Examen des pratiques d'approvisionnement et Plaintes du fournisseur

Résumé destiné au public

1. Introduction
2. Aperçu du mandat du Bureau de l'ombudsman de l'approvisionnement
3. Analyse des données
4. Gestion des risques d'entrave à la protection des renseignements personnels
5. Conclusion

1. Introduction

Dans le cadre des activités de programme qu'il exerce, sans lien de dépendance avec le gouvernement, le Bureau de l'ombudsman de l'approvisionnement (BOA) examine les pratiques d'approvisionnement de l'ensemble des ministères et organismes fédéraux, enquête sur les plaintes des fournisseurs éventuels relatives à l'attribution des marchés de biens et de services en-deçà de certaines valeurs, ainsi que sur les plaintes portant sur l'administration des contrats, et finalement, il veille à la prestation d'un mécanisme de règlement extrajudiciaire des différends. Ainsi, ces activités permettent au BOA de promouvoir l'équité et la transparence du processus d'approvisionnement.

2. Aperçu du mandat du Bureau de l'ombudsman de l'approvisionnement

Selon la Loi du ministère des Travaux publics et Services gouvernementaux, le mandat de l'ombudsman de l'approvisionnement est :

• d'examiner les pratiques d'acquisition de matériel et de services des ministères pour en évaluer l'équité, l'ouverture et la transparence, et présenter, le cas échéant, au ministère concerné des recommandations pour les améliorer;
• d'examiner toute plainte relative à l'attribution d'un marché d'acquisition de biens dont la valeur est inférieure à 25 000 $ et de services dont la valeur est inférieure à 100 000 $, lorsque les critères de l'Accord sur le commerce intérieur du Canada s'appliquent;
• d'examiner toute plainte relative à la gestion de tout marché de l'État en vue de l'acquisition de matériel ou de services par un ministère, peu importe la valeur du marché;
• de veiller à donner l'accès à un mécanisme de règlement extrajudiciaire des différends lorsque les deux parties concernées conviennent de participer.

L'ombudsman de l'approvisionnement peut également exercer toute autre fonction que le gouverneur en conseil ou le ministre peut lui attribuer par décret ou arrêté, selon le cas, à l'égard des pratiques d'acquisition de matériel et de services des ministères.

3. Analyse des données

Le système de gestion des cas (SGC) est le système utilisé par le BOA comme outil de collecte et d'analyse des données. Chaque secteur d'activité conserve aussi des copies papier et électroniques des dossiers, lesquelles sont sauvegardées sur un disque partagé. Les dossiers papier qui contiennent des renseignements de nature personnelle ou délicate sont clairement marqués au niveau « protégé B » et conservés dans un classeur verrouillé approuvé. Ces dossiers sont chiffrés avant d'être sauvegardés sur le disque partagé. Le système contient une variété de renseignements et est conçu de manière à stocker, à analyser et à faire rapport des informations nécessaires à un processus décisionnel et à une production de rapports plus efficaces. Les principales fonctions comprennent notamment :

• la création d'un dossier;
• le suivi de toute activité à un dossier (demandes, enquêtes, examens, mécanismes de règlement extrajudiciaire des différends, dossier désigné et correspondance) de la création à la fermeture de ce dernier;
• le suivi des dossiers pour s'assurer du respect des délais établis par les règlements législatifs;
• la coordination et la facilitation de l'intégration des activités spécialisées dans les différents secteurs d'activités du BOA;
• la fourniture de capacités de conformité dans le cadre de la Loi sur l'accès à l'information et Loi sur la protection des renseignements personnels;
• l'établissement de liens entre les informations sur les plaignants, les enjeux, les responsables et les examens;
• la fourniture d'un accès facile aux renseignements pour les gestionnaires afin d'appuyer une saine prise de décision et d'obtenir des intrants pour le rapport annuel;
• l'appui aux capacités de recherche avancées;
• l'établissement de liens entres les informations des dossiers électroniques et les cas;
• la collecte, le stockage et la gestion des renseignements pour s'assurer de leur conformité aux politiques en matière de gestion de l'information et d'infotechnologie du gouvernement du Canada;
• la promotion de la transparence en rendant les renseignements disponibles aux personnes autorisées à les consulter, y compris les personnes exerçant leurs droits en vertu de la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels;
• l'établissement de rapports détaillés;
• la réalisation d'analyses des tendances aux fins d'évaluation de la conjoncture.

