PACP Rapport du Comité

INTRODUCTION

Le gouvernement du Canada utilise une grande variété de renseignements et de biens classifiés et protégés pour gouverner le pays. Il octroie fréquemment des contrats au secteur privé concernant des biens et services et, bien souvent, les entrepreneurs ont accès à des renseignements et des biens protégés ou classifiés à son sujet. Il est donc vital qu’il veille à protéger les renseignements et les biens qu’il confie à des entrepreneurs, puisque ces derniers peuvent avoir accès à des renseignements sensibles liés à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens. La protection des renseignements touchant le gouvernement fait donc partie intégrante du maintien de la confiance des citoyens envers les institutions canadiennes. Un système efficace de sécurité permet également aux entreprises canadiennes d’avoir accès à des marchés étrangers importants.

La sécurité a acquis, ces dernières années, une pertinence accrue, et le Bureau du vérificateur général du Canada (BVG) a déposé en octobre 2007 un rapport sur la capacité du gouvernement fédéral de protéger ses renseignements et ses biens lors de l’octroi de contrats touchant des biens et des services^[1]. Le Comité permanent des comptes publics de la Chambre des communes a tenu une audience sur cette vérification le 26 février 2008^[2]. Il a entendu de nombreux témoins représentant les organismes visés par la vérification : du Bureau du vérificateur général du Canada, Sheila Fraser, vérificatrice générale du Canada; du Secrétariat du Conseil du Trésor, Ken Cochrane, dirigeant principal de l’information; de Travaux publics et Services gouvernementaux Canada, Gerry Deneault, directeur général du secteur de la Sécurité industrielle et François Guimont, sous-ministre; du ministère de la Défense nationale, Glynn Hines, chef d’état-major, Bureau du sous-ministre adjoint, Gestion de l’information, Dave Shuster, directeur, grand prévôt adjoint sécurité, et Scott Stevenson, sous-ministre adjoint par intérim, Infrastructure et environnement; et de Construction de Défense Canada, Ross Nicholls, président-directeur général.

Inquiet des témoignages entendus à l’audience et perturbé par la découverte de bleus dans les corbeilles à papier, le Comité a tenu une autre réunion le 3 juin 2008^[3]. À cette audience, il a entendu plusieurs témoins représentant le Bureau de la vérificatrice générale : Sheila Fraser, vérificatrice générale du Canada; Hugh McRoberts, vérificateur général adjoint, et Bruce Sloan, directeur principal; représentant le ministère de la Défense nationale : Robert Fonberg, sous-ministre, le lieutenant général Walter J. Natynczyk, vice‑chef d’état-major de la Défense; Scott Stevenson, sous-ministre adjoint, Infrastructure et Environnement; Dan Ross, sous-ministre adjoint, Matériels; le major-général Glynn Hines, chef d’état-major, Bureau du sous-ministre adjoint, Gestion de l’information; le colonel Michael Day, commandant des Forces d’opérations spéciales du Canada ainsi que le lieutenant‑colonel Dave Shuster, directeur, grand prévôt adjoint sécurité. Construction de Défense Canada était représentée par Ross Nicholls, son président-directeur général.

CONTEXTE

Le Conseil du Trésor a adopté la Politique du gouvernement sur la sécurité afin de protéger comme il se doit les renseignements et les biens sensibles du gouvernement. En vertu de cette politique, chaque ministère fédéral est chargé d’assurer la protection des renseignements et des biens sensibles qu’il a en sa possession lors d’appels d’offres et lors de la négociation, de l’octroi, de l’exécution et de la résiliation de contrats qu’il administre.

