Rapport sur l’examen de la sécurité dans l’octroi des contrats
RÉPONSE À LA RECOMMANDATION 3 DU CINQUIÈME RAPPORT
DU COMITÉ PERMANENT DES COMPTES PUBLICS
Rédaction
Secrétariat du Conseil du Trésor et
Travaux publics et Services Gouvernementaux Canada
Table des matières
Constatation 1 – Volume des contrats
accordés au niveau Secret
et à un niveau supérieur
Constatation 2 – Exigences de sécurité pour l’octroi des contrats
Constatation 3 – Expertise et capacité
Constatation 4 – Efficience et efficacité
Annexe A – À propos de l’examen
Annexe B – Survol du cadre législatif et
stratégique de la sécurité
dans l’octroi de contrats
Annexe D – Survol de la politique sur la sécurité
Dans le chapitre 1 de son rapport d’octobre 2007, intitulé « Protection des renseignements et des biens du gouvernement lors de l’octroi des contrats », la vérificatrice générale du Canada a signalé des lacunes importantes dans les processus visant à protéger les renseignements et les biens du gouvernement de nature délicate confiés à l’industrie ainsi qu’une absence de clarté quant aux responsabilités qui reviennent à ceux qui sont appelés à jouer un rôle dans le domaine de la sécurité industrielle. Travaux publics et Services gouvernementaux Canada a pris des mesures pour répondre aux recommandations du rapport de la vérificatrice générale et a mis en œuvre un plan d’action bien étayé pour garantir la fiabilité et l’efficacité du Programme de la sécurité industrielle
Le Comité permanent des comptes publics (le « Comité » ou le CPCP) a examiné le rapport de la vérificatrice générale et a formulé quatre recommandations visant à remédier aux lacunes qu’elle a décelées. La troisième recommandation, qui constitue l’objet du présent rapport, se lisait comme suit :
« Que Travaux publics et Services gouvernementaux Canada (TPSGC) et le Secrétariat du Conseil du Trésor (SCT) effectuent un examen en vue de déterminer si tous les marchés faisant l'objet d'une exigence de sécurité « Secret » ou plus élevée devraient être traités par le Programme de la sécurité industrielle (PSI) et informent le Comité des comptes publics des résultats de cet examen. »[1]
Dans son rapport, le CPCP expliquait que pareille mesure permettrait peut-être de veiller à l’adoption d’une approche cohérente de la sécurité dans l’octroi de contrats par le gouvernement, et soulignait que le Programme de sécurité industrielle (PSI) possédait une expertise en matière de sécurité industrielle. En même temps, le Comité était conscient du fait qu’il ne serait pas approprié d’imposer une solution universelle à tous les ministères.
TPSGC et le SCT ont entrepris l’examen dans le but de déterminer si la recommandation renforcerait la sécurité gouvernementale dans l’octroi des contrats. L’examen a permis de dégager les quatre constatations clés suivantes :
§ le volume d’autorisations de sécurité de fournisseurs traité par les ministères ne représente pas un nombre important;
§ les exigences en matière de sécurité ne sont pas uniformes pour l’ensemble des contrats du gouvernement de niveau Secret ou supérieur, et une expertise spécialisée est nécessaire pour assurer la conformité;
§ compte tenu des exigences spécialisées en matière de sécurité, le PSI ne serait pas en mesure d’effectuer le traitement des exigences en matière de sécurité de tous les contrats de niveau Secret ou supérieur;
§ on améliore actuellement l’efficience et l’efficacité de la sécurité dans l’établissement dans l’octroi de contrats, ce qui comprend la possibilité pour les ministères de consulter le registre central du PSI pour connaître l’état des autorisations de sécurité.