Le SGC permettra d'obtenir des renseignements sur les activités passées, présentes et futures du BOA. Le SGC peut se définir comme un système intégré visant à mettre à jour les données, les convertir et les regrouper dans les bonnes informations, à fournir les mêmes renseignements aux utilisateurs appropriés et à faire rapport des activités du BOA. Le personnel qui utilise le système pourra extraire les renseignements nécessaires uniquement, sans recevoir d'information extrinsèque, réduisant ainsi la surcharge d'information et la confusion. Le principal objectif du SGC est de fournir les bonnes informations aux bonnes personnes au moment propice et d'en faire rapport. Le SGC est le principal élément qui permet au BOA de bien gérer l'information en appui aux exigences législatives.

Les investissements dans le SGC et sa mise en œuvre efficace permettent de s'assurer que le BOA traite les renseignements de manière appropriée et qu'il est en mesure d'exécuter son mandat législatif d'une manière qui favorise la confiance des intervenants envers les informations générées par le Bureau de l'ombudsman de l'approvisionnement.

Le système receuille les informations fournies par les fournisseurs canadiens et les représentants des ministères fédéraux dans les formulaires de plainte officielle, les lettres, les courriels, les télécopies ou lors de conversations téléphoniques et de demandes informelles. Le système recueille aussi des renseignements sur les examens des pratiques réalisés par le BOA et sur les recommandations connexes formulées aux ministères. Les informations afférentes à la correspondance entrante et sortante relative aux examens des pratiques d'approvisionnement et aux plaintes des fournisseurs, ainsi que toute correspondance d'affaires sont également saisies dans le système. De plus, les informations recueillies peuvent parfois être considérées comme des renseignements « personnels » en raison de la nature sensible de la question. Les informations recueillies sont fournies directement par le fournisseur canadien ou le fonctionnaire. Le BOA demande des renseignements précis afin de résoudre une plainte ou un enjeu, ou d'enquêter sur ceux-ci. À ces fins, le plaignant ou le fonctionnaire pourraient devoir fournir plus de plus amples informations.

Les informations considérées comme des renseignements « personnels » sont classées « personnels » et sont marquées et stockées dans un environnement « protégé B », selon la nature sensible du document. Ces renseignements sont également stockés dans un classeur verrouillé approuvé.

Flux des données du SGC

• Description du groupe de renseignements personnels
• Recueilli par
• Format
• Utilisé par
• Objectifs de la collecte de renseignements
• Renseignements communiqués
• Stockage ou conservation des renseignements

Groupe de renseignements sur l'inscription

• Nom, poste, organisation, adresse postale, numéro de téléphone, adresse électronique et détails de la plainte.
• SGC
• Papier, téléphone et/ou électronique
• Le personnel du BOA
• Répondre à la correspondance
• Les enquêteurs, les analystes de l'examen et possiblement le sous-ministre du ministère concerné
• Deux ans, jusqu'à ce que l'autorisation de disposition de documents ait été émise pour le BOA (en cours d'élaboration)

4. Gestion des risques d'entrave à la protection des renseignements personnels

La présente section fait état de certains risques d'entrave à la protection des renseignements personnels associés aux procédures du SGC, ainsi qu'au stockage et au traitement des dossiers papier et électroniques. Cette information est précisée dans l'évaluation des facteurs relatifs à la vie privée. Les risques, qui sont résumés ci-dessous, décrivent aussi les mesures d'atténuation relatives à la sécurité et à la vie privée devant être prises :

• Responsabilité à l'égard des renseignements personnels;
• Consentement à la divulgation des renseignements personnels;
• Collecte des renseignements personnels;
• Utilisation, divulgation et conservation des renseignements personnels;
• Protection des renseignements personnels et de la formation;
• Sécurité du SGC.