À titre de ministère principalement chargé de l’approvisionnement au sein du gouvernement fédéral, Travaux publics et Services gouvernementaux Canada (TPSGC) est responsable d’environ 90% de la valeur totale des contrats du gouvernement et d’environ 10% de leur volume total. Étant donné l’importance de TPSGC dans le processus d’octroi de contrats, la vérification a porté sur la mise en œuvre du Programme de sécurité industrielle de TPSGC et sur la manière dont ce ministère joue son rôle d’autorité contractante principale du gouvernement. D’autres ministères gérant également des contrats délicats, les vérificateurs ont cherché à établir si les rôles et responsabilités en matière de sécurité des marchés publics sont clairs et si TPSGC, la Défense nationale, la Gendarmerie royale et Construction de Défense Canada étaient dotés des procédures leur permettant d’assumer ces rôles et responsabilités. La vérification a également porté sur le rôle du Secrétariat du Conseil du Trésor en matière de suivi de l’application de la Politique du gouvernement sur la sécurité.

Les vérificateurs ont formulé dix recommandations. Le Comité les appuie toutes, mais il aimerait approfondir plusieurs questions afin d’établir les responsabilités à l’égard des mesures à prendre pour rectifier les lacunes que le BVG a décelées.

SECRÉTARIAT DU CONSEIL DU TRÉSOR

La Politique du gouvernement sur la sécurité du Conseil du Trésor établit les objectifs du gouvernement au chapitre de la sécurité industrielle. Les vérificateurs ont constaté que son complément, la Norme de sécurité et de gestion des marchés, ensemble de procédures soit obligatoires soit recommandées, a contribué au flou entourant les responsabilités que confère la Politique^[4]. En outre, les ministères ont interprété la Norme comme signifiant qu’il fallait remplir la Liste de vérification des exigences relatives à la sécurité, seulement pour les projets pour lesquels une exigence de sécurité a été établie (la Norme décrit les exigences de sécurité au début du processus d’octroi de contrat). Le BVG estime, cependant, que ceci pourrait aboutir à une responsabilité moindre à l’égard des décisions concernant la sécurité, dans le cas où, par exemple, un chargé de projet déterminait, à tort, qu’un contrat donné ne comporte pas d’exigences de sécurité, ce qui pourrait comporter un risque. 

La Politique du gouvernement sur la sécurité stipule qu’il faut dans chaque ministère un agent de la sécurité chargé d’établir et de diriger un programme de sécurité. La vérification a permis de constater que le contrôle exercé par la direction au chapitre de la sécurité industrielle laissait à désirer^[5].

Les vérificateurs ont aussi examiné la manière dont le Secrétariat du Conseil du Trésor s’assure que les ministères respectent la politique en matière de sécurité industrielle et ont conclu que ses pratiques ne permettent pas de fournir l’assurance que les objectifs gouvernementaux en matière de sécurité sont respectés^[6]. Le Secrétariat a mené un sondage auprès des agents ministériels de la sécurité d’après lequel il y aurait un grand respect des exigences de la Politique relatives à la sécurité. Ce n’est toutefois pas ce qu’ont constaté les vérificateurs.

Ken Cochrane, dirigeant principal de l’information au Secrétariat du Conseil du Trésor, a décrit les mesures prises par son ministère en réponse à la vérification :

[…] la nouvelle politique du gouvernement sur la sécurité clarifiera les exigences prévues par la norme de sécurité lors de l’octroi des contrats. Cela permettra de s’assurer que les responsables du projet d’où provient le marché seront chargés d’attester les exigences de sécurité requises. […] Le Secrétariat exigera aussi que les agents ministériels de la sécurité mettent en œuvre des procédures d’assurance-qualité. […] le Secrétariat ajoute un indicateur au Cadre de responsabilisation de gestion afin d’évaluer la conformité des ministères et organismes aux exigences en matière de sécurité^[7].

