Audit du filtrage de sécurité du personnel

De : Emploi et Développement social Canada

Titre officiel : Audit du filtrage de sécurité du personnel.

Sur cette page

• 1. Renseignements généraux
  • 1.1 Contexte
  • 1.2 Objectif de l’audit
  • 1.3 Portée
  • 1.4 Méthodologie
• 2. Constatations de l’audit
  • 2.1 Processus du filtrage de sécurité du personnel
  • 2.2 Activités de filtrage
  • 2.3 Entrevues de résolution du doute
  • 2.4 Demandes d’autorisation de sécurité
  • 2.5 Processus de révocation de l’autorisation de sécurité
  • 2.6 Protection des renseignements personnels
• 3. Conclusion
• 4. Énoncé d’assurance
• Annexe A : Évaluation des critères de l’audit

Formats substituts

Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.

Liste des acronymes utilisés dans ce rapport

ASM

Agent de sécurité ministériel

DGSRH

Direction générale des services de ressources humaines

EDSC

Emploi et Développement social Canada

DIIS

Direction de l’intégrité interne et de la sécurité

SCT

Secrétariat du Conseil du Trésor

Renseignements généraux

1.1 Contexte

À Emploi et Développement social Canada (EDSC), les employés doivent avoir accès à des renseignements protégés ou classifiés pour s’acquitter de leurs rôles et responsabilités. Afin de réduire le risque que des renseignements protégés ou classifiés soient consultés, utilisés ou diffusés indûment, le gouvernement du Canada a établi des politiques de sécurité, y compris des politiques relatives au filtrage de sécurité du personnel.

La Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (SCT) exige que les ministères évaluent et surveillent sur une base continue les risques pour la sécurité, et qu’ils mettent en œuvre et maintiennent des mesures et des contrôles de sécurité adéquats, y compris des contrôles liés au filtrage de sécurité du personnel qui évaluent la fiabilité et la loyauté d’une personne envers le Canada.

La gestion du filtrage de sécurité du personnel est régie principalement par la Norme sur le filtrage de sécurité du SCT. La Norme sur le filtrage de sécurité veille à ce que les enquêtes de sécurité au gouvernement du Canada soient efficaces, efficientes, rigoureuses, cohérentes et équitables. On s’attend à ce que les pratiques de filtrage de sécurité fournissent une assurance raisonnable que l’on peut faire confiance aux personnes pour protéger l’information, les biens et les installations du gouvernement et pour s’acquitter de leurs fonctions de façon fiable.

La Norme comprend les cotes de sécurité et les autorisations de sécurité suivantes :

• La cote de fiabilité est une cote de sécurité du personnel requise avant qu’un employé puisse avoir accès à des biens, à des lieux de travail ou à des renseignements protégés A, B ou C.
• La cote de niveau secret est une autorisation de sécurité du personnel requise avant qu’un employé puisse avoir accès à des biens, à des lieux de travail ou à des renseignements de niveau secret.
• La cote de niveau très secret est une autorisation de sécurité du personnel requise avant qu’un employé puisse avoir accès à des biens, à des lieux de travail ou à des renseignements de nature très secrète.

À EDSC, la Direction de l’intégrité interne et de la sécurité (DIIS) de la Direction générale des services d’intégrité est chargée d’évaluer la fiabilité et la loyauté des demandeurs et des employés envers le Canada.

Le tableau ci-dessous indique le nombre de cotes de fiabilité et d’autorisations de sécurité de niveau secret traitées par le Ministère du 1 avril 2017 au 31 mars 2019 :

Exercice financier	Cotes de fiabilité - Nouvelles	Cotes de fiabilité - Mises à jour	Cotes de sécurité Secrètes - Nouvelles	Cotes de sécurité Secrètes - Mises à jour	Résolutions du doute	Refus	Révocations
2017 à 2018	4 281	1 870	1 123	52	235	7	1
2018 à 2019	3 688	1 707	751	410	267	14	7

1.2 Objectif de l’audit

L’audit visait à déterminer si la gestion et la surveillance du processus du filtrage de sécurité sont adéquates.