4.1 Responsabilité à l'égard des renseignements personnels

Risque 1

Puisque le Bureau est en cours d'établissement, des directives doivent continuer d'être élaborées pour déterminer ce qui constitue des « renseignements personnels » et comment l'information connexe doit être saisie dans le système. Il faut aussi aborder le traitement et le stockage des renseignements « personnels » du BOA dans le système de classement de dossiers papier et le disque partagé.

Risque 1 - Mesures d'atténuation des risques

Afin de réduire les risques liés à la protection des renseignements personnels dans le SGC, le classeur des dossiers papier et le disque partagé, le BOA prévoit établir des directives sur la sécurité et la protection des renseignements personnels pour s'assurer de la sécurité entourant le traitement des renseignements personnels de nature délicate à chaque étape de leur cycle de vie.

Ces règles administratives officielles permettent d'établir des procédures de sécurité standards qui abordent le traitement des renseignements « personnels » dans le SGC, le classeur des dossiers papier et le disque partagé.

Risque 2

La responsabilité particulière liée aux enjeux de la protection des renseignements personnels n'a pas été déterminée. La responsabilité à l'égard des renseignements communiqués entre les ministères et les organismes, élément visé par l'annexe 1.1 de la Loi sur la gestion des finances publiques, n'a pas été établie et pourrait entraîner une mauvaise gestion et un manque de confiance.

Risque 2 - Mesures d'atténuation des risques

Les questions de responsabilité seront abordées dans les directives sur la sécurité et la protection des renseignements personnels. Le BOA est l'autorité fonctionnelle responsable des renseignements reçus et saisis dans le SGC, les dossiers papier et le disque partagé. En ce qui concerne les ministères, les règles n'ont pas encore été mises en place pour indiquer dans quelle mesure ils sont responsables de l'information transmise par le BOA à l'égard d'une plainte ou d'un règlement extrajudiciaire des différends (particulièrement en ce qui a trait à la production, au marquage, à l'enregistrement et à la transmission de l'information).

4.2 Consentement à la divulgation des renseignements personnels

Risque 3

Lorsque l'information est recueillie auprès du plaignant ou du fonctionnaire, on lui demande de confirmer si les renseignements fournis peuvent être communiqués au ministère concerné. Toutefois, le BOA n'a pas encore abordé la question de savoir comment les ministères doivent gérer les renseignements divulgués une fois qu'ils les reçoivent; il y a donc un risque que les informations soient communiquées à d'autres parties ou utilisées sans consentement. La question du consentement se pose lorsque des « renseignements personnels » fournis par les correspondants doivent être divulgués à une autre institution (ministère).

Risque 3 - Mesures d'atténuation des risques

En fournissant l'information au BOA pour répondre à leurs plaintes, les fournisseurs canadiens donnent leur consentement implicite à la collecte de renseignements personnels, mais pas précisément à la divulgation de ces renseignements. Conformément au mandat du BOA, il est déduit que le « renseignement personnel » ne doit pas être divulgué au-delà de son principal objectif, qui est de permettre de répondre à une plainte. Les renseignements sont recueillis conformément au Règlement concernant l'ombudsman de l'approvisionnement, dans le cadre de la Loi fédérale sur la responsabilité, afin que la plainte soit déposée et examinée. Par conséquent, le BOA doit souvent communiquer des renseignements « personnels », conformément au paragraphe 8(2) (a) de la Loi sur la protection des renseignements personnels, aux fins desquelles ils ont été obtenus ou recueillis, ou pour un usage compatible avec ces fins, à savoir répondre à la plainte.

Le BOA s'efforce d'assurer une surveillance diligente pour veiller à ce que l'information considérée comme « personnelle » ne soit pas communiquée à d'autres fins.

Aussi, un avis sur la protection des renseignements personnels a été ajouté sur le formulaire de plainte, et sur le site Internet du BOA dans les deux langues officielles, précisant que les renseignements « personnels » seront uniquement utilisés pour répondre à la demande du plaignant. L'avis précise aussi que les renseignements pourront être communiqués avec un autre ministère lorsque l'enquête vise ce ministère.