Le Comité apprécie les mesures que le Secrétariat a prises pour clarifier les exigences de la Politique et de la Norme qui y est associée. Il estime cependant que le Secrétariat doit assumer la responsabilité de leur manque de clarté puisqu’il en est l’auteur. Par ailleurs, bien qu’elle remonte à 1994, la Norme n’a pas été révisée au moment de la mise à jour de la Politique, en 2002. Interrogé sur la question de la responsabilité, M. Cochrane a déclaré : « Il s’agit d’un système intégré qui est volumineux, donc s’il y avait manque de clarté dans ce que nous faisions par le passé, alors oui, manifestement, nous avons eu un rôle à jouer ici globalement^[8]. »

Le Comité estime que le Secrétariat doit veiller plus activement à ce que les exigences prévues dans les politiques du Conseil du Trésor soient claires et à ce que les ministères comprennent leurs responsabilités, puisqu’autrement il ne serait pas raisonnable de tenir ces derniers responsables si les politiques ne sont pas respectées. Mais le Comité n’est pas convaincu que le Secrétariat sera capable de vérifier le respect des politiques ni désireux de tenir les ministères responsables du non-respect des politiques du Conseil du Trésor. Le Secrétariat a ajouté un indicateur au Cadre de responsabilisation de gestion afin d’évaluer la conformité des ministères aux exigences en matière de sécurité; le Secrétariat n’ayant pas vraiment vérifié si les ministères respectaient les exigences, comme l’a souligné le BVG, et compte tenu de son scepticisme à l’égard de l’efficacité du Cadre de responsabilisation de gestion, le Comité aimerait que les résultats de l’évaluation soient mesurés en fonction de ce nouvel indicateur. Le Comité recommande :

RECOMMANDATION 1

Que le Secrétariat du Conseil du Trésor fournisse au Comité des comptes publics les résultats consolidés de la prochaine évaluation de la conformité des ministères et organismes aux exigences en matière de sécurité menée dans le contexte du Cadre de responsabilisation de gestion.

TRAVAUX PUBLICS ET SERVICES GOUVERNEMENTAUX CANADA

TPSGC a mis sur pied un Programme de sécurité industrielle dans le but de gérer ses responsabilités en la matière. Le Programme a pour objet de garantir que les entreprises et le personnel devant avoir accès à des renseignements et des biens sensibles du gouvernement sont dûment autorisés et ont obtenu une cote de sécurité. Il établit également les modalités relatives à la sécurité à indiquer dans chaque contrat et vise à garantir que les entrepreneurs se conforment aux exigences de sécurité. Le Programme s’applique à environ 2 000 contrats liés à la sécurité chaque année. TPSGC est l’autorité contractante pour 75% d’entre eux, les autres étant traités à la demande des autres ministères.

La vérification a permis de constater de graves faiblesses dans le Programme de sécurité industrielle. Le mandat du Programme a été modifié deux fois au cours de la vérification, la politique sur la sécurité industrielle et le Guide d’approvisionnement du Ministère étaient en cours de révision, et les procédures opérationnelles normalisées pour le Programme étaient encore sous forme d’ébauche et incomplètes. Les vérificateurs ont également découvert qu’un certain nombre de contrats sensibles exigeant la cote « secrète » ont été octroyés et que, dans certains cas, les travaux avaient même été achevés avant que les entrepreneurs n’obtiennent la cote de sécurité exigée. De plus, des étapes cruciales du processus de sécurité industrielle ne sont pas toujours suivies, notamment la signature par les entrepreneurs d’un Accord de sécurité. De l’avis du BVG, TPSGC n’a pas exercé la diligence requise.

Même si le sous-ministre et administrateur des comptes de TPSGC, François Guimont, a affirmé que les éléments de sécurité de la plupart des contrats ont été gérés adéquatement, le Comité s’inquiète beaucoup des faiblesses décelées dans le Programme de sécurité industrielle et est très préoccupé de savoir que certains fonctionnaires semblaient disposés à contourner des procédures de sécurité clés pour réduire les coûts et éviter les retards dans l’achèvement des projets. M. Guimont a assuré au Comité que des mesures d’atténuation étaient en place, mais il semble futile de prévoir des exigences de sécurité dans un contrat si le travail peut être achevé avant que les cotes de sécurité nécessaires soient obtenues. Le Comité juge inacceptable qu’un contrat à caractère sensible puisse être octroyé sans que l’entrepreneur n’obtienne les cotes de sécurité nécessaires. M. Guimont a également déclaré au Comité que les cotes de sécurité ont finalement été obtenues pour tous les contrats; le Comité ne peut toutefois que se demander ce que TPSGC aurait fait s’il avait découvert après-coup des problèmes de sécurité. Ne pas respecter les procédures de sécurité en place constitue une menace grave pour les renseignements et les biens du gouvernement.

