenus par le gouvernement et dans les articles 5 et 6 de la Loi sur les Archives nationales du Canada, la politique du gouvernement canadien à cet égard stipule que les ministères fédéraux doivent :

• s'assurer que soient conservés les documents ayant une valeur durable, c'est-à-dire qui étayent l'évolution des politiques, des programmes et des grandes décisions de l'administration fédérale;
  
  
• identifier les projets, programmes et politiques et les documenter afin de garantir la gestion continue des institutions fédérales et d'enregistrer l'évolution de celles-ci au fil des ans.

La section des Services des documents corporatifs (SDC), qui relève de la Direction des finances et de l'administration, Direction générale de la gestion ministérielle, fournit à la CFP un service centralisé et professionnel d'accès aux documents, de même que d'identification, de description, de classement et de stockage de ces derniers. Elle est responsable de quatre bureaux des documents (ou salles des dossiers) à L'Esplanade Laurier et donne, au besoin et selon la charge de travail, des conseils sur la gestion des documents au personnel de la CFP. Les SDC ne sont présents dans aucun des bureaux régionaux de la CFP et ils sont composés de 11 ETP.

1.2 Objectifs de la vérification

L'objectif global de la présente vérification consistait à fournir à la haute direction de la CFP une évaluation de la situation concernant la gestion des documents à la CFP, y compris les risques de divers ordres, et à formuler des recommandations sur les points à améliorer. Voici les trois objectifs particuliers :

• Déterminer si le niveau actuel d'investissement de la CFP dans son infrastructure de tenue des dossiers est suffisante pour remplir ses obligations juridiques et stratégiques et pour répondre aux exigences relatives à ses secteurs d'activités, ce qui comprend les investissements en vue de garantir la conformité aux politiques, aux procédures et aux pratiques en matière de documents;
  
  
• Évaluer dans quelle mesure les documents - tant électroniques que papier - détenus par la CFP sont classifiés, classés et détruits en conformité avec les politiques, les procédures et les pratiques approuvées en matière de documents;
  
  
• Évaluer dans quelle mesure la CFP dispose de responsabilités, de lignes directrices et de mécanismes d'examen qui garantissent collectivement la protection des renseignements personnels selon les normes prévues par les lois et les politiques fédérales.

1.3 Portée de la vérification

La portée de la présente vérification se limitait à trois aspects, ou facettes, de la gestion des documents :

• infrastructure de tenue des dossiers (personnel, politiques, responsabilités, outils, etc.);
  
  
• classification, classement et déclassement des documents de nature opérationnelle et administrative (format papier ou électronique);
  
  
• protection des renseignements personnels et sensibles.

Parmi les activités visées par la présente vérification, notons certaines fonctions de tenue de dossiers et de manipulation de documents exécutées par le personnel assigné à la gestion des documents et par d'autres membres du personnel de la CFP, dont des adjoints administratifs, des directeurs de secteurs d'activités, d'autres professionnels et professionnelles, des membres du personnel opérationnel, des gestionnaires du soutien technologique ainsi que des administrateurs provenant de tous les domaines d'activités, à l'administration centrale et dans deux régions.

Plus de 80 employés et gestionnaires ont été interrogés et 203 dossiers papier portant sur 23 fonds de renseignements différents ont été examinés en vue d'en évaluer la conformité avec le niveau de protection prévu concernant les renseignements personnels détenus par la CFP. De plus, les pages Web et les écrans informatiques de saisie de données servant à recueillir les renseignements personnels liés à ces fonds ont eux aussi été examinés.

Ont été exclus de la vérification d'autres aspects du cycle de vie des renseignements consignés tels que la création, la collecte et la diffusion des documents, leur accès, la gestion des renseignements à proprement parler et la gestion des produits et services d'information.

La vérification n'a pas porté sur la protection des appareils de stockage des renseignements électroniques, comme les serveurs de réseau, contre la compromission, ni sur les mesures prises par la CFP pour s'assurer que les renseignements personnels transmis électroniquement sont à l'abri des accès non autorisés.

1.4 Approche et méthodologie

Selon le plan fixé pour la présente vérification de la gestion des documents, le processus de vérification a été divisé en trois phases, qui sont résumées ci-dessous.

Phase d'examen préliminaire

L'examen préliminaire, qui se fondait sur 18 entrevues et sur l'examen de 84 documents, a fait ressortir une série de problèmes liés à la gestion des documents et présentait le plan général de la phase des travaux de vérification.