Ainsi, l’examen a permis de conclure que :
§ le traitement de la sécurité pour les contrats au niveau Secret ou supérieur ne devrait pas être concentré dans une seule organisation;
§ malgré la conclusion qui précède, le traitement des exigences de sécurité par l’ISP pour les contrats de niveau Secret ou supérieur serait avantageux dans le cas où un ministère possède une capacité et une expertise limitées;
§ la Norme de sécurité et de gestion des marchés doit être examinée en vue de clarifier les exigences et d’assurer l’application uniforme pour tous les contrats publics du gouvernement;
§ le traitement des exigences spécialisées en matière de sécurité doit continuer d’être effectué par les ministères qui ont l’expertise pour ce faire;
§ l’utilisation du registre central pour les autorisations de sécurité des fournisseurs sera intensifiée afin d’assurer une utilisation plus efficace des ressources et d’éviter les dédoublements.
Le SCT et TPSGC ont entrepris un examen afin de déterminer si la recommandation renforcerait la sécurité gouvernementale dans l'octroi des contrats. L'examen tenait compte des intérêts du PSI de TPSGC, des ministères, des principaux organismes chargés de la sécurité, de l'industrie et du gouvernement dans son ensemble. Parmi les renseignements examinés et analysés, citons les lois, les règlements, les instruments de politique, les études et les rapports antérieurs et les résultats de consultations antérieures tenues auprès des intervenants internes et externes. On a recueilli d'autres informations et on a tenu des consultations auprès des ministères qui reçoivent des services du PSI afin d'examiner et de cerner les avantages, les inconvénients et les gains d’efficience sur le plan opérationnel de même que les conséquences éventuelles rattachées à l'imposition de l'obligation d'avoir recours aux services du PSI de TPSGC pour le traitement des contrats faisant l'objet d'exigences de sécurité de niveau Secret ou supérieur.
On trouvera d’autres renseignements sur la portée, la méthode, les documents de référence, la cueillette de données et la tenue des consultations à l’annexe A – À propos de l’examen.
L’examen a permis de dégager quatre grandes constatations. Elles sont expliquées dans les sections qui suivent.
|
Le volume d’autorisations de sécurité de fournisseurs traité par les ministères ne représente pas un nombre important par rapport au volume d’autorisations de sécurité de fournisseurs déjà traité par TPSGC |
Le SCT et TPSGC ont fait remplir un bref sondage par 32 ministères, afin de recueillir des renseignements à jour sur leurs activités liées à la sécurité dans l’octroi de contrats pendant l’exercice 2009-1010. Le sondage visait à déterminer le volume d’autorisations de sécurité effectuées à l’appui de contrats de niveau Secret ou supérieur en vue d’établir un point de comparaison par rapport à celles déjà réalisées par TPSGC. Toutes les personnes qui ont accès à des renseignements ou à des biens gouvernementaux classés au niveau Secret ou à un niveau supérieur doivent recevoir une attestation de sécurité comme l’exige la Norme sur la sécurité du personnel du Conseil du Trésor
Les résultats du sondage ont révélé que le nombre d’autorisations de sécurité de fournisseurs traité par les ministères s’élevait à 1 584. Or, au cours de la même période, TPSGC a traité 24 607 autorisations de sécurité de fournisseurs par le truchement du PSI.
Parmi les 1 584 autorisations de sécurité de fournisseurs traitées par les ministères sondés, le Service canadien du renseignement de sécurité (SCRS) a été à l’origine de 47 % (751) des autorisations, la Gendarmerie royale du Canada (GRC), de 24 % (375) et l’Agence de la santé publique du Canada (ASPC), de 23 % (362). Les autres 6 % (96) ont été traitées par 11 ministères alors que les 18 autres ministères sondés ont déclaré qu’ils n’avaient pas traité d’autorisations de sécurité pour des fournisseurs ou ont indiqué qu’ils avaient collaboré avec TPSGC pour effectuer le traitement des exigences de sécurité en leur nom.
Selon les résultats tirés du sondage, les volumes d’autorisations en question ne représentent qu’un petit nombre par rapport à ceux déjà traités par TPSGC.
|
Les exigences en matière de sécurité ne sont pas appliquées de manière uniforme pour l’ensemble des contrats publics du gouvernement du Canada, et une expertise spécialisée est nécessaire pour assurer la conformité |
Le mécanisme de sécurité dans l’octroi de contrats fonctionne dans un cadre juridique complexe régissant l’octroi de contrats gouvernementaux, qui est défini dans des lois, des règlements et des instruments de politique, ainsi que dans des arrangements internationaux.