Le Comité est heureux de savoir que TPSGC a pris un certain nombre de mesures depuis la vérification. Avant l’audience, le ministère avait fourni au Comité un plan d’action détaillé assorti de délais et de renseignements sur l’état d’avancement de ces mesures. Elles étaient déjà en place en bonne partie. Le Comité espère que la plupart des ministères fourniront en temps voulu des plans d’action détaillés. Dans le cadre du sien, TPSGC a décidé d’examiner également des contrats qui n’ont pas été visés par la vérification. Il revoit donc 3 000 contrats en cours qui sont assortis d’exigences de sécurité afin de vérifier qu’il a bien rempli ses obligations en la matière. De plus, le mandat, les rôles et les responsabilités ainsi que l’exécution du Programme font actuellement l’objet d’un examen par un tiers indépendant.

Par la suite, TPSGC a mis le Comité au courant des mesures qu’il avait prises, et ces renseignements se trouvent dans l’addenda au présent rapport.

On a dit au Comité que l’un des problèmes cruciaux pour le Programme de sécurité industrielle était le manque de fonds. Les vérificateurs ont noté que plusieurs analyses de cas effectuées pour le Ministère faisaient état de difficulté en matière de ressources et d’un financement insuffisant pour répondre à la hausse du volume des opérations depuis les événements du 11 septembre 2001^[9]. Il a donc été difficile d’attirer et de conserver des professionnels de la sécurité qualifiés pour le Programme. M. Guimont a déclaré au Comité que les problèmes décelés par le BVG étaient attribuables en partie à un personnel insuffisant. Ce manque de personnel signifie que les gestionnaires de programme n’ont pu consacrer de ressources à la clarification du mandat du Programme et à l’achèvement des politiques et des procédures. Ce facteur peut également expliquer que l’on n’ait pas suivi toutes les étapes du processus de sécurité industrielle dans certains cas.

M. Guimont a indiqué au Comité qu’il avait autorisé la réaffectation de crédits au Programme pour compenser l’insuffisance de fonds. Toutefois, les réaffectations ont représenté presque la totalité du financement de base. M. Guimont a décrit ainsi les pressions financières :

La base du programme est de 6,7 millions de dollars. En moyenne, au cours des dernières années, nous avons alloué à l’intérieur du ministère encore 6 millions de dollars. Dernièrement, soit au mois de septembre, nous avons reçu du Conseil du Trésor 11,3 millions de dollars qui ont été alloués au Contract Security Program. Il y a donc eu une augmentation venant du Conseil du Trésor, mais ces fonds du Conseil du Trésor prennent fin avec l’année fiscale. À la fin de l’année fiscale, le 31 mars prochain, je devrai donc trouver une solution à long terme ou à court terme pour m’assurer que continuent les progrès faits grâce au programme^[10].

Le problème des réaffections est qu’elles ne permettent pas aux gestionnaires d’offrir des postes permanents à leurs employés. Elles peuvent également priver d’autres programmes au sein du ministère de fonds fort nécessaires. Il faut donc un financement supplémentaire qui soit stable et à long terme pour que le programme puisse être efficace. Le BVG a recommandé que TPSGC veille à ce que le Programme dispose de ressources suffisantes pour respecter ses objectifs^[11]. Le Comité appuie cette recommandation, mais le financement à long terme devant venir du Conseil du Trésor, il recommande :

RECOMMANDATION 2

Que le Conseil du Trésor approuve un financement stable et à long terme pour le Programme de sécurité industrielle de Travaux publics et Services gouvernementaux Canada, de telle sorte que ce dernier puisse respecter ses objectifs.