1.3 Portée

La portée de cet audit englobait les contrôles clés relatifs à la pertinence et à l’uniformité des processus du filtrage de sécurité du personnel, ainsi qu’à la protection et à l’élimination des renseignements personnels recueillis dans le cadre de ces processus.

L’audit n’a pas tenu compte des processus relatifs à l’autorisation de sécurité de niveau très secret, car le nombre de titulaires d’une cote de niveau très secret au Ministère est négligeable.

1.4 Méthodologie

On a mené l’audit à l’aide de diverses méthodes, notamment :

• Un examen et une analyse des documents
• Des observations sur place et des examens des processus
• Des entrevues avec la direction et le personnel du Ministère
• Un examen et des tests à l’aide d’un échantillon de dossiers ayant obtenu une autorisation de sécurité

Un échantillon statistique de 130 dossiers a été retenu parmi 6 556 processus de filtrage de sécurité effectués par le Ministère du 1 avril 2018 au 31 mars 2019. Ceci comprend notamment 100 demandes visant une cote de fiabilité et 30 demandes d’autorisation de sécurité de niveau secret. En outre, des échantillons discrétionnaires ont été sélectionnés pour les processus de filtrage de sécurité visant notamment des entrevues pour résolution du doute et des demandes refusées pour une autorisation de sécurité. Toutes les autorisations de sécurité révoquées ont été examinées.

L’approche et la méthodologie étaient conformes à la Politique sur la vérification interne du SCT et aux Normes internationales pour la pratique professionnelle de l'audit interne. Ces normes exigent que l’audit soit planifié et exécuté de manière à obtenir l’assurance raisonnable que l’objectif de l’audit est atteint.

2. Constatations de l’audit

2.1 Processus du filtrage de sécurité du personnel

Dans le cadre de la Norme sur le filtrage de sécurité du SCT, les ministères sont chargés d’établir et de mettre en œuvre des procédures et des pratiques d’enquête de sécurité relativement au processus de filtrage de sécurité.

La Norme sur le filtrage de sécurité précise également que l’agent de sécurité ministériel (ASM) est chargé de surveiller les procédures et les pratiques d’enquête de sécurité. Au Ministère, on a constaté que l’ASM a surveillé l’établissement de pratiques d’enquête de sécurité mises en œuvre par la DIIS et les agents de sécurité régionaux.

Durant l’audit, nous avons constaté qu’EDSC avait établi et mis en œuvre des procédures et des pratiques relativement aux processus de filtrage de sécurité.

Il existe certaines différences entre les processus de filtrage utilisés pour les personnes qui arrivent à EDSC en provenance d’autres ministères et ceux utilisés pour les personnes qui viennent d’entrer dans la fonction publique. Plus précisément :

• Pour les personnes qui arrivent à EDSC en provenance d’autres ministères, le Ministère vérifie par courriel auprès de l’autre ministère qu’une autorisation de sécurité existe pour la personne. Parmi les renseignements demandés à l’autre ministère, mentionnons le niveau d’autorisation, la date d’expiration, s’il y a des renseignements défavorables au dossier, si l’autorisation est active ou non et si l’autre ministère détient le dossier physique.

La norme de service pour la vérification du statut de sécurité des personnes qui arrivent au Ministère en provenance d’autres ministères est de cinq jours.

• Pour les personnes qui font leur entrée dans la fonction publique, le Ministère a élaboré et documenté des processus d’exécution pour :
  • La vérification des antécédents : Il s’agit de vérifier l’exactitude des antécédents de la personne et de veiller à ce que toutes les activités subséquentes en matière de sécurité soient menées en relation avec la personne elle-même.
  • Les enquêtes sur l’exécution de la loi : Il s'agit de la vérification d'un casier judiciaire à l’aide du Répertoire national des casiers judiciaires de la Gendarmerie royale du Canada.

La norme de service pour le traitement de la nouvelle cote de fiabilité va de 7 à 25 jours ouvrables ; la norme de service pour le traitement de la nouvelle autorisation de niveau secret est de 14 à 90 jours ouvrables.