En sa qualité d'autorité contractante et d'acheteur central du gouvernement, TPSGC assure l'intégrité, l'efficience et l'efficacité des processus d'approvisionnement du gouvernement. Le Programme de sécurité industrielle (PSI) offre des services aux ministères afin de les aider à protéger les renseignements et les biens qui sont confiés, dans le cadre de contrats, à des organisations du secteur privé, de manière à permettre la conformité aux accords, arrangements et protocoles d’entente internationaux de sécurité industrielle. Un certain nombre de documents clés, y compris des politiques, des directives, des lignes directrices sur les normes et des procédures, produits par TPSGC et le SCT, donnent des conseils et des indications aux ministères. On peut trouver un résumé de ces documents à l’annexe B – Survol du cadre législatif et stratégique de la sécurité dans l’octroi de contrats.
Le PSI traite normalement les exigences de sécurité pour tous les contrats quand TPSGC est l’autorité contractante. La détermination de l’autorité contractante dépend du plafond imposé aux ministères d’après les pouvoirs délégués par le Conseil du Trésor. Lorsque la valeur du contrat dépasse la limite des pouvoirs délégués aux ministères, la Direction générale des approvisionnements de TPSGC est l’autorité contractante. Si un ministère est l'autorité contractante, il a actuellement le choix de traiter lui-même les exigences de sécurité ou de demander au PSI de le faire en son nom. L’autorité contractante a la responsabilité de s’assurer que les exigences de sécurité soient respectées.
Dans le cadre des arrangements internationaux, la responsabilité de veiller au respect des normes de l’OTAN dans l’industrie canadienne revient au PSI, à titre d’autorité désignée au Canada en matière de sécurité pour la sécurité industrielle. Conformément à ces exigences, lorsque TPSGC est l'autorité contractante, le PSI met en application des mesures de sécurité additionnelles, comme le précisent ces arrangements, en plus des exigences spécifiées dans la Politique sur la sécurité du gouvernement (PSG) et de la Norme de sécurité et de gestion des marchés. Sans égard à la nature et à l’étendue du contrat, lorsque le PSI traite les exigences de sécurité des contrats, il applique les règles internationales de l’OTAN qui comprennent la réalisation de l’attestation de sécurité des installations (ASI) pour les contrats de niveau Secret ou supérieur et le traitement des autorisations de sécurité des fournisseurs. L’ASI suppose de déterminer la bonne foi des entreprises du secteur privé et d’effectuer l’autorisation de sécurité des responsables d'entreprise dont relèvent des entrepreneurs. En outre, le PSI effectue des inspections de la sécurité matérielle et de la sécurité de la TI dans les installations des entrepreneurs pour s’assurer que les renseignements et les biens confiés à l’industrie ou produits par elle sont correctement protégés tout au long du processus d’octroi de contrats. On peut trouver la description des services du PSI et des activités connexes à l'annexe C – Rôles et responsabilités du Programme de sécurité industrielle et des principaux organismes chargés de la sécurité.
Par contre, lorsque les ministères s’occupent de la sécurité des contrats qui relèvent de leur propre compétence, ils n’appliquent généralement que les exigences précisées dans la version actuelle de la PGS et dans Norme de sécurité et de gestion des marchés, même si certains d’entre eux effectuent certaines vérifications afin de répondre à leurs exigences spécialisées en matière de sécurité. Actuellement, les exigences de la Norme visent principalement à permettre aux ministères de déterminer quels sont les biens et les renseignements de nature délicate auxquelles les fournisseurs devront avoir accès et à faire en sorte que les entrepreneurs respectent les exigences de sécurité appropriées. Les ministères n’effectuent pas toujours une ASI et des inspections de la sécurité matérielle et de la sécurité de la TI comme le fait le PSI. Les principaux organismes chargés de la sécurité de même que quelques autres ministères effectuent des ASI et des inspections en fonction de la nature précise des contrats.
