Audit des pratiques de gestion de l’identité
De : Emploi et Développement social Canada
Titre officiel : Audit des pratiques de gestion de l’identité.
Sur cette page
- Liste des acronymes utilisés dans ce rapport
- 1. Renseignements généraux
- 2. Constatations de l’audit
- 2.1. Les politiques et les normes ministérielles n’ont pas donné lieu à des pratiques uniformes de gestion de l’identité
- 2.2. Les pratiques actuelles de gestion de l’identité utilisées pour les personnes pourraient être améliorées afin de soutenir adéquatement l’intégrité des programmes
- 2.3. Les pratiques actuelles de gestion de l’identité utilisées pour les organisations doivent être renforcées afin de soutenir adéquatement l’intégrité des programmes
- 3. Conclusion
- 4. Énoncé d’assurance
- Annexe A :Évaluation des critères de l’audit
Formats substituts
Les formats en gros caractères, braille, MP3 (audio), texte électronique, et DAISY sont disponibles sur demande en commandant en ligne ou en composant le 1 800 O-Canada (1-800-622-6232). Si vous utilisez un téléscripteur (ATS), composez le 1-800-926-9105.
Liste des acronymes utilisés dans ce rapport
- AE
- Assurance-emploi
- EEC
- Emplois d’été Canada
- PNHA
- Programme Nouveaux Horizons pour les aînés
- PPS
- Programme de protection des salariés
- RE
- Relevé d’emploi
- SELSC
- Services en ligne des subventions et contributions
- SV
- Sécurité de la vieillesse
1. Renseignements généraux
1.1 Contexte
La gestion de l’identité est le processus par lequel le Ministère établit la légitimité de l’identité de la personne ou de l’organisation avec laquelle il effectue des transactions. Des pratiques de gestion de l’identité adéquates et uniformes atténuent les risques d’usurpation d’identité, d’utilisation frauduleuse de pièces d’identité, d’octroi inapproprié de droits, d’attribution inadéquate d’avantages et de services, de pertes financières pour les parties concernées et de violation du droit à la vie privée d’une personne.
Conformément à la Directive sur la gestion de l’identité du Conseil du Trésor, le Ministère a adopté une Politique de gestion de l’identité en avril 2011, qui a été mise à jour en avril 2016. Les normes sur la validation de l’identité des entreprises et sur les preuves d’identité appuient cette Politique ministérielle. Ces normes se fondent sur le Modèle pancanadien d’assurance qui vise à offrir une expérience de la prestation de services transparente, pangouvernementale, axée sur l’utilisateur et multimodale à l’ensemble des Canadiens.
Ces normes visent à établir un cadre pour évaluer les besoins des programmes et services en matière d’assurance de l’identité; elles définissent les exigences minimales se rapportant aux données et aux processus afin d’obtenir le niveau d’assurance requis en ce qui concerne l’identité tout en respectant les pouvoirs légaux existants. En outre, des pratiques de gestion de l’identité pour les programmes et les services doivent être élaborées afin d’assurer la conformité au niveau d’assurance exigé pour l’inscription, l’authentification et la validation.
Les pratiques de gestion de l’identité relèvent en grande majorité des processus suivants :
- L’inscription est la collecte d’éléments d’identité en vue de rencontrer un objectif de service ou de programme précis (par exemple : nom, date de naissance, sexe, numéro d’assurance sociale, numéro d’entreprise).
- L’authentification consiste à s’assurer de la validité d’une déclaration d’identité ou d’un justificatif d’identité présenté pour appuyer une déclaration d’identité ; c’est-à-dire que l’on détermine qu’une déclaration d’identité faite par un client ou un représentant (d’une personne ou d’une organisation) est vraie.
- La validation consiste à vérifier la déclaration d’identité d’une personne ou d’un représentant (d’une personne ou d’une organisation) qui a fourni des données d’identité au Ministère ou à une organisation fournissant un service ou un programme à sa place, chaque fois qu’un client cherche à accéder à un service ou un programme ministériel. Elle est réalisée en confirmant les éléments d’identité auprès d’une source valide et importante.
L’élaboration des pratiques de gestion de l’identité (y compris les outils et les procédures) est mise au point avec les conseils, les outils et les lignes directrices fournis par la Direction des politiques et programmes sur l’identité de la Direction générale des services d’intégrité.
1.2 Objectif de l’audit
L’objectif de cet audit visait à déterminer si les pratiques de gestion de l’identité :
- ont été élaborées, mises en place et sont les mêmes dans l’ensemble des programmes et des modes de prestation des services;
- appuient adéquatement l’intégrité et la sécurité des programmes et des services en adoptant une approche fondée sur les risques pour identifier les personnes, les entreprises ou les organisations.