L'examen préliminaire a permis de fournir une évaluation de la situation concernant la gestion des documents à la CFP par rapport au cadre fédéral de gestion des documents et à la Politique de gestion des renseignements détenus par le gouvernement (GROG). Selon les constatations, un certain nombre de problèmes liés aux documents ont été décelés et évalués. Trois de ces problèmes ont fait l'objet de recommandations afin qu'un examen et un rapport détaillés soient faits à leur sujet.

Phase des travaux de vérification

Cette phase, qui s'est tenue entre les mois de septembre 2001 et de janvier 2002 et qui a donné lieu à des visites dans deux bureaux régionaux, correspondait à la partie « sur le terrain » de la vérification. Certains examens plus poussés ont ensuite été menés, entre mai et juillet 2002, relativement à la protection des renseignements personnels.

Soixante-quatre personnes (employés et gestionnaires) provenant de toutes les directions générales de l'administration centrale ainsi que des bureaux régionaux de Vancouver et de Winnipeg ont été interrogées sur leurs pratiques en matière de tenue de dossiers et de manipulation de documents.

Les installations de stockage et les dossiers ont été vérifiés de façon visuelle, tant dans les deux bureaux régionaux qu'au Centre Asticou et à L'Esplanade Laurier. Les dossiers détenus par les bureaux régionaux ont été examinés. Un échantillon de 203 dossiers provenant de 23 fonds de renseignements personnels a également été examiné en détail et les lignes directrices et les politiques existantes ont été évaluées.

Phase de rédaction du rapport

La dernière phase de la vérification consistait à rédiger la version préliminaire du rapport. Ce document présente les observations, les conclusions et les recommandations de la vérification de la gestion des documents à la CFP, de même que les réactions de la direction.

2. Constatations et recommandations de la vérification

Vous trouverez dans les sections qui suivent un aperçu des résultats de l'examen des trois aspects vérifiés.

2.1 Pertinence de l'infrastructure de tenue des dossiers de la CFP

En raison de faiblesses dans l'infrastructure de tenue des dossiers de la CFP, une part imposante des documents n'est pas gérée conformément à la politique fédérale sur la gestion des documents ni aux saines pratiques en la matière.

L'objectif consistait ici à déterminer si le niveau actuel d'investissement de la CFP dans son infrastructure de tenue des dossiers est suffisant pour remplir ses obligations juridiques et stratégiques et pour répondre aux exigences de ses secteurs d'activités; ce qui comprend les investissements en vue de garantir la conformité aux politiques, aux procédures et aux pratiques en matière de documents.

En examinant cet aspect, nous nous attendions à découvrir que la CFP avait élaboré et poursuivi un programme ministériel de gestion des documents comprenant notamment des politiques, des normes, des ressources et des outils.

Politique

La Politique de gestion des renseignements détenus par le gouvernement, du Conseil du Trésor, stipule que la responsabilité du programme de gestion des documents, ainsi que l'obligation de rendre compte de l'utilisation économique, efficace et efficiente des ressources affectées à la tenue des dossiers, doivent incomber à un haut fonctionnaire du ministère concerné.

À la CFP, cette tâche a été confiée au vice-président de la Gestion ministérielle. Celui-ci doit voir à la prestation de services administratifs internes, notamment des services de gestion des documents. Cette responsabilité est déléguée au directeur de l'Administration par l'entremise du directeur général des Finances et de l'administration, qui relève du v.-p. de la Gestion ministérielle.

La Politique sur la gestion des documents de la CFP est entrée en vigueur en 1988. Elle n'a subi aucune mise à jour depuis, et la plupart des membres du personnel de la CFP interrogés dans le cadre de la présente vérification ne connaissaient son existence.

En 1998, la Direction générale de la gestion ministérielle a publié un document intitulé Politique et lignes directrices concernant le courrier électronique. Celui-ci sert de guide au personnel de la CFP pour l'identification et la gestion du courrier électronique (courriel) et fournit une définition des courriels dits « institutionnels » et « temporaires », ainsi que des directives quant à l'impression et au classement de tout document jugé être de nature ministérielle.

