Liens de la barre de menu commune
Vérification des protocoles d'entente sur l'échange de renseignements avec la GRC
(Supplément au rapport de mai 2004 de l'Agence du revenu du Canada concernant la vérification des protocoles d'entente sur l'échange de renseignements avec la GRC)
Décembre 2004
- SOMMAIRE
- INTRODUCTION
- OBJECTIF DE LA VÉRIFICATION
- CONSTATATIONS, RECOMMANDATIONS ET PLANS D'ACTION
- CONCLUSION
- ÉQUIPE DE VÉRIFICATION
Cette vérification et le travail connexe ont été faits avant l'annonce de la scission de l'Agence des douanes et du revenu du Canada en vue de créer l'Agence du revenu du Canada (ARC) et l'Agence des services frontaliers du Canada (ASFC). L'ARC a accepté de terminer la vérification et de préparer le rapport pour le soumettre à l'approbation de l'ASFC.
SOMMAIRE
L'Agence des douanes et du revenu du Canada (ADRC) a conclu des protocoles d'entente avec plusieurs ministères et organismes fédéraux et provinciaux pour l'échange de renseignements et l'application conjointe de lois ou règlements divers. Il a été convenu que ces ministères et organismes doivent faire des vérifications internes dans les deux ans suivant la signature du protocole, afin d'assurer que l'échange de renseignements a fait l'objet d'un contrôle approprié. Certaines organisations, comme la GRC, exigent que l'ADRC fasse aussi des vérifications.
Le système de données du Centre d'information de la police canadienne (CIPC) est le principal système utilisé par les agents des douanes pour faire leur travail concernant l'observation dans les bureaux locaux et à l'Administration centrale. En raison des récents changements organisationnels qui ont donné lieu au transfert des douanes de l'ADRC à l'Agence des services frontaliers (ASFC), un rapport distinct a été rédigé résumant les observations de cette vérification concernant l'ancienne Direction générale des douanes.
Objectif de la vérification : déterminer si l'ADRC observait les modalités relatives à la réception, à l'utilisation, au stockage et à la destruction des renseignements reçus de la GRC, conformément aux protocoles d'ententes. La vérification a eu lieu de mars à octobre 2003.
Conclusion : la vérification a permis de déceler des divergences entre l'ADRC et la GRC quant au nombre réel de protocoles d'entente en place. Ces divergences sont dues au fait que la définition d'un protocole d'entente sur l'échange de renseignements n'est pas claire. Divers protocoles d'entente doivent aussi être mis à jour pour refléter les environnements opérationnels actuels. Des négociations débuteront bientôt pour mettre à jour et intégrer les protocoles d'entente du CIPC avec les anciennes composantes des douanes et de l'immigration.
De plus, certaines préoccupations ont été soulevées quant à l'échange de renseignements et aux mesures de sécurité prises à cet égard. Il est possible d'améliorer les contrôles et les processus liés à l'utilisation du système de données du CIPC. Il faudrait éclaircir les procédures de l'ASFC auprès des utilisateurs de ce système et faire un suivi. Ces procédures consistent entre autres à vérifier si les employés ont la cote de sécurité appropriée et à révoquer les privilèges d'accès des employés quand ils n'ont plus à utiliser le système. De plus, il faudrait mener les vérifications opérationnelles du système de données du CIPC dans les délais prévus.
Plan d'action : on examinera les politiques et procédures de l'ASFC touchant le CIPC afin d'intégrer les politiques et procédures des anciennes composantes des douanes et de l'immigration. Les consultations et négociations avec les Services du CIPC continueront, afin de veiller à ce que l'ASFC satisfasse aux modalités du protocole d'entente avec le CIPC, de ses politiques et de ses procédures. Des conseils et de l'orientation seront offerts aux régions pour s'assurer que les politiques et les procédures de l'ASFC touchant le CIPC sont en place et uniformes à l'échelle nationale. Des procédures pour faire un suivi des utilisateurs du système de données du CIPC, pour vérifier si les employés ont la cote de sécurité appropriée et pour révoquer les privilèges d'accès des employés quand ils n'ont plus à utiliser le système sont en voie d'implantation. Neuf autres vérificateurs devraient être formés ou certifiés en février 2005 par les Services du CIPC. Cependant, ces services n'offriront pas d'autres cours de certification de vérificateurs durant le présent exercice en raison de ressources limitées.