Pour appuyer les décisions relatives aux processus de filtrage de sécurité, le Ministère a mis au point des outils, dont une matrice des risques liés aux enquêtes financières et une matrice des risques liés aux condamnations criminelles. Ces outils fournissent à l’évaluateur des conseils pour accorder une autorisation de sécurité ou mener une entrevue visant à dissiper les doutes possibles en cas de constatations défavorables apparaissant dans le rapport (des exemples : dette totale de 250 000 $ ou plus, conduite avec facultés affaiblies, conduite en état d’ébriété).

2.2 Activités de filtrage

Dans l’administration fédérale, la Norme sur le filtrage de sécurité précise les activités à effectuer pour permettre au personnel d’obtenir la cote de fiabilité ou l’autorisation de niveau secret. Le tableau ci-dessous décrit les activités de filtrage requises pour octroyer la cote de fiabilité ou l’autorisation de niveau secret :

Autorisation :

Cote de fiabilité

Activités de filtrage requises :

Contexte de cinq ans, notamment :

• Vérification de l’identité et des antécédents
• Confirmation des titres de scolarité et des désignations professionnelles
• Vérification des références personnelles et professionnelles
• Enquête sur la situation financière (c’est-à-dire vérification de crédit)
• Enquête sur l’exécution de la loi (c’est-à-dire vérification du casier judiciaire)

Autorisation :

Autorisation de niveau secret

Activités de filtrage requises :

Contexte de dix ans, notamment :

• Cote de fiabilité
• Évaluation de la sécurité par le Service canadien du renseignement de sécurité

Dans le cas de la cote de fiabilité pour les demandeurs qui sont entrés au Canada il y a moins de cinq ans ou dans le cas de l’autorisation de niveau secret pour les demandeurs qui sont entrés au Canada il y a moins de dix ans, le Ministère doit :

• obtenir une copie du passeport valide du demandeur
• obtenir une copie du visa canadien, du permis de travail ou d’études ou de la carte de citoyenneté canadienne du demandeur
• mener une enquête sur l’exécution de la loi auprès du pays de naissance du demandeur

Nous avons examiné l’échantillon de 130 processus de filtrage de sécurité et n’avons relevé aucun problème. Plus précisément :

• Les enquêtes sur la situation financière ont été effectuées en obtenant des rapports d’Equifax sur le crédit des demandeurs.
• Les enquêtes sur l’exécution de la loi ont été effectuées en obtenant une vérification du casier judiciaire au moyen du Répertoire national des casiers judiciaires de la Gendarmerie royale du Canada.

On tient à souligner que la DIIS comptait sur la Direction générale des services de ressources humaines (DGSRH) et les gestionnaires responsables de l’embauche pour vérifier les renseignements sur l’identification et les antécédents, confirmer les titres de scolarité et les désignations professionnelles du demandeur ainsi que les références personnelles et professionnelles dans le cadre du processus d’embauche.

Il a également été constaté que le Ministère effectuait généralement les processus de filtrage de sécurité conformément aux normes de service. Nous avons constaté que les formulaires de vérification de sécurité, de consentement et d’autorisation du personnel n’étaient pas tous estampillés avec la date au début du processus de filtrage. Dans le cas des formulaires sans date estampillée, nous n’avons pas été en mesure d’évaluer si les processus de filtrage étaient conformes aux normes de service.

2.3 Entrevues de résolution du doute

Dans la Norme sur le filtrage de sécurité, on précise que les entrevues de sécurité peuvent servir à dissiper les doutes et/ou à traiter les renseignements défavorables qui sont dévoilés pendant le filtrage de sécurité.

La direction de la DIIS nous a informé que lorsque des renseignements défavorables sont révélés au cours des processus d’enquête, une entrevue visant à résoudre le doute est menée soit par un agent de sécurité régional, soit par le personnel de la DIIS à l’administration centrale, au cours de laquelle les renseignements défavorables font l’objet d’une discussion. À la suite de cette entrevue, la DIIS recommande à l’ASM d’accorder ou de refuser l’autorisation pour le demandeur.