Les documents suivants font également partie du Programme ministériel de gestion des documents :

• La Structure de classification par sujets de la CFP, qui fournit aux membres du personnel qui classent ou utilisent des documents des liens intellectuels avec l'information contenue dans ces documents. Grâce à cette structure, les renseignements peuvent être classés par sujets et organisés de manière à faciliter la récupération de fonds de renseignements institutionnels et l'application des calendriers des délais de conservation.
  
  
• Le Guide de classification par sujets de la CFP, qui fournit aux gestionnaires et au personnel de la CFP de l'information sur l'organisation du programme de fonds de renseignements à l'administration centrale et dans les bureaux régionaux.
  
  
• Les Autorisations de disposition des documents, approuvées par l'archiviste national en ce qui concerne les documents sous sa responsabilité.
  
  
• Le Guide de classification et de désignation des renseignements, qui fournit aux gestionnaires et au personnel de la CFP des directives sur l'identification, le marquage, le stockage, la transmission et la destruction de renseignements de nature délicate.

Ces politiques et guides sont à la disposition de tous les membres du personnel et de la direction la CFP, sur l'intranet de cette dernière.

Les politiques, lignes directrices et plans fondamentaux sont déjà en place et permettent à la CFP de se conformer à la politique, aux procédures et aux pratiques en matière de gestion des documents. Par contre, les politiques et les lignes directrices existantes ne contiennent aucune directive claire à l'intention du personnel ou de la direction quant à la gestion des fichiers électroniques (tableurs, présentations, documents, etc.)

La Direction des services de technologie de l'information (DSTI) offre une technologie de mise en service pour la création, la transmission, le classement, le stockage et le déclassement des documents électroniques, et c'est elle qui administre le système de courriel au nom de l'organisation.

En 1998, lorsque le système actuel de courriel (GroupWise) a été mis en service, on n'a fixé aucune limite à la taille des comptes, et les utilisateurs avaient la possibilité de gérer leurs courriels à leur gré. Conséquence: les 94 gigaoctets de messages électroniques envoyés par les 960 utilisateurs et utilisatrices se sont accumulés (98 Mo, ou 1742 courriels par personne en moyenne).

Cette situation a récemment atteint un point critique : en effet, le système aurait pu tomber soudainement en panne, ce qui aurait pu bloquer l'accès au service de messagerie électronique ou corrompre les messages envoyés. En vue de minimiser les risques, la DSTI mettait en ouvre un mécanisme d'archivage automatique après 90 jours. Si cette solution a permis de régler les problèmes immédiats de gestion de la technologie, le nombre total de courriels stockés demeure inchangé.

Les SDC n'appliquent pas le programme de gestion des documents de la CFP au courrier électronique : ils ne peuvent exercer leurs responsabilités que si un courriel est imprimé et s'il leur est envoyé en format papier.

L'absence d'une politique à jour et de systèmes d'appui s'est traduite par la prolifération et l'archivage de documents électroniques qui épuisent les ressources peu abondantes de stockage et d'accès de ces documents. La valeur de ces documents est inconnue.

Ressources

On a examiné les ressources dédiées à la prestation de services liés aux documents au sein de la CFP afin de déterminer si elles étaient suffisantes. Il est difficile de déterminer le nombre de personnes nécessaires pour que l'exécution d'un programme de gestion des documents soit efficace. Et comparer la CFP à d'autres ministères ou organismes ne fournirait que peu de renseignements utiles. À la CFP, la situation des ressources des services liés aux documents est semblable à celle qu'ont connue la plupart des ministères fédéraux au cours des dernières années. L'Examen des programmes, de même que d'autres initiatives de compression des ressources, ont eu une incidence notable sur le nombre d'employés à temps plein aux Services des documents corporatifs : entre 1995 et 2002, leur effectif est passé de 24 personnes à 11. À ces compressions s'est ajoutée la fermeture de deux des six bureaux des documents à l'administration centrale et la présence des SDC dans les régions a été éliminée. Pendant la même période, certains postes administratifs et de secrétaires, qui étaient les spécialistes locaux en matière de documents, ont également été abolis.

En outre, au cours de la même période, le poste de chef des Services de l'information, de niveau AS-6, a aussi été supprimé. À l'heure actuelle, le poste de professionnel des documents le plus élevé à la CFP est celui de chef des Services des documents corporatifs, de niveau AS-3. Dans les autres institutions fédérales, ce poste est normalement de niveau AS-5 ou AS-6.