INTRODUCTION
L'Agence des douanes et du revenu du Canada (ADRC) a conclu des protocoles d'entente avec plusieurs ministères et organismes fédéraux et provinciaux pour l'échange de renseignements et l'application conjointe de lois ou règlements divers. Il a été convenu que ces ministères et organismes doivent faire des vérifications internes dans les deux ans suivant la signature du protocole, afin d'assurer que l'échange de renseignements a fait l'objet d'un contrôle approprié. Certaines organisations, comme la GRC, exigent que l'ADRC effectue des vérifications réciproques. À l'ADRC, la Direction générale de la politique et de la planification, anciennement la Direction générale de la politique et de la législation, était responsable de la tenue à jour des protocoles d'entente.
Une vérification interne a été faite des protocoles d'entente entre la GRC et l'ADRC sur l'échange de renseignements. Par suite des récents changements organisationnels qui ont fait passer les douanes de l'ADRC à l'Agence des services frontaliers du Canada (ASFC), on a jugé qu'il valait mieux rédiger un rapport distinct pour résumer les constatations de la vérification concernant l'ancienne Direction générale des douanes.
OBJECTIF DE LA VÉRIFICATION
Déterminer si l'ADRC observait les modalités des protocoles d'ententes concernant la réception, l'utilisation, le stockage et la destruction des renseignements reçus de la GRC.
Cette vérification d'envergure nationale a eu lieu de mars à octobre 2003. Elle a nécessité la tenue d'examens sur place à l'Administration centrale et dans les régions du Pacifique, du Sud de l'Ontario et du Québec. La liaison avec la Direction de la vérification interne de la GRC a été établie et maintenue tout au long du processus.
CONSTATATIONS, RECOMMANDATIONS ET PLANS D'ACTION
Protocoles d'entente en place avec la GRC
Lorsqu'on a demandé à la Direction générale de la politique et de la législation de l'ADRC de dresser la liste des protocoles d'entente conclus avec la GRC, elle en a trouvé 18 en tout. La GRC estime pour sa part avoir conclu 56 protocoles d'ententes avec l'ADRC. Cet écart était surtout dû au fait qu'il n'y a pas de définition claire entre les deux organisations de ce qui constitue un protocole d'entente sur l'échange de renseignements. Pour contrôler la situation, il est important que ces deux organisations aient des listes qui concordent et une définition claire de ce qui constitue un protocole d'entente.
Les examens effectués pour vérifier si les protocoles d'entente sont à jour et reflètent les environnements opérationnels actuels ont révélé que les protocoles en place sont un mélange de documents en vigueur et de documents périmés. On a aussi observé que bon nombre de ces documents n'étaient pas signés par le commissaire, conformément aux politiques en place pour la gestion de l'information; certains de ces protocoles avaient été signés et approuvés par le directeur adjoint.
En novembre 2004, le Comité consultatif du CIPC a reconnu officiellement l'ASFC. Par conséquent, des négociations débuteront bientôt pour mettre à jour et fusionner les protocoles d'entente du CIPC avec les anciennes composantes des douanes et de l'immigration.
Dans le cadre de la nouvelle structure organisationnelle de l'ASFC, la Direction générale de la stratégie et de la coordination sera chargée de coordonner l'examen et la mise à jour de tous les protocoles d'entente.