Les divergences quant aux approches de cette nature contribuent au manque de temps, de coûts et d’uniformité dans l’application des exigences de sécurité dans l’octroi des contrats et indique la nécessité d’une approche plus cohérente. Des révisions de la Norme de sécurité et de gestion des marchés sont en cours en vue d’établir des normes pour l’ensemble du gouvernement en ce qui concerne l’établissement d’exigences de sécurité dans l’octroi des contrats et pour mettre en place des critères pour décider de la nécessité d’effectuer des ASI et des inspections, et ce, peu importe l’organisation qui s’occupe du contrat.
|
Les exigences de sécurité de certains contrats nécessitent une expertise et une capacité spécialisées |
Le niveau d’expertise et de capacité des ministères en matière de sécurité est généralement proportionnel à la nature de leur mandat et de leurs activités quotidiennes. Tous les ministères effectuent des enquêtes de sécurité sur leur propre personnel et ils ont donc la capacité de le faire pour les fournisseurs. Les ministères dont le mandat et les activités sont étroitement liés à la sécurité nationale ou à la sécurité publique possèdent un niveau d’expertise et de capacité supérieur pour veiller au respect des exigences de sécurité, notamment en ce qui concerne la protection des renseignements et des biens de niveau Secret.
À l’issue des consultations, on a appris que les ministères qui s’occupent régulièrement de renseignements et de biens de niveau Secret sont mieux outillés pour traiter les exigences de sécurité de leurs propres contrats, car ils comprennent mieux les risques propres à leurs renseignements et à leur bien ainsi que l’expertise spécialisée dans le domaine de la sécurité en ce qui a trait à leurs activités.
Par exemple, l’Agence de la santé publique du Canada est mieux placée pour comprendre et atténuer les risques rattachés à la construction d’un laboratoire à haut niveau de confinement qu’un autre ministère qui n’œuvre pas dans un tel contexte. En raison de leur mandat et de la nature de leurs activités, les principaux organismes chargés de la sécurité comme la GRC et le SCRS ont généralement des exigences de sécurité plus spécialisées et possèdent le niveau d’expertise et de capacité en matière de sécurité proportionnel pour effectuer le traitement de ces exigences. On peut trouver une brève description du rôle des principaux organismes responsables de la sécurité à l’annexe C – Rôles et responsabilités du Programme de sécurité industrielle et des principaux organismes chargés de la sécurité.
À la lumière de ces observations, il serait souhaitable que le PSI traite les exigences de sécurité des contrats de niveau Secret ou supérieur seulement lorsque le ministère concerné a une expertise et une capacité limitée dans le domaine. Toutefois, dans les cas où le ministère a une compréhension unique des risques liés à un contrat et où il possède l’expertise et la capacité d’effectuer les contrôles de sécurité requis, il est l’organisme le mieux placé pour veiller à ce que les exigences hautement spécialisées rattachées à ce type de contrats soient respectées.
|
Les améliorations qu'on apporte au processus ont déjà contribué à la réduction du travail en double pour l’ensemble des ministères |
Lors d'un examen de l'efficience et de l'efficacité de la sécurité dans les pratiques d’octroi de contrats, les intervenants internes et externes ont soulevé des problèmes semblables concernant le chevauchement des processus et le manque de réciprocité relativement à l'autorisation de sécurité de certains fournisseurs.
On ne sait pas exactement dans quelle mesure il existe des dédoublements. Dans certains cas, le secteur privé a indiqué que des personnes devaient passer par plusieurs processus d’autorisation de sécurité lorsqu’elles faisaient affaires avec le gouvernement, ce qui semble indiquer que l’information sur ces processus ne circule pas entre les ministères du gouvernement. Une enquête par sondage a été menée par TPSGC pour déterminer l’étendue des dédoublements et, sur la foi des résultats obtenus, un taux de dédoublement de 18 % a été établi.