Le Programme de sécurité industrielle s’applique actuellement aux contrats pour lesquels il y a une composante de sécurité, lorsque l’autorité contractante est TPSGC ou que d’autres ministères en ont fait la demande. Cela signifie que d’autres ministères peuvent traiter bon nombre de leurs propres contrats comportant un élément de sécurité, bien qu’ils n’aient pas toujours l’expertise nécessaire pour appliquer la Politique du gouvernement sur la sécurité. Étant donné que le Programme porte spécifiquement sur la sécurité, il pourrait être avantageux qu’il s’applique à tous les marchés publics à caractère sensible. Il y aurait ainsi une approche uniforme en matière de sécurité pour tout le processus contractuel du gouvernement. Lorsqu’on lui a demandé s’il y avait une raison pour laquelle le Programme de sécurité industrielle ne devrait pas s’appliquer à tous les marchés sensibles, M. Guimont a répondu « Il n’y a pas de bonne raison à laquelle je pourrais penser^[12]. » En revanche, même s’il n’est peut-être pas justifié d’imposer une solution commune à tous les ministères, le Comité estime que l’idée devrait être approfondie. Il recommande donc :

RECOMMANDATION 3

Que Travaux publics et Services gouvernementaux Canada et le Secrétariat du Conseil du Trésor déterminent si le Programme de sécurité industrielle devrait s’appliquer à tous les contrats exigeant une cote de sécurité de niveau « secret » ou supérieure et avisent le Comité, d’ici le 31 août 2010, des résultats de leur réflexion.

DÉFENSE NATIONALE ET CONSTRUCTION DE DÉFENSE CANADA

La Défense nationale compte parmi les ministères ayant accordé le plus grand nombre de contrats sensibles gérés dans le cadre du Programme de sécurité industrielle. Le Ministère assure aussi l’aspect sécurité d’un grand nombre de contrats accordés dans le cadre de son pouvoir délégué d’octroi de contrats. Les vérificateurs ont constaté que la Défense nationale avait une politique assez complète en matière de sécurité du processus contractuel, mais que cette dernière n’avait pas été révisée afin de tenir compte de diverses grandes mises à jour qu’a publiées le Secrétariat du Conseil du Trésor^[13]. De plus, le Manuel de l’administration de l’approvisionnement était incomplet au moment de la vérification et les Listes de vérification n’étaient pas utilisées de façon constante au sein du Ministère.

La société d’État Construction de Défense Canada est l’autorité contractante des projets de défense du gouvernement. Elle octroie et gère les contrats de construction et d’entretien d’infrastructures, presque exclusivement pour la Défense nationale. Étant une société d’État, elle n’est pas assujettie à la Politique du gouvernement sur la sécurité. Ross Nicholls, son président-directeur général, a toutefois fait savoir au Comité que :

Nous [Construction de Défense Canada] avons toujours mis en œuvre les mesures requises par la politique du gouvernement sur la sécurité afin d’assurer la protection de ces biens et de cette information. De plus, nous avons convenu avec le Secrétariat du Conseil du Trésor d’appliquer la politique gouvernementale sur la sécurité à toutes nos activités liées à la réalisation de projets de défense^[14].

Le Comité apprécie les efforts qu’a faits Construction de Défense Canada pour arriver à une entente avec le Secrétariat, mais le fait qu’elle ne s’y soit employée qu’après une vérification du BVG alors qu’elle existe depuis 56 ans, le préoccupe.