L'équipe des Services des documents corporatifs (SDC) est formée de deux subalternes et de 11 commis aux documents, dont l'expérience varie entre deux et 26 ans, la plupart ayant de nombreuses d'années d'expérience à la CFP. Malgré tout, même si l'équipe des SDC a eu à faire face à des compressions et à la réduction de ses fonctions au sein de la CFP, les services liés aux documents offerts par le personnel des SDC sont grandement appréciés par la majorité des personnes interrogées.

Pendant cette période, la CFP a investi dans des systèmes informatiques afin de remplacer les systèmes manuels, cherchant ainsi à réduire le volume des écritures de ses processus administratifs et à améliorer l'efficience de ses activités de tenue des dossiers.

Nous sommes d'avis que les compressions de ressources dans le programme de gestion des documents constituent l'un des facteurs ayant contribué aux lacunes du programme de gestion des documents de la CFP. Voici par exemple les conséquences qu'a eu la réduction de la capacité des SDC :

• les membres de la direction et du personnel qui ne connaissent pas les normes et les systèmes ministériels et qui créent leurs propres systèmes de classement;
  
  
• les listes de dossiers et les systèmes des bureaux régionaux qui ne servent à rien pendant plusieurs années, et la gestion inadéquate des documents des régions;
  
  
• les courriels et autres fichiers électroniques qui ne sont pas classés ni classifiés par le personnel des SDC.

Outils

Le dernier aspect de la tenue des dossiers qui a été examiné porte sur la pertinence des outils et des installations de tenue des dossiers dont la direction et le personnel disposent.

La CFP possède une gamme moderne d'outils de bureautique (courriel, traitement de texte, tableurs, organigrammes, outils de présentation, etc.) et de systèmes (courriel, formulaires électroniques, gestion informatique des congés, gestion financière, gestion des marchés, etc.) qui l'appuient dans l'administration quotidienne de son organisation. Elle a également installé des systèmes tels que PCDocs afin de gérer à la rédaction des documents de la Direction générale des politiques, de la recherche et des communications.

Même si ces systèmes comportent des fonctionnalités qui permettent aux de classer, de stocker et de récupérer les fichiers qu'ils contiennent, aucun d'entre eux n'assure l'administration des documents pour la totalité de leur cycle de vie.

En conséquence, la CFP a accumulé quelque 5,3 millions de documents électroniques (courriels et fichiers), répartis de la manière suivante :

• 3,5 millions de courriels, ou 158 gigaoctets, stockés sur ses 20 serveurs de courriels situés partout au Canada;
  
  
• 1,8 million de fichiers, ou 279 gigaoctets, de documents de texte électronique, de tableurs, de présentations, etc.;
  
  
• 187 239 fichiers, ou 5,68 gigaoctets, de fichiers HTML hébergés sur son intranet (IntraCom).

Ces fichiers électroniques et courriels ne sont ni classés ni classifiés selon la norme de classification de la CFP, ou une autre norme reconnue, qu'elle soit fédérale ou de l'industrie.

La CFP ne gère pas le cycle de vie complet de tous les renseignements qu'elle détient, et un nombre appréciable de documents (papier et électroniques) ne sont ni classifiés ni classés selon les normes reconnues, ce qui signifie qu'ils ne sont ni conservés, ni déclassés selon les échéanciers approuvés par les Archives nationales.

Notre recommandation au vice-président de la Gestion ministérielle est la suivante :

1. Examiner le programme actuel de gestion des documents et s'assurer que les politiques, les ressources et les systèmes sont en nombre suffisant pour permettre à la CFP de se conformer complètement à la politique fédérale relative à la gestion des documents.

2.2 Classification et classement des documents à la CFP

Les documents papier qui sont sous le contrôle de la fonction Services des documents corporatifs sont gérés conformément aux politiques fédérales en ce qui a trait à leur classification, à leur classement et à leur déclassement. Toutefois, de nombreux fonds de renseignements ne sont pas sous le contrôle du groupe des SDC et n'étaient pas gérés selon la politique fédérale sur la gestion des documents ni selon aucune autre norme.

L'objectif de notre examen consistait ici à déterminer la mesure dans laquelle les documents sur support électronique et papier détenus par la CFP sont classifiés et classés selon les politiques, les procédures et les pratiques reconnues.