Les intervenants externes ont manifesté de l'intérêt pour une approche plus rationalisée concernant les enquêtes sur les entreprises et les particuliers à l'échelle du gouvernement. Les préoccupations précises de l’industrie portent sur les pratiques et procédures en double, non complémentaires et non réciproques parmi les ministères, ainsi que sur le manque d’autorisations de sécurité données au moment opportun. Il ressort des consultations avec les ministères qu’ils ont les mêmes préoccupations.
Pour régler les problèmes de double emploi et de redondance soulevés par les intervenants internes et externes, en mars 2010, le PSI donne aux ministères l’accès à son registre des entrepreneurs et des entreprises qui ont fait l'objet d'une enquête et d'une autorisation de sécurité. Cette mesure permet aux responsables de la sécurité autorisés dans tous les ministères de vérifier dans le registre l'état des enquêtes de sécurité visant le personnel des entrepreneurs et éviter ainsi d'effectuer le processus d'enquête en double. Non seulement cette mesure a permis de réduire une partie du chevauchement, mais elle a également aidé à accélérer les exigences en matière de sécurité de certains contrats.
Les ministères peuvent également contribuer au registre en transmettant au PSI les documents nécessaires, afin de s’assurer que le nom des entrepreneurs et le contrat auquel il est associé y sont entrés. L'utilisation uniforme et régulière du registre du PSI permettrait aux ministères d'obtenir des renseignements sur les enquêtes de sécurité effectuées sur des entrepreneurs et des entreprises et dissiperait les préoccupations de l'industrie en réduisant le nombre d'enquêtes et d'autorisations répétées visant des entrepreneurs qui sont déjà enregistrés auprès du PSI.
En conclusion, les quatre principales constatations effectuées dans le cadre de l’examen révèlent que le fait de concentrer le traitement de la sécurité pour tous les contrats de niveau Secret ou supérieur n’est pas, en soi, une solution pour améliorer la sécurité dans l’octroi des contrats. Elles permettent aussi de conclure que le volume des autorisations de sécurité de fournisseurs traité par les ministères autres que TPSGC n’est pas important.
À court terme, on pourrait mieux répondre aux besoins de l’industrie et réduire le dédoublement du travail à l’échelle du gouvernement en étendant l’utilisation du registre central du PSI. Les révisions qu’on apporte actuellement à la Norme de sécurité et de gestion des marchés sont nécessaires pour mieux définir le processus d’assurance de la sécurité dans l’octroi des contrats, pour clarifier les rôles et les responsabilités de TPSGC et de ses clients, et pour améliorer la surveillance.
Il serait avantageux que le PSI traite les exigences de sécurité des contrats de niveau Secret ou supérieur lorsqu’un ministère a une expertise et une capacité limitées. Toutefois, des organisations comme la Gendarmerie royale du Canada (GRC) et le Service du renseignement de sécurité du Canada (SCRS), qui ont des exigences spécialisées en matière de sécurité et qui possèdent l’expertise pour les combler, devraient continuer de s’occuper de la sécurité dans le cadre de leurs contrats.
De plus, on tiendra compte de l’utilisation croissante du registre central afin d’éviter le dédoublement des efforts déployés. Ceci viendra répondre à la préférence de l’industrie en ce qui a trait au guichet unique, et améliorera l’efficacité et l’efficience de la prestation des services.
À cette fin, le SCT et TPSGC continueront de collaborer et consulteront les intervenants dans le cadre de la révision de la Norme de sécurité et de gestion des marchés.
Le SCT et TPSGC ont convenu d’entreprendre un examen de la recommandation du CPCP afin d’évaluer les avantages, les inconvénients et les gains d'efficience sur le plan opérationnel de même que les conséquences éventuelles d’imposer le recours aux services du PSI-TPSGC pour le traitement des contrats faisant l’objet d’exigences de sécurité Secret ou plus élevées.