Dans le cas où il est nécessaire de divulguer des renseignements à un autre ministère (comme dans le cas d'un renvoi), le requérant est mis au courant avant que l'information soit divulguée et il est avisé que le BOA pourrait transmettre une copie de la plainte à un autre ministère pour répondre à la demande. Cette procédure est aussi indiquée dans l'article 8 du Règlement concernant l'ombudsman de l'approvisionnement.

4.3 Collecte des renseignements personnels

Risque 4

La rétention superflue de renseignements personnels rend considérable le préjudice qui serait provoqué par un accès non autorisé ou par le personnel n'ayant pas le besoin de connaître.

Risque 4 - Mesures d'atténuation des risques

Le SGC est conçu de manière à stocker les renseignements « protégé B » et l'équipe d'infotechnologie de TPSGC doit s'assurer que le système est sur une plateforme « protégé B ». Toutefois, des lignes directrices/directives sont élaborées pour la sécurité et la protection des renseignements personnels, lesquelles prévoient des procédures détaillées qui définissent le type d'informations de nature délicate incluses et la manière dont les personnes ayant accès aux données doivent les traiter. Par exemple, veiller à ce que l'impression des renseignements « personnels » se fasse uniquement par le biais de l'imprimante sécurisée.

Les renseignements recueillis et stockés sur le disque dur partagé ou dans le système de classement des copies papier doivent respecter la Politique sur la sécurité et de l'information, et les informations considérées comme « personnelles » doivent être chiffrées avant d'être sauvegardées sur le disque partagé. Tous les documents qui contiennent des renseignements « personnels » seront correctement identifiés avec le niveau adéquat de marquage de sécurité et entreposés dans un contenant approuvé.

Les documents désignés comme « protégé C », « secret » et « très secret » ne sont jamais numérisés dans le SGC, ni stockés sur le disque partagé. Le dossier papier doit présenter le marquage de sécurité adéquate et être stocké dans un classeur approuvé.

4.4 Utilisation, divulgation et conservation des renseignements personnels

Risque 5

Les employés pourraient avoir un accès non autorisé aux renseignements « personnels » par l'entremise du SGC, des dossiers papier ou du disque partagé.

Risque 5 - Mesures d'atténuation des risques

Il n'y a pas d'utilisations secondaires des renseignements saisis dans le SGC, et, dans la mesure on l'on peut le déterminer, aucune utilisation non autorisée de l'information n'est prévue.

Un contrôle d'accès du SGC axé sur les rôles est déjà en place. Les droits d'accès sont établis conformément à un besoin de connaître les renseignements. L'information est actuellement uniquement stockée sur des ordinateurs personnels désignés et contrôlés par mot de passe. Cela permet de vérifier qui à accès au SGC. Les comptes des utilisateurs sont tenus à jour en envoyant un courriel demandant un accès au système, lequel est vérifié et approuvé par le directeur du SGC. L'accès non autorisé est donc impossible. Actuellement, il n'y a que quelques utilisateurs du SGC et on ne s'attend pas à ce qu'il y ait plus de 15 utilisateurs. Ceci facilite la gestion et le contrôle. L'accès au disque partagé est limité au personnel du BOA et les informations « personnelles » stockées sur le disque partagé électronique doivent être chiffrées et l'on doit permettre uniquement aux personnes ayant un besoin de savoir d'y accéder. Les dossiers papier qui contiennent des renseignements « personnels » sont stockés dans un classeur verrouillé approuvé et seuls ceux qui ont un besoin de connaitre y ont accès.

Le BOA entreprendra un nettoyage périodique du SGC et révisera la liste des utilisateurs, afin de garantir que les droits d'accès sont à jour.

Un message d'avertissement a été créé dans le but d'aviser les utilisateurs que l'information contenue dans le système ne devrait être utilisée, divulguée et supprimée qu'en vertu de la Politique du gouvernement sur la sécurité et du paragraphe 8(2) de la Loi sur la protection des renseignements personnels. En plus de ce message, un avis général de sécurité apparaît régulièrement sur chaque poste de travail demandant à l'utilisateur de reconnaître ses responsabilités relatives à une utilisation appropriée des logiciels disponibles dans le système. De plus, le SGC offre la possibilité, si on en fait la demande, de générer un historique de tous les utilisateurs, des accès et des documents consultés.