1.3 Portée
Cet audit a porté sur les structures, processus et pratiques ministériels clés liés à la gestion de l’identité de certains programmes et services sélectionnés en fonction du risque qu’ils présentent et pour lesquels les besoins d’assurance de l’identité sont variés. Cet audit englobait à la fois la gestion de l’identité des personnes et celle des entreprises et des organisations.
1.4 Méthodologie
L’audit a été réalisé au moyen de différentes méthodologies, dont celles qui suivent :
- l’examen et l’analyse de la documentation;
- des entrevues avec des membres de la direction et du personnel de la Direction des politiques et programmes sur l’identité de la Direction générale des services d’intégrité ;
- des entrevues avec les principaux intervenants de la gestion de l’identité pour les programmes et services inclus dans la portée de l’audit;
- des entrevues et des visites sur le terrain dans les 4 régions, avec mise à l’épreuve des pratiques de gestion de l’identité mises en œuvre.
2. Constatations de l’audit
2.1 Les politiques et les normes ministérielles n’ont pas donné lieu à des pratiques uniformes de gestion de l’identité
Gestion de l’identité pour les personnes
L’audit interne a examiné les pratiques de gestion de l’identité utilisées pour les personnes au sein des programmes suivants :
- Régime d’assurance-emploi (AE)
- Régime de pensions du Canada
- Programme de la Sécurité de la vieillesse (SV)
- Programme du numéro d’assurance sociale
- Programme de subventions aux apprentis
- Programme de protection des salariés (PPS)
- Programme d’allocation aux parents de jeunes victimes de crimes
- Programme canadien pour l’épargne-études
- Programme canadien pour l’épargne-invalidité
- Programme canadien de prêts aux étudiants
Au cours des années 2014, 2015 et 2016, tous ces programmes ont fait l’objet d’une évaluation ministérielle visant à déterminer si leurs pratiques de gestion de l’identité répondaient aux exigences des politiques. Parmi les 10 programmes, seuls le régime d’AE et le programme de la SV respectaient pleinement les normes relatives à l’identité. Les 8 autres programmes ont révélé des lacunes, la plupart liées à la collecte et à la validation du nom de famille de la mère du client à la naissance et du statut du client (c’est-à-dire citoyenneté canadienne, statut d’autochtone ou d’étranger). Invoquant des changements coûteux au système, des répercussions sur la protection de la vie privée et des mesures correctives adéquates, 7 des 8 programmes ont opté pour le statu quo et n’ont pas modifié leurs pratiques de gestion de l’identité. Ainsi, les incohérences qui existaient avant l’élaboration de la Politique ministérielle ont été préservées.
À la suite de ces évaluations, en avril 2016, le Ministère a mis à jour sa Politique de gestion de l’identité et les normes connexes afin de lui conférer une plus grande souplesse. Par exemple, dans les normes mises à jour, les attributs d’identité doivent maintenant être recueillis « dans les limites des pouvoirs respectifs de chaque programme » et le nom de famille de la mère à la naissance « pourrait être recueilli […] au besoin ou si nécessaire ». Les normes actuelles relatives à l’identité pour les personnes adoptent un ton non normatif et permettent une interprétation qui pourrait expliquer les pratiques incohérentes de gestion de l’identité au sein du Ministère.
De plus, la Politique et les normes demeurent vagues quant au dépassement des exigences. Par exemple, pour les clients qui reviennent, la norme ministérielle exige un minimum de 3 attributs d’identité que le client doit fournir. Le travail sur le terrain au cours de l’audit interne a révélé que tous les programmes utilisent plus que le minimum, certains programmes utilisant 6 attributs d’identité pour valider l’identité des clients.
Au cours de notre travail sur le terrain, l’audit interne a également relevé des incohérences à cause de l’absence d’une approche ministérielle de gestion de l’identité des représentants de tierces parties. La norme actuelle reconnaît cette lacune et oblige les programmes à déterminer leurs propres exigences pour reconnaître une personne qui prétend représenter un client, en fonction de leurs pouvoirs respectifs.
Bien que l’uniformité et le service intégré soient mentionnés à maintes reprises dans la Politique de gestion de l’identité du Ministère (à la fois comme principes et comme résultats attendus), le travail sur le terrain de l’audit interne a permis d’observer des pratiques fragmentées qui entraînent des incohérences pour les utilisateurs des programmes, prestations et services offerts par le Ministère.