Portée
L’examen s’est concentré sur les pratiques en matière de sécurité des contrats canadiens en vigueur des ministères et du PSI, comme elles sont décrites dans la législation, les règlements, les politiques et les arrangements internationaux.
L’examen ne touchait pas les questions relatives à la gestion, aux activités opérationnelles ou aux gains d’efficience du PSI, des ministères, de l’industrie ou du gouvernement dans son ensemble. Pour effectuer l’examen de ces questions, il aurait fallu beaucoup plus de temps que ne le permettait l’échéancier du présent examen.
Méthode
Nous avons recueilli et analysé des documents provenant de diverses sources, notamment :
§ les lois, les politiques et les règlements pertinents ;
§ les lignes directrices et les manuels opérationnels ;
§ les données fournies par 32 ministères ;
§ les études et les rapports connexes;
§ les sommaires des consultations auprès des intervenants.
L’analyse visait les intérêts du fournisseur de services communs (le PSI), des ministères, de l’industrie et du gouvernement dans son ensemble. Les résultats de ce sondage ont aidé à déterminer dans quelle mesure on a recours aux services du PSI pour traiter des exigences de sécurité liées aux contrats, et aussi dans quelle mesure les ministères se chargent de la sécurité dans leurs activités contractuelles, au-delà du filtrage de sécurité des personnes. Des discussions bilatérales tenues avec un échantillon de ministères et organismes participant au sondage ont permis de recueillir des renseignements supplémentaires sur les mesures ministérielles de sécurité précises appliquées aux pratiques contractuelles.
Ministères consultés
La liste suivante énumère les ministères consultés (par courriel, par téléphone ou en personne) au cours de l’examen.
|
Ministères consultés dans un cadre bilatéral |
Date |
|
Travaux publics et Services gouvernementaux Canada |
Le 22 sept. |
|
Agence des services frontaliers du Canada |
Le 14 sept. |
|
Agence du revenu du Canada |
Le 17 sept. |
|
Agence de la santé publique du Canada |
Le 13 sept. |
|
Industrie Canada. |
Le 14 sept. |
|
Centre de la sécurité des télécommunications Canada |
Le 13 sept. |
|
Sondage et consultations téléphoniques de suivi, du 23 août au 22 septembre |
|
Agriculture et Agroalimentaire Canada |
|
Agence canadienne d’inspection des aliments |
|
Patrimoine canadien |
|
Agence canadienne de développement international |
|
Service canadien du renseignement de sécurité |
|
Agence spatiale canadienne |
|
Citoyenneté et Immigration Canada |
|
Service correctionnel du Canada |
|
Ministère des Pêches et des Océans |
|
Ministère des Affaires étrangères et du Commerce international |
|
Ministère de la Défense nationale |
|
Élections Canada |
|
Environnement Canada |
|
Santé Canada |
|
Commission de l’immigration et du statut de réfugié |
|
Affaires indiennes et du Nord Canada |
|
Justice Canada |
|
Bibliothèque et Archives Canada |
|
Conseil national de recherches du Canada |
|
Ressources naturelles Canada |
|
Bureau du vérificateur général |
|
Parcs Canada |
|
Bureau du Conseil privé |
|
Commission de la fonction publique |
|
Gendarmerie royale du Canada |
|
Service Canada – Ressources humaines et Développement des compétences Canada |
|
Transports Canada |
|
Secrétariat du Conseil du Trésor |
|
Anciens Combattants Canada |
Consultations auprès d’organes de gouvernance
|
Comité ou groupe de travail |
Date |
|
Comité des sous-ministres adjoints sur la sécurité et l’identité |
Le 18 juin Le 1er octobre |
|
Comité des directeurs généraux sur la sécurité et l’identité |
Le 26 mai Le 26 août |
|
Groupe de travail sur la sécurité dans l’adjudication des marchés |
Le 10 juin Le 28 juillet Le 31 août Sondage par courriel envoyé le 2 septembre |
Questions pour les consultations en personne
Les questions ci-après ont servi de base aux consultations en personne, dont les résultats ont éclairé l’analyse et les constatations. Pour chaque question, on tentait d’obtenir le point de vue de la personne concernant les ministères, le fournisseur de services communs (le PSI de TPSGC) et le gouvernement de son ensemble.