Risque 6

Des renseignements personnels de nature délicate qui ne sont plus requis pour une raison distincte peuvent encore se trouver dans le système, et des employés n'ayant pas le besoin de connaître pourraient y avoir accès.

Risque 6 - Mesures d'atténuation des risques

En ce qui a trait à la rétention, les renseignements personnels sont supprimés lorsqu'ils ne sont plus requis pour une raison précise ou lorsque leur période de rétention maximale a été atteinte. Une épuration de dossier sera aussi réalisée et on maintiendra à jour un journal, identifiant le sujet et le numéro des dossiers supprimés.

• SGC et copie papier : Les dossiers relatifs aux examens des pratiques d'approvisionnements et aux plaintes des fournisseurs comprennent actuellement une disposition de déclassement de deux ans; toutefois, le BOA collabore actuellement avec Bibliothèque et Archives Canada pour obtenir un délai approprié pour la période de déclassement des dossiers. Une fois ce délai établi, des procédures appropriées seront mises en place pour traiter le déclassement des dossiers.
• Disque partagé : Les renseignements relatifs aux plaintes des fournisseurs sauvegardés sur le disque partagé doivent être chiffrés puisque la plupart de l'information reçue relativement aux plaintes est classée « protégé B ». Les employés du BOA qui traite des données « protégé B » ont reçu une clé ICP (infrastructure à clé publique) qui permet de transférer de l'information « protégé B » par courriel en chiffrant le document et en le transférant uniquement aux personnes qui détiennent une clé ICP. En ce qui concerne les dossiers d'examen des pratiques, les documents sont marqués « protégé A » et peuvent être stockés sur le disque partagé. Les dossiers papier sont toutefois marqués de manière appropriée et stockés dans un classeur verrouillé approuvé.

4.5 Protection des renseignements personnels

Risque 7

Bien que l'information stockée dans le SGC réponde aux exigences de sécurité relatives à la protection des renseignements personnels « protégé B », il n'y a actuellement aucune directive ou ligne directrice qui traite de l'usage incorrect ou de la compromission de l'information saisie. Les procédures et les lignes directrices doivent aussi être abordées lorsque qu'on sauvegarde de l'information « protégé B » sur le disque partagé, puisque ce dernier est de niveau « protégé A ».

Risque 7 - Mesures d'atténuation des risques

Le BOA continuera d'envoyer des renseignements et des rappels ayant trait au traitement, au stockage et à l'élimination des informations personnelles dans le cadre de son initiative de sensibilisation. En outre, le BOA continuera de rappeler à ses employés les procédures à suivre dans les réunions périodiques, et fournira aux nouveaux employés des séances de débreffage et du matériel relatif au traitement, au stockage et à l'élimination des renseignements personnels. L'information considérée « personnelle » est marquée de manière appropriée et stockée dans un classeur approuvé. Un manuel de formation de l'utilisateur est en élaboration. Il abordera les enjeux relatifs à la sauvegarde, à la sécurité et à la protection de la vie privée lors du traitement des renseignements stockés sur le disque partagé et dans le SGC.

4.6 Sécurité du SGC

Risque 8

La sécurité du Système de gestion des cas.

Risque 8 - Mesures d'atténuation des risques

Le processus d'homologation et d'accréditation a déjà été entamé par la sécurité de la Direction générale des services d'infotechnologie. Une lettre d'accréditation sera émise confirmant que le niveau de risque réel correspond au niveau admis.

5. Conclusion

En conclusion, le BOA mettra en application ces mesures pour s'assurer d'éliminer les risques potentiels liés à la protection des renseignements personnels pendant tout le cycle de vie des informations. Le BOA réduira le risque d'accès aux renseignements de nature délicate grâce à des mesures de sécurité adéquates telles que définies dans l'Évaluation des facteurs relatifs à la vie privée.