De bonnes pratiques de classification et de classement sont nécessaires pour permettre à une institution de remplir l'obligation qu'elle a de gérer l'information durant l'ensemble du cycle de vie de celle-ci.

Parmi les politiques et les pouvoirs fédéraux clés qui s'appliquent à la classification, au classement et au déclassement des documents, mentionnons la Politique de gestion des renseignements détenus par le gouvernement (GROG) du Secrétariat du Conseil du Trésor (qui date du 31 juillet 1994 et qui est actuellement en cours de révision) et des Autorisations de disposition de documents émises en vertu du Programme d'élimination et de conservation des documents de l'administration fédérale, des Archives nationales du Canada.

La CFP s'est dotée d'une politique sur la gestion des documents, qu'elle a publiée en 1988, mais dans les faits, elle n'est plus appliquée depuis plusieurs années. En revanche, le Guide de classification par sujets de la CFP, ainsi que le Guide de conservation et d'élimination des dossiers fournissent des directives claires au personnel quant à la classification, au classement et à la destruction des documents papier et électroniques.

De même, le document Politique et lignes directrices concernant le courrier électronique de la CFP (1998) contient des directives précises sur la manipulation des courriels, dont une définition des documents de messagerie électronique dits « institutionnels » et « temporaires », sur l'impression des documents institutionnels, le dépôt de ces derniers aux Services des documents corporatifs et sur la destruction des documents temporaires.

Deux tiers des employés interrogés ne pouvaient pas faire la distinction entre un document institutionnel et un document temporaire, et n'appliquaient pas cette politique. Ainsi, les documents de messagerie électronique sont classifiés, classés et conservés par des individus et selon les préférences de chacun (secteur d'activités, nom, que celui-ci ait été attribué par l'organisation ou par la personne elle-même, date de création/réception, mot-vedette du système de classification des SDC, ordre alphabétique, ordre numérique ou autre).

La Gestion ministérielle a fourni au personnel des lignes directrices relativement à la classification, au classement et à la destruction des documents, mais elles n'ont pas été mises en application avec régularité. Résultat : dans un cas précis, une quantité impressionnante de courriels ont été conservés par les utilisateurs, et la Direction des services de technologie de l'information (DSTI) s'est retrouvée aux prises avec deux problèmes majeurs : le stockage continu des documents électroniques et leur destruction lorsqu'un employé quitte l'organisation. La DSTI a donc décidé de garder une copie de sauvegarde de tous les documents électroniques durant trois mois. De plus, lors des départs, la DSTI archive les documents de messagerie électronique de la personne qui s'en va sur CD-ROM et les stocke pour une durée indéterminée.

Aux termes de la Politique de GROG, chaque institution gouvernementale doit avoir un ou des systèmes complets et structurés de classification des documents, qui doivent lui fournir un moyen efficace d'organiser et de localiser les renseignements consignés dans l'ensemble de l'organisation peu importe le support utilisé.

Depuis de nombreuses années, la CFP dispose d'un système de classification des dossiers par sujets. Ce système est utilisé par le personnel des Dossiers corporatifs pour les documents qui sont sous son contrôle, et tous les membres du personnel peuvent s'en servir. Ce système n'est appliqué que par certaines personnes et unités de travail pour leurs propres documents. Cependant, la plupart des employés interrogés ne l'appliquaient pas et s'étaient créé leur propre système personnalisé de classement des documents électroniques et papier dont ils avaient le contrôle.

Sans politique, directive ou ligne directrice propres à la CFP qui dicte où et dans quelles circonstances le système de classification des SDC devrait être utilisé, sans programme de formation visant à sensibiliser le personnel quant à son utilisation, et sans un effectif suffisant pour en appuyer la mise en ouvre, l'utilisation de ce système de classification est limitée aux bureaux des Documents corporatifs. En conséquence, environ 3000 pieds cubes de documents ne figurent pas dans les systèmes de contrôle des stocks ministériels, ce qui signifie que la collectivité élargie n'y a pas accès et que ces documents pourraient être détruits arbitrairement et sans autorisation.

Parmi les risques inhérents à des pratiques disparates de classification et de classement, mentionnons :

• les coûts de fonctionnement plus élevés, en raison de la multiplication des activités de collecte des renseignements et des délais de localisation et d'organisation des documents, ainsi que d'accès à ceux-ci;
  
  
• la manipulation non efficiente et la perte de documents lors des mutations ou des entrées en fonction;
  
  
• le fait que le personnel ignore les connaissances que possède déjà la CFP;
  
  
• la perte de la mémoire institutionnelle de la CFP.