Questions de la consultation
1. À votre avis, quels seraient les avantages opérationnels de confier au PSI le traitement de tous les contrats assortis d’une exigence de sécurité Secret ou supérieure?
2. À votre avis, quels seraient les inconvénients opérationnels de confier au PSI le traitement de tous les contrats assortis d’une exigence de sécurité Secret ou supérieure?
3. À votre avis, quelles seraient les conséquences éventuelles (positives ou négatives) pour votre ministère de confier au PSI le traitement de tous les contrats assortis d’une exigence de sécurité Secret ou supérieure?
4. À votre avis, quels seraient les gains d’efficience opérationnelle de confier au PSI le traitement de tous les contrats assortis d’une exigence de sécurité Secret ou supérieure?
Les politiques du Conseil du Trésor, et en particulier la version révisée de la Politique sur la sécurité du gouvernement (PSG) et de la Directive sur la gestion de la sécurité ministérielle (DGSM), contiennent les exigences que doivent respecter les administrateurs généraux et leurs fonctionnaires pour s’assurer de suivre une approche cohérente de la gestion des risques de sécurité pour les activités ministérielles. La PSG décrit les rôles et responsabilités des principaux organismes chargés de la sécurité d’après le mandat ministériel prévu par la Loi. La Norme de sécurité et de gestion des marchés établit les exigences opérationnelles et techniques liées à la manière dont les gestionnaires et les spécialistes fonctionnels doivent se charger de la sécurité à toutes les phases du processus d’octroi de contrats du gouvernement fédéral. La Norme opérationnelle sur la sécurité matérielle et la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) établissent les exigences techniques relatives à la protection des biens et des renseignements du gouvernement. La Norme sur la sécurité du personnel précise, pour sa part, les exigences relatives aux enquêtes de sécurité de tous les particuliers, y compris les entrepreneurs.
Afin d’aider les ministères et l’industrie à respecter leurs obligations législatives et stratégiques en lien avec la sécurité dans l’octroi de contrats, TPSGC a produit deux manuels qui font autorité. Le Guide des approvisionnements, destiné aux autorités ministérielles d’octroi de contrats et d’approvisionnement, interprète les lois et les politiques et décrit les principes, les pratiques, les rôles et les responsabilités en matière d’octroi de contrats gouvernementaux. Le Manuel de la sécurité industrielle, produit par le PSI, renseigne les gens de l’industrie pour veiller à ce qu’ils mettent en place les contrôles de sécurité nécessaire pour protéger les renseignements et les biens protégés et classifiés qui leur sont confiés dans le cadre du processus d’octroi de contrats.
Documents de référence
Au cours de l’examen, on a fait référence aux lois, règlements et instruments de politique suivants, qui portent sur l’octroi de contrats et la sécurité dans l’octroi de contrats.
Programme de sécurité industrielle
Le Programme de sécurité industrielle de TPSGC exerce les activités suivantes en lien avec la sécurité dans l’octroi de contrats :
§ effectuer une enquête de sécurité et fournir une autorisation de sécurité appropriée à toute entreprise (Attestation de sécurité des installations ou ASI) afin de déterminer si une entreprise a le droit d’avoir accès à des renseignements protégés ou classifiés, et veille à ce que les entreprises conservent leur autorisation de sécurité durant la période visée par le contrat;
§ veiller à ce que des inspections de sécurité matérielle et de sécurité de la technologie de l’information (TI) soient réalisées sur les lieux de travail de l’entreprise et renouvelées régulièrement au besoin;
Principaux organismes chargés de la sécurité
Les principaux organismes chargés de la sécurité appuient les activités habituelles des ministères en matière de sécurité et permettent à l’ensemble du gouvernement de gérer efficacement ces activités. Ils travaillent également en partenariat avec le SCT à l’élaboration d’instruments de politiques, de lignes directrices et d’outils liés à leur domaine d’expertise. L’information qui suit résume les rôles et responsabilités des POCS, aux termes de la Politique sur la sécurité du gouvernement, en ce qui a trait à la sécurité dans l’octroi de contrats.