Au cours de l’audit, nous avons examiné les demandes d’autorisation de sécurité pour lesquelles des entrevues pour résolution du doute ont été menées.

2.4 Demandes d’autorisation de sécurité

La Norme sur le filtrage de sécurité stipule que lorsqu’il existe un doute raisonnable quant à la fiabilité ou à la loyauté d’une personne envers le Canada, une cote ou une autorisation de sécurité peut être refusée.

Des entrevues de résolution du doute ont été menées au cours de chacun de ces processus de filtrage, mais les renseignements fournis par les individus pendant ces entrevues ne permettaient pas d’approfondir suffisamment les renseignements défavorables. Par conséquent, les autorisations de sécurité n’ont pas été accordées.

2.5 Processus de révocation de l’autorisation de sécurité

Comme l’indique la Norme sur le filtrage de sécurité, une révocation est une décision administrative de retirer, à la suite d’une mise à jour ou d’un examen motivé, la cote ou l’autorisation de sécurité accordée antérieurement à une personne. Lorsqu’une révocation vise un employé, les ministères doivent consulter le service des ressources humaines. Dans tous les cas, le motif de la révocation doit être documenté et les personnes doivent être informées par écrit de la décision ainsi que des mesures de révision ou des droits de recours.

Du 1 avril 2018 au 31 mars 2019, le Ministère a révoqué sept autorisations de sécurité. Durant l’audit, nous avons examiné six des sept dossiers visant une révocation.^{Note de bas de page 1}

En général, on a constaté que les dossiers relatifs aux révocations contenaient une grande partie des renseignements exigés par la Norme sur le filtrage de sécurité. Plus précisément, les dossiers comprenaient des preuves que la DGSRH avait été consultée par l’ASM, documentaient le motif de la révocation et comprenaient des copies de l’avis écrit envoyé à l’employé qui indiquait la décision de révoquer sa cote de sécurité et qui l’informait de son droit de révision ou de recours.

2.6 Protection des renseignements personnels

La Norme sur le filtrage de sécurité exige que les renseignements personnels créés, recueillis, utilisés, divulgués, conservés et éliminés aux fins du filtrage de sécurité soient protégés conformément aux normes gouvernementales en matière de protection des renseignements personnels.

Au cours de l’audit, on a constaté que les dossiers de sécurité du personnel sont entreposés dans une pièce sécurisée dont l’accès n’est autorisé que par carte magnétique.

De plus, dans l’échantillon de 100 demandes de cote de fiabilité et de 30 demandes d’autorisation de niveau secret, sept dossiers se rapportaient à des personnes qui ne travaillent plus au Ministère. On a constaté que ces dossiers visaient des employés dont l’emploi avait pris fin au cours des deux dernières années. Il est donc de mise que le Ministère conserve les renseignements personnels créés, recueillis, utilisés, divulgués, conservés et éliminés aux fins du processus de filtrage de sécurité.

3. Conclusion

Le Ministère gère adéquatement les processus de filtrage de sécurité et a élaboré des procédures et des pratiques adéquates à l’appui des processus qui sont surveillés par l’ASM.

4. Énoncé d’assurance

Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour confirmer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l’audit. Les conclusions ne s’appliquent qu’à l’Audit du filtrage de sécurité du personnel. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne.

Annexe A : Évaluation des critères de l’audit

Critères de l’audit :

On s’attend à ce que les besoins en matière de filtrage relatifs aux postes visés soient bien déterminés ; que les demandes et les mises à jour d’enquête de sécurité sur le personnel soient évaluées ou examinées en temps opportun en fonction des processus qui ont été établis et qui sont conformes aux normes applicables du SCT.

Cotation : Un contrôle suffisant est exercé ; risque faible

Critères de l’audit :

On s’attend à ce que les renseignements personnels recueillis au cours du processus d’enquête soient protégés et éliminés de façon appropriée lorsqu’ils ne sont plus utiles.

Cotation : Un contrôle suffisant est exercé ; risque faible