Le système de données du CIPC est tenu à jour par la GRC. Il renferme non seulement les renseignements de la GRC, mais aussi ceux de nombreux corps policiers qui y entrent des données. C'est le principal système utilisé par les agents des douanes pour faire leur travail en matière d'observation dans les bureaux locaux et à l'Administration centrale. La vérification visait à établir si la formation reçue par les utilisateurs du CIPC était de qualité et donnée en temps opportun. On a trouvé bonne la pratique des vérificateurs opérationnels du CIPC dans certaines régions de communiquer aux formateurs du CIPC les erreurs qui se répètent le plus fréquemment.
En règle générale, la plupart des régions ont indiqué que la formation est de très bonne qualité et donnée en temps opportun. Toutefois, certaines régions ont de la difficulté à répondre aux exigences en matière de formation des nouveaux inspecteurs des douanes, étant donné qu'il y a une demande croissante d'accès au CIPC pour tous les secteurs d'activité dans les régions.
Recommandation
La Division de la contrebande et des services de renseignement à l'Administration centrale doit examiner les niveaux de ressources actuels pour la formation sur le CIPC donnée aux inspecteurs des douanes afin que celle-ci réponde aux besoins et couvre les régions de façon uniforme.
Plans d'action
En décembre 2004, il y avait 46 formateurs certifiés du CIPC à l'ASFC. En raison de ressources limitées, les Services du CIPC n'offriront pas d'autres cours de formation de formateurs durant le présent exercice.
La Division de la contrebande et des services de renseignement à l'Administration centrale offre aux régions des conseils et des consultations pour s'assurer que les politiques et les procédures de l'ASFC touchant le CIPC sont en place et uniformes à l'échelle nationale.
Privilèges d'accès des employés
Des sondages ont été menés pour vérifier si des procédures sont en place en ce qui touche l'entrée et la tenue des renseignements du CIPC, ainsi que le contrôle de l'accès à ces renseignements. On a constaté que les bureaux locaux ne révoquent pas toujours le privilège d'accès des employés lorsque ceux-ci quittent l'organisation ou sont mutés ailleurs, ou lorsque leurs fonctions ne justifient plus un accès au système CIPC.
Recommandation
La Division de la contrebande et des services de renseignement à l'Administration centrale doit souligner aux bureaux régionaux et locaux la nécessité de suivre les procédures de manière à ce que l'accès au CIPC soit examiné et révoqué s'il y a lieu. Elle devrait mener des examens périodiques des utilisateurs pour vérifier si la nature de leur travail leur donne un droit d'accès au système du CIPC.
Plan d'action
Un examen des utilisateurs actuels du CIPC à l'ASFC (anciennement des douanes) est en cours et devrait se terminer à la fin de décembre 2004. Les personnes dont le poste ne le requiert plus n'auront plus accès au CIPC.
Indépendance et rapidité des vérifications opérationnelles
On a remarqué que les vérifications opérationnelles du CIPC donnaient l'assurance nécessaire sur les points forts et les points faibles de l'accès aux renseignements de la GRC par le personnel des opérations. Ces vérifications sont aussi une composante clé d'un cadre de contrôle qui fait en sorte que les modalités des protocoles d'entente sont respectées.
Un sondage été mené pour vérifier si des contrôles de la conformité des opérations sont effectués et si des rapports sont rédigés à ce sujet, conformément aux politiques et lignes directrices de la GRC. Dans l'une des régions, on a constaté que les agents de la DCSR avaient fait des vérifications opérationnelles du CIPC pour des bureaux autres que le leur. L'équipe de vérification estime qu'il s'agit là d'une bonne pratique, car elle préserve l'indépendance de cette activité de contrôle.
On a observé qu'un bon nombre de vérifications opérationnelles du CIPC n'étaient pas faites dans les délais prévus. Certaines régions ont fait une partie seulement des vérifications. Elles ont indiqué que des problèmes de ressources les ont empêchées de toutes les faire.
Recommandations
La Division de la contrebande et des services de renseignement à l'Administration centrale doit s'assurer que ses bureaux régionaux ont les ressources nécessaires pour faire les vérifications opérationnelles prévues.