Gestion de l’identité pour les organisations
Dans le cadre de la mise à jour d’avril 2016 de la Politique de gestion de l’identité du Ministère, une norme sur la validation de l’identité des entreprises a été créée pour « assurer l’intégrité du programme ainsi que l’expérience de service des organisations ». L’audit interne a examiné la norme et a conclu que le ton est suffisamment normatif pour assurer l’uniformité prévue si les programmes satisfont à la norme.
Recommandation
La DGSI devrait revoir la Politique actuelle de gestion de l’identité et les normes connexes afin d’utiliser un langage suffisamment normatif pour assurer l’uniformité attendue entre les programmes et les modes de prestation des services, particulièrement en ce qui concerne les représentants de tierces parties.
Réponse de la direction
La DGSI est d’accord avec la recommandation. Bien qu’une certaine souplesse soit nécessaire afin de satisfaire les pouvoirs relevant de chaque programme, des pratiques de gestion de l’identité cohérentes devraient résulter dans une prestation des services intégrés. La DGSI entreprendra un examen de la Politique de gestion de l’identité afin de rehausser le ton et de restreindre les interprétations, plus spécifiquement au niveau des exigences pour PROTÉGÉ.
Les actions devraient être terminées d’ici septembre 2020.
2.2 Les pratiques actuelles de gestion de l’identité utilisées pour les personnes pourraient être améliorées afin de soutenir adéquatement l’intégrité des programmes
L’audit interne a examiné les pratiques de gestion de l’identité utilisées pour les personnes au sein des programmes suivants et a constaté ce qui suit :
- Régime d’assurance-emploi : Le Régime d’AE inscrit et authentifie les personnes de manière adéquate afin de soutenir l’intégrité du programme. PROTÉGÉ. L’identité des clients est validée adéquatement, qu’ils communiquent avec le Ministère en personne, par téléphone (centre d’appels de l’AE ou centres de traitement de l’AE) ou en ligne au moyen de leur compte Mon dossier Service Canada.
- Programmes du Régime de pensions du Canada et de la Sécurité de la vieillesse : Les programmes du Régime de pensions du Canada et de la SV inscrivent et authentifient les personnes de manière adéquate afin de soutenir l’intégrité des programmes. PROTÉGÉ. L’identité des clients est adéquatement validée lorsqu’ils communiquent avec le Ministère en personne, par l’intermédiaire des centres d’appels du Régime de pensions et en ligne par l’entremise de Mon dossier Service Canada. Toutefois, en raison de l’absence d’une orientation explicite et de surveillance, l’audit interne ne peut pas conclure que l’identité des clients est adéquatement validée par les centres de traitement des pensions, qu’il s’agisse des appels sortants ou entrants.
- Programme du numéro d’assurance sociale : Le programme du Numéro d’assurance sociale inscrit, authentifie et valide les personnes de manière adéquate afin de soutenir l’intégrité du programme PROTÉGÉ.
- Programme de subventions aux apprentis : Le programme de subventions aux apprentis inscrit et authentifie les personnes de manière adéquate afin de soutenir l’intégrité du programme. PROTÉGÉ. L’identité des clients est adéquatement validée lorsqu’ils communiquent en personne avec le Ministère. Toutefois, en raison de l’absence d’une orientation explicite et de surveillance, l’audit interne ne peut conclure que l’identité des clients est adéquatement validée par les centres de traitement du Programme de subventions aux apprentis, qu’il s’agisse des appels sortants ou entrants.
- Programme de protection des salariés : Le PPS inscrit, authentifie et valide les personnes de manière adéquate afin de soutenir l’intégrité du programme et se conforme entièrement à la Politique de gestion de l’identité du Ministère. Toutefois, si le client communique avec les agents du PPS par téléphone, il devra fournir 6 éléments pour valider son identité, soit le double de ce que la Politique ministérielle exige. Il est possible d’uniformiser ce processus pour en améliorer la cohérence.
- Programme d’allocation aux parents de jeunes victimes de crimes : Le programme d’allocation aux Parents de jeunes victimes de crimes inscrit, authentifie et valide les personnes de manière adéquate afin de soutenir l’intégrité du programme et se conforme entièrement à la Politique ministérielle de gestion de l’identité.
- Programmes canadiens pour l’épargne-études, pour l’épargne-invalidité et de prêts aux étudiants : Le Programme canadien pour l’épargne-études, le Programme canadien pour l’épargne-invalidité et le Programme canadien de prêts aux étudiants enregistrent, authentifient et valident les personnes de manière adéquate afin de soutenir l’intégrité des programmes et se conforment entièrement à la Politique ministérielle de gestion de l’identité.