§ Gendarmerie royale du Canada (GRC) – Vérifie les empreintes digitales et les casiers judiciaires et, là où il existe des motifs raisonnables, exécute des évaluations et des enquêtes policières et avise les ministères des résultats.
§ Service canadien du renseignement de sécurité (SCRS) – Effectue des enquêtes et fournit des évaluations de sécurité à l’appui des autorisations de sécurité du personnel afin d’évaluer la loyauté d’une personne envers le Canada et, pour autant que cela s’applique, sa fiabilité.
§ Centre de la sécurité des télécommunications Canada (CSTC) – Donne des conseils pour assurer la protection de l’information et des systèmes d’information électroniques ayant de l’importance.
La version révisée de la Politique sur la sécurité du gouvernement (PSG) et de la Directive sur la gestion de la sécurité ministérielle (DGSM) a été publiée en juillet 2009. Ensemble, elles définissent les obligations en matière d’établissement de rapports des administrateurs généraux (AG) et les rôles et responsabilités des agents de sécurité du ministère (ASM), et des praticiens, employés et gestionnaires de la sécurité à tous les niveaux aux fins de la gestion efficace de la sécurité au sein d’un ministère. La PSG définit aussi les rôles et les responsabilités des principaux organismes chargés de la sécurité (POCS), qui offrent des conseils, une orientation et des services dans leur champ d’expertise afin d’appuyer les activités de sécurité courantes des ministères et pour aider les ASM et les praticiens de la sécurité à élaborer et à mettre en œuvre des connaissances et une expertise permettant de gérer efficacement la sécurité dans leur ministère. Les rôles et les responsabilités des POCS sont fondés sur le mandat attribué au ministère par la Loi.
La sécurité recoupe la plupart des autres pratiques de gestion, ce qui rend complexe sa mise en application. Au chapitre de l’octroi de contrats, le gouvernement du Canada (GC) a l’obligation de protéger les renseignements et les biens de nature délicate qui sont créés par des organisations autres que le gouvernement fédéral ou qui leur sont confiés tout au long du processus d’octroi de contrats. Cette obligation découle d’exigences définies dans la Politique sur la sécurité du gouvernement ainsi que dans les arrangements de l’Organisation du traité de l'Atlantique Nord (OTAN), et dans d’autres arrangements bilatéraux et multilatéraux, des politiques, des directives et des arrangements avec des alliés étrangers. Les mécanismes de sécurité dans l’octroi de contrats permettent au public d’avoir confiance en la capacité qu’a le gouvernement de protéger les renseignements et les biens nationaux et internationaux, et l’assurent que le gouvernement respecte ses arrangements avec ses partenaires et alliés nationaux et internationaux.
La Norme de sécurité et de gestion des marchés, en cours de révision, vise à définir les exigences obligatoires pour s’assurer que les contrôles de sécurité sont appliqués de manière uniforme et rigoureuse à toutes les phases du processus d’octroi de contrats du gouvernement fédéral. Ces exigences précisent aux entreprises et aux particuliers qui concluent des accords contractuels avec le gouvernement qu’ils doivent faire l’objet d’une enquête de sécurité au niveau approprié et que les lieux de travail de l’entrepreneur où sont conservés les renseignements et les biens doivent être dotés des contrôles nécessaires pour protéger les renseignements et les biens confiés à l’entrepreneur. Quand des entreprises et des personnes du secteur privé respectent les conditions stipulées, elles peuvent recevoir l’accès aux renseignements et aux biens protégés et classifiés pour la période de l’accord contractuel.
[1] Référence : Rapport du Comité permanent sur les comptes publics, avril 2010 (40e législature, 3e session), p. 8