De plus, il est recommandé que la Division de la contrebande et des services de renseignement à l'Administration centrale encourage la pratique selon laquelle les agents dans un bureau donné fassent la vérification opérationnelle du CIPC d'un autre bureau, car cela accroîtrait l'objectivité.
Plans d'action
En décembre 2004, il y avait 12 vérificateurs du CIPC à l'ASFC (anciennement des douanes). Neuf autres vérificateurs devraient être formés ou certifiés en février 2005 par les Services du CIPC. En raison de ressources limitées, les Services du CIPC n'offriront pas d'autres cours de certification de vérificateurs durant le présent exercice.
La Division de la contrebande et des services de renseignement à l'Administration centrale continuera les consultations et les négociations avec les Services du CIPC afin de veiller à ce que l'ASFC satisfasse aux modalités du protocole d'entente avec le CIPC, de ses politiques et de ses procédures.
On examinera les politiques et procédures de l'ASFC touchant le CIPC en vue d'intégrer les politiques et procédures des anciennes composantes des douanes et de l'immigration.
Cotes de sécurité des employés et privilèges d'accès au CIPC
Un sondage a été mené sur les procédures établies pour vérifier si les personnes qui ont accès aux renseignements de la GRC ont la cote de sécurité appropriée. Ce sondage a permis de constater que certains employés avaient accès aux renseignements du CIPC sans avoir la cote de sécurité appropriée. La section de la GRC chargée du CIPC exige qu'une cote de sécurité de niveau secret soit obtenue et qu'une vérification des empreintes digitales et des casiers judiciaires soit faite avant que l'accès au système de données du CIPC soit accordé. Lorsque les douanes demandent à la GRC l'autorisation de sécurité pour le niveau secret, y compris la vérification des empreintes digitales, leurs demandes sont classées selon le risque et la vérification des empreintes digitales n'est pas toujours faite.
Recommandation
Il est recommandé que la Division de la contrebande et des services de renseignement à l'Administration centrale, la GRC et la Direction de la sécurité examinent les procédures d'obtention de la cote de sécurité de niveau secret pour assurer que les employés reçoivent la cote de sécurité de niveau approprié avant d'obtenir l'accès au CIPC.
Plan d'action
On examinera les procédures de cote de sécurité pour le CIPC (anciennement des douanes et immigration) pour s'assurer que les utilisateurs du CIPC à l'ASFC ont à la cote obligatoire de fiabilité approfondie avec empreintes digitales et vérification judiciaire.
CONCLUSION
La vérification a permis de déceler des divergences entre l'ADRC et la GRC quant au nombre réel de protocoles d'entente en place. Ces divergences sont dues au fait que la définition d'un protocole d'entente sur l'échange de renseignements n'était pas claire. Divers protocoles d'entente devront être mis à jour pour refléter les environnements opérationnels actuels.
De plus, des préoccupations ont été soulevées sur l'échange de renseignements et les mesures de sécurité prises à cet égard. Il est possible d'améliorer le contrôle et les processus liés à l'utilisation du système du CIPC. Il faudrait préciser les procédures de l'ASFC auprès des utilisateurs de ce système et faire le suivi. Ces procédures consistent entre autres à vérifier si les employés ont la bonne cote de sécurité et à révoquer les privilèges d'accès des employés quand ils n'ont plus à utiliser le système. Il faut aussi faire les vérifications opérationnelles du système de données du CIPC dans les délais prévus.
ÉQUIPE DE VÉRIFICATION
Jake Glover, Gestionnaire de dossiers
Michael Ryan, Chef de projet
Roger Vachon, Vérificateur interne, Administration centrale
Dorothy deBoer, Vérificatrice interne, région du Sud de l'Ontario
Dave Wilson, Vérificateur interne, région du Pacifique
Gaston Duclos, Vérificateur interne, région du Québec