Recommandation
La DGSI devrait surveiller périodiquement les programmes ministériels pour confirmer que des pratiques uniformes et suffisantes de gestion de l’identité ont été mises en œuvre.
Réponse de la direction
La DGSI est d’accord avec la recommandation et a déjà obtenu des services consultatifs pendant l’hiver de l’exercice financier 2018-2019 afin d’identifier diverses stratégies de surveillance et de production de rapports destinées à résoudre cette situation. La DGSI continuera d’examiner ces diverses stratégies et consultera les programmes afin d’établir un calendrier pour la production de rapports qui aidera à s’assurer que les programmes ont bien mis en place des pratiques uniformes de gestion de l’identité.
Les actions devraient être terminées d’ici septembre 2020.
2.3 Les pratiques actuelles de gestion de l’identité utilisées pour les organisations doivent être renforcées afin de soutenir adéquatement l’intégrité des programmes
L’audit interne a examiné les pratiques de gestion de l’identité utilisées pour les organisations au sein des programmes suivants et a permis de constater ce qui suit :
- Guichet emplois : Le Guichet emplois a recours à un portail en ligne qui permet aux utilisateurs de créer un compte et d’afficher des offres d’emploi au nom de leur organisation. Les pratiques actuelles de gestion de l’identité sont pour la plupart conformes à la norme. Pour s’y conformer pleinement, le Guichet emplois devrait également demander des documents juridiques prouvant l’existence de l’organisation lorsqu’il traite avec elle pour la première fois. Par ailleurs, une correspondance de l’organisation reconnaissant l’individu en tant que représentant devrait également être demandée.
- Programme d’assurance-emploi – Relevés d’emploi (RE) : Les RE sont des documents clés produits par les employeurs et sont exigés pour faire une demande de prestations d’AE. Les RE papier peuvent être commandés par téléphone. Pour ce faire, une personne appelle le Centre de services aux employeurs et fournit le numéro d’entreprise, le nom légal et l’adresse de l’organisation pour laquelle elle souhaite recevoir les RE. Ces renseignements sont validés par rapport aux dossiers de l’Agence du revenu du Canada et, une fois la validation effectuée, la commande est passée. PROTÉGÉ. Les RE peuvent également être remplis en ligne à l’aide du RE Web. Les pratiques actuelles de gestion de l’identité pour les RE Web sont conformes à la norme. En octobre 2018, 90 % des RE ont été remplis en ligne.
- Programme Emplois d’été Canada (EEC) : Le programme offre des subventions salariales aux employeurs des organismes sans but lucratif, du secteur public et des organisations du secteur privé comptant 50 employés à temps plein ou moins. Les employeurs peuvent faire une demande de subvention salariale au moyen d’un formulaire papier (envoyé par la poste), d’un formulaire interactif en ligne ou des Services en ligne des subventions et contributions (SELSC), dont il est question ci-dessous. Le processus d’authentification et de validation de l’organisation et de son représentant est le même pour les formulaires papier envoyés par la poste que pour les formulaires soumis en ligne. PROTÉGÉ.
- Programme Nouveaux Horizons pour les aînés (PNHA) : Le programme finance des projets communautaires au moyen d’une subvention pouvant atteindre 25 000 $ par année, par organisme. Comme pour EEC, les projets du PNHA peuvent être soumis au moyen d’un formulaire papier (envoyé par la poste), d’un formulaire à remplir en ligne ou des SELSC. PROTÉGÉ.
- Services en ligne des subventions et contributions : Les programmes de subventions et de contributions examinés (EEC et PNHA) permettent tous 2 de présenter des demandes au moyen des SELSC. Les pratiques actuelles de gestion de l’identité des SELSC sont conformes à la norme. Malheureusement, seul un faible pourcentage des demandes (moins de 10 %) ont été soumises au moyen des SELSC en 2018.
Recommandation
La DGSI, en collaboration avec les programmes, devrait examiner les pratiques de gestion de l’identité utilisées pour les organisations afin de combler les lacunes sur le plan de la conformité aux normes ministérielles et gouvernementales relatives à l’identité. PROTÉGÉ.