Pour ce qui est des secteurs d'activités de la CFP, les pratiques disparates de classification et de classement peuvent représenter des obstacles à la mise en commun et à la réutilisation des renseignements nécessaires à l'exécution efficace et efficiente des programmes de la Commission. En outre, les politiques fédérales en matière de sécurité, d'accès à l'information et de protection des renseignements personnels et de déclassement des documents pourraient ne pas avoir été respectées.

Nous avons constaté que, dans leurs quatre bureaux, les documents papier détenus par les SDC étaient classifiés, classés et détruits conformément aux politiques et aux autorisations fédérales en matière de destruction. Par contre, les documents détenus par la CFP ailleurs que dans ces bureaux ne sont ni classifiés ni classés adéquatement, et ils sont détruits arbitrairement, ce qui risque d'amoindrir la mémoire institutionnelle de la CFP. Les documents électroniques, à l'exception de ceux qui sont jugés être de nature ministérielle par le personnel, et donc imprimés et déposés aux SDC, finiront par disparaître.

S'il était adéquatement appuyé, le système actuel de classification des documents serait un moyen efficace d'organiser et de localiser les documents électroniques et papier à la CFP. Or, il n'a pas été appliqué à tous les documents électroniques et il n'est appuyé par aucun système visant à faciliter la gestion des documents électroniques. Sans un tel système, conçu afin d'administrer les fichiers électroniques, la CFP n'est pas en mesure de gérer efficacement les renseignements électroniques qu'elle détient.

Nos recommandations au vice-président de la Gestion ministérielle sont les suivantes :

2. Créer un moyen efficace d'identifier, de localiser et d'administrer l'ensemble des renseignements détenus par la CFP.
   
   
3. Évaluer l'efficacité actuelle et élaborer une stratégie à long terme afin de s'assurer que les documents institutionnels de la CFP sont administrés selon de saines pratiques de gestion.

2.3 Protection des renseignements personnels

Bien que la politique et les lignes directrices essentielles pour s'assurer que les renseignements personnels sont manipulés adéquatement soient déjà en place, tant et aussi longtemps que toutes les lacunes de l'infrastructure de tenue des dossiers n'auront pas été comblées, il n'y a aucune assurance que tous les renseignements personnels détenus par la CFP sont protégés selon les normes prescrites.

2.3.1 Politique

Nous espérons voir ici des politiques et des lignes directrices assurant la protection des renseignements personnels sur tous les supports, notamment la protection contre les pertes, le vol, la divulgation non autorisée, la destruction ou l'altération. Afin de garantir la mise en ouvre diligente d'une telle politique, cette responsabilité devrait être attribuée à une instance responsable, et tous les membres du personnel devraient en être informés.

La CFP dispose actuellement d'une politique de sécurité qui découle de la Politique du gouvernement sur la sécurité (PGS). La Politique sur la sécurité de la CFP actuelle (21 février 2002) définit le rôle et la responsabilité des gestionnaires, du personnel et des spécialistes fonctionnels de la CFP relativement à la protection des renseignements.

Les gestionnaires de la CFP sont tenus responsables de la protection de « tous » les renseignements qui relèvent d'eux. Il leur faut notamment déterminer le niveau de sécurité des documents et s'assurer qu'ils sont classifiés/désignés comme il se doit.

Le chef des Services de sécurité doit fournir l'orientation et les conseils aux gestionnaires et au personnel sur la sécurité en matière de renseignements.

Le chef de la Gestion des documents doit donner des conseils aux gestionnaires et au personnel sur la classification et la désignation des renseignements; préparer les plans généraux de destruction des documents; établir des procédures relatives à la destruction des renseignements.

Le Guide de classification et de désignation des renseignements (2002) de la CFP prévoit des mécanismes de protection des renseignements personnels (et autres) à trois niveaux: il s'agit des désignations « protégé A », « protégé B » et « protégé C ». Il contient également une description avec exemples du type de renseignements⁽³⁾ qui devraient faire l'objet de chaque désignation. De plus, on y fournit l'orientation sur la manière dont chaque type de renseignements doit être marqué, protégé et détruit. Ce Guide traite de toutes les principales exigences prévues par la politique gouvernementale en matière de sécurité (PGS) et dans celle de la CFP en ce qui a trait à la protection des renseignements personnels.