Réponse de la direction
La DGSI est d’accord avec la recommandation et confirme qu’il existe une lacune dans la mise en œuvre de la Politique sur la gestion de l’identité pour PROTÉGÉ, nous leur avons demandé de suspendre l’élaboration des analyses de leurs lacunes et de leurs plans de mise en œuvre jusqu’à ce que le Ministère ait PROTÉGÉ. Les récentes modifications qui ont été apportées à la Loi sur le ministère de l’Emploi et du Développement social en ce qui a trait à la prestation des services ont corrigé cette situation.
Le Secrétariat du Conseil du Trésor s’attend à renouveler la Directive sur la gestion de l’identité en 2019. La DGSI travaillera avec PROTÉGÉ afin de combler les lacunes qui existent à l’égard de leurs pratiques de gestion de l’identité, et mettra à jour la Politique, le cas échéant. PROTÉGÉ ont déjà été approchés afin de leur fournir des conseils en matière de gestion de l’identité.
Les actions devraient être terminées d’ici mars 2022.
3. Conclusion
L’audit a conclu que des pratiques de gestion de l’identité ont été élaborées et mises en œuvre, mais que le niveau prévu d’uniformité entre les programmes et les modes de prestation des services n’a pas été atteint. Ces problèmes d’uniformité découlent principalement des programmes qui ont recours à des normes plus élevées que celles exigées par la Politique et de l’absence d’une approche ministérielle en ce qui a trait aux représentants des tierces parties agissant au nom des clients individuels.
Dans l’ensemble, les pratiques de gestion de l’identité utilisées pour les personnes soutiennent adéquatement l’intégrité et la sécurité des programmes et des services. Des exceptions ont été relevées pour chaque programme où des améliorations pourraient être apportées afin d’accroître davantage l’intégrité des programmes.
Protégé
4. Énoncé d’assurance
Selon notre jugement professionnel, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et appropriés pour étayer l’exactitude des constatations présentées dans ce rapport. Ces dernières sont fondées sur des observations et des analyses des situations qui existaient au moment de l’audit. Les conclusions ne s’appliquent qu’aux pratiques de gestion de l’identité des programmes énumérés dans le présent rapport. Les éléments probants ont été recueillis conformément à la Politique sur l’audit interne du Conseil du Trésor et aux Normes internationales pour la pratique professionnelle de l’audit interne.
Annexe A : Évaluation des critères de l’audit
- Critères de l’audit :
- On s’attend à ce que le Ministère ait élaboré une politique, des normes, des outils et des conseils adéquats qui permettent aux programmes et services ministériels de mettre au point des pratiques de gestion de l’identité uniformes.
- Cotation :
- Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
- Critères de l’audit :
- On s’attend à ce que le Ministère fasse le suivi des pratiques de gestion de l’identité qui ont été élaborées afin de confirmer que les exigences de la Politique sont respectées.
- Cotation :
- Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
- Critères de l’audit :
- Pratiques de gestion de l’identité utilisées pour les personnes : on s’attend à ce que les programmes et les services aient mis en œuvre (c’est-à-dire élaboré, documenté et communiqué) des pratiques de gestion de l’identité conformes au niveau d’assurance exigé pour l’inscription, l’authentification, la validation et les modifications.
- Cotation :
- Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
- Critères de l’audit :
- Pratiques de gestion de l’identité utilisées pour les organisations : on s’attend à ce que les programmes et les services aient mis en œuvre (c’est-à-dire élaboré, documenté et communiqué) des pratiques de gestion de l’identité conformes au niveau d’assurance exigé pour l’inscription, l’authentification, la validation et les modifications.
- Cotation :
- Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
- Critères de l’audit :
- On s’attend à ce que les programmes et les services protègent les renseignements sur l’identité contre tout accès non autorisé.
- Cotation :
- Un contrôle suffisant est exercé ; risque faible
- Critères de l’audit :
- Pour tous les modes de prestation des services (en personne, centre d’appels spécialisé, courrier, en ligne) sauf les centres de traitement : on s’attend à ce que les programmes et les services surveillent les activités liées à la gestion de l’identité afin de confirmer que des mesures correctives appropriées sont prises en temps opportun pour combler les lacunes portant atteinte à l’intégrité des programmes.
- Cotation :
- Un contrôle suffisant est exercé ; risque faible
- Critères de l’audit :
- Appels entrants et sortants des centres de traitement : on s’attend à ce que les programmes et les services surveillent les activités liées à la gestion de l’identité afin de confirmer que des mesures correctives appropriées sont prises en temps opportun pour combler les lacunes portant atteinte à l’intégrité des programmes.
- Cotation :
- Un certain contrôle est exercé, mais il faudrait le renforcer ; risque moyen
Détails de la page
- Date de modification :