Les exigences relatives à la manipulation des documents protégés sont clairement énoncées dans le Guide de classification et de désignation des renseignements. Selon certaines des personnes interrogées, les brèves descriptions des neuf mesures exigées étaient insuffisantes pour leur permettre de comprendre comment appliquer les procédures précises aux différents contextes quotidiens.

Pendant la durée de la vérification, 24 séances d'information sur la manière d'utiliser le Guide ont été données au personnel de la Gestion ministérielle, séances auxquelles ont assisté 191 employés et employées (Ottawa et régions).

Bien que la CFP ait déjà une politique et des lignes directrices solides visant à s'assurer que les renseignements sont protégés selon les normes prescrites, il y a place à l'amélioration en ce qui a trait à l'orientation donnée quant à l'application du Guide de classification et de désignation.

2.3.2 Conformité

Un examen détaillé d'un échantillon fondé sur les risques comprenant 22 fonds de renseignements de la CFP a eu lieu afin d'en évaluer la conformité avec les quatre exigences clés contenues dans le Guide de classification et de désignation des renseignements: le marquage, le stockage, la transmission et la destruction de renseignements.

On a rencontré 30 employés et gestionnaires dans le cadre des entrevues, et 203 dossiers - choisis au hasard - ont été examinés. Voici les objectifs qui étaient poursuivis :

• examiner les renseignements contenus dans chaque fonds (format électronique et papier);
  
  
• examiner le marquage des fonds (format papier et électronique);
  
  
• observer les méthodes de manipulation, de transmission, de stockage et de destruction des fonds;
  
  
• interroger les propriétaires des fonds de renseignements en vue de déterminer la façon dont les renseignements sont recueillis, manipulés et stockés;
  
  
• mener des inspections des systèmes et des installations de stockage.

Marquage des renseignements

Selon ce que nous avons constaté, les fonds portaient généralement la mention « protégé ». Les documents papier, les chemises utilisées pour les ranger ainsi que tous les systèmes électroniques connexes étaient marqués adéquatement. Dans certains cas, des fonds de renseignements qui auraient dû porter la mention « protégé B » ne portaient que la mention « protégé ». Par contre, les fonds en question étaient traités comme s'ils portaient la mention « protégé B », et non seulement « protégé ».

Certains écrans d'ordinateurs des systèmes électroniques contenant des renseignements personnels n'étaient pas marqués. Les contrôles correctifs de l'accès à ces renseignements (p. ex. mot de passe pour les systèmes informatisés et listes d'usagers autorisés) permettaient cependant de minimiser les risques d'accès non autorisé aux renseignements protégés.

Notre échantillon ne contenait aucun fonds de renseignements personnels nécessitant une désignation supérieure à « protégé B».

Stockage des renseignements

Règle générale, le contrôle de l'accès aux locaux et aux systèmes de la CFP où les renseignements personnels sont stockés est suffisant pour minimiser les risques d'accès non autorisé. L'accès à L'Esplanade Laurier et aux autres bureaux de la CFP est contrôlé; et l'accès aux aires de travail spécifiques est lui aussi contrôlé, cette fois par des verrous protégés par des codes. Les différents secteurs des bureaux sont protégés par différents codes. Les documents papier renfermant des renseignements personnels et qui sont sous la garde du personnel des Documents corporatifs étaient stockés dans des salles sécurisées. Les documents papier renfermant des renseignements personnels et qui sont conservés à l'extérieur des locaux des SDC n'étaient pas toujours stockés dans des classeurs verrouillés et dans des aires de travail sécurisées.

Dans l'échantillon de fonds de renseignements examiné, nous avons constaté que les renseignements électroniques sont stockés sur des serveurs de réseau, qui sont en sécurité dans la salle des serveurs de la CFP. Tous les systèmes électroniques de la CFP sont dotés de dispositifs de contrôle par mots de passe. De plus, tous les membres du personnel, de même que tous les fournisseurs travaillant à la CFP doivent avoir fait l'objet d'une vérification approfondie de la fiabilité.

Dans les secteurs où sont manipulés des renseignements de nature plus sensible, tels que le bureau du président, le Centre de psychologie du personnel, la Direction de la gestion des ressources humaines et les Services de la sécurité, c'est-à-dire là où la protection des renseignements est primordiale, nous avons constaté que les pratiques de manipulation des renseignements de nature sensible satisfaisaient à toutes les exigences prévues par la ligne directrice de la CFP et/ou les normes professionnelles en la matière. L'accès aux fichiers personnels était rigoureusement contrôlé.

Transmission des renseignements

La circulation des documents papier contenant des renseignements désignés a été examinée. L'utilisation de plusieurs enveloppes ou de feuilles de couverture protégées, ainsi que la livraison par porteur des renseignements de nature sensible constituaient les façons de faire habituelles et répondaient aux exigences stipulées dans les lignes directrices. Nous avons également constaté que les personnes interrogées étaient bien sensibilisées à la nécessité de protéger les renseignements personnels.

Les travaux de vérification effectués ne comprenaient pas d'évaluation détaillée de la pertinence des techniques utilisées pour protéger les renseignements personnels transmis par voie électronique.

Nous sommes d'avis que, en ce qui concerne les fonds de renseignements étudiés, la protection des renseignements personnels transmis d'un endroit à un autre par le personnel et la direction de la CFP est suffisante pour satisfaire aux exigences de la ligne directrice et pour assurer une protection raisonnable des renseignements en cours de transmission.

Destruction des renseignements

Tous les fonds de renseignements examinés dans le cadre de la présente vérification étaient visés par les Autorisations de disposition et de conservation de documents de la CFP. La plupart des fonds de renseignements figurent dans le système de classification et de gestion des documents corporatifs et sont gérés par le personnel des Documents corporatifs. Certains des fonds sont sous le contrôle d'un secteur d'activités, mais leur destruction est contrôlée par les SDC.

Ce sont les Services des documents corporatifs qui voient à la destruction sécuritaire des documents à l'administration centrale. Dans les deux régions visitées, on prenait les mesures nécessaires afin que les documents renfermant des renseignements personnels soient déchiquetés.

Nous concluons donc que la CFP se conforme à la politique fédérale en ce qui a trait à la protection des renseignements personnels qui sont sous sa garde. Cette conclusion se fonde sur le fait qu'elle dispose d'une politique adéquate en matière de sécurité, qui traite des exigences énoncées dans la PGS. La CFP a en outre fourni à son personnel des lignes directrices sur la classification et la désignation des renseignements personnels, de même que des séances de formation sur sa mise en application et son utilisation. Les entrevues, dans le cadre desquelles plus de 80 membres du personnel ont été interrogés, ont permis de faire état de leur sensibilisation quant à la nécessité de protéger les renseignements personnels et démontrer de la diligence nécessaire concernant le marquage, le stockage, la transmission et la destruction des renseignements qui sont sous leur garde.

Nos recommandations au vice-président de la Gestion ministérielle sont les suivantes:

4. Revoir et mettre à jour le Guide de classification et de désignation des renseignements de la CFP afin que l'orientation donnée aux utilisateurs et aux utilisatrices relativement à sa mise en application soit plus précise.
   
   
5. Étendre la campagne actuelle d'information afin d'accroître la sensibilisation du personnel à ses responsabilités en matière de protection des renseignements, et de manière à englober tous les employés et employées.

3. Plan d'action de la gestion

1. Un document de nature institutionnelle est un document qui a été soit créé, soit reçu par un utilisateur ou une utilisatrice de PSCNet, et sert à mettre en oeuvre, à appuyer, à mener à bien les activités de la CFP ou à en rendre compte. Les documents corporatifs ont une possible valeur juridique, financière, administrative, historique ou de recherche aux yeux de la CFP.

2. Un document temporaire n'a aucune valeur juridique, financière, administrative, historique ou de recherche. Parmi ce type de documents figurent les courriels qui ne servent, pour un certain temps, qu'à la réalisation d'une mesure courante ou à la préparation d'un document ultérieur. Des exemplaires de documents diffusés uniquement en guise de service ou d'information, les versions préliminaires de lettres et les notes services en sont de bons exemples.

3. Les renseignements personnels de base, tels que : nom, date de naissance, adresse, sexe, etc. nécessitent la mention « protégé A », alors que parmi les renseignements portant la mention « protégé B » figurent les renseignements de nature plus délicate, comme les appréciations du rendement, les évaluations, les renseignements médicaux, etc.