Les vérificateurs ont également découvert que la Défense nationale n’avait pas fourni de Liste de vérification des exigences relatives à la sécurité pour environ 99% des contrats octroyés^[15]. On a expliqué au Comité que la plupart des contrats portaient sur des travaux de construction et d’entretien courant des nombreux immeubles et routes de la Défense nationale et qu’ils ne comportaient donc pas d’exigences sur le plan de la sécurité. Même s’il s’agit pour la plupart de contrats de routine, le Comité a du mal à croire que l’accès aux bases militaires, où se trouvent la plupart de ces bâtiments et de ces routes, n’exige pas une forme quelconque d’examen sous l’angle de la sécurité. Mais surtout, si aucune liste de vérification n’a été remplie, il est impossible de savoir si la sécurité est ou non prise en compte ou si les entrepreneurs ont obtenu les cotes de sécurité nécessaires. Étant donné le caractère sensible des lieux et des renseignements qui sont en jeu, le Comité estime que l’approche adoptée par la Défense nationale en matière de sécurité de l’octroi des contrats est d’une désinvolture alarmante. C’est en raison d’ailleurs de cette désinvolture que l’on s’inquiète beaucoup de la sûreté du NORAD, point abordé plus loin.

Le Comité estime que la Défense nationale et Construction de Défense Canada doivent véritablement s’employer à améliorer leurs pratiques en matière de sécurité du processus contractuel. Il faut noter que Construction de Défense Canada et la Défense nationale ont remis au Comité, un plan d’action visant à répondre aux constatations du BVG. Ils ont également fourni au Comité des plans d’action mis à jour à la réunion du 3 juin. La vérificatrice générale a déclaré :

[…] nous avons examiné des plans d’action de Construction de Défense Canada et du ministère. Nous pensons qu’ils règlent les problèmes que nous avons soulevés lors de nos vérifications. Comme je le dis toujours, nous faisons preuve d’un optimisme prudent quant à la remise en vigueur. Bien entendu, certaines des échéances sont longues, et nous n’y sommes pas retournés pour vérifier que tout sera réellement fait, mais cela semble prometteur^[16].

Par la suite, Défense nationale et Construction de Défense Canada ont mis le Comité au courant des mesures qu’ils avaient prises, et ces renseignements qui se trouvent dans l’addenda au présent rapport.

PRATIQUES EN MATIÈRE DE CONSTRUCTION DES PROJETS DE LA DÉFENSE

Le ministère de la Défense nationale semble avoir pris les constatations de la vérificatrice générale au sérieux, mais quelques incidents semblent remettre en question la capacité du Ministère de régler les problèmes concernant son approche en matière de sécurité.

Le complexe en surface du Commandement de la Défense aérospatiale de l’Amérique du Nord (NORAD) à North Bay, en Ontario, a été construit pour remplacer le complexe sous-terrain qui abritait le système de surveillance et de contrôle de l’espace aérien de l’organisation, servant à assurer la protection de l’espace aérien nord-américain. Selon les vérificateurs, la Défense nationale n’a pas analysé les risques pour la sécurité avant d’octroyer les contrats nécessaires à la construction du complexe[17]. Des entrepreneurs et des travailleurs qui ne détenaient pas de cote de sécurité ont donc ainsi eu accès aux plans et au chantier. La vérificatrice générale a dit au Comité : « Il y a un risque que la sécurité ait été mise en cause^[18]. »

Craignant que la sûreté du complexe n’ait été entamée, on s’est demandé si ce dernier pourrait servir aux fins prévues. Après une série d’enquêtes, la Défense nationale a conclu que le complexe pourrait servir aux fins prévues si l’on procédait à certaines modifications, mais, au moment de la vérification, le Ministère n’avait pas fourni au BVG les plans détaillés, les calendriers et les coûts des modifications nécessaires. Le BVG présente la construction de ce complexe comme un exemple de ce qui peut se produire si l’on omet de déterminer les exigences en matière de sécurité industrielle avant la signature des contrats, comme l’exige la Politique du gouvernement sur la sécurité.

Cependant, lors de la première audience du Comité sur la vérification, l’expert NORAD de la Défense nationale, le major-général Glynn Hines, a laissé entendre au Comité que la construction du complexe s’était déroulée normalement :

Avant d’amorcer la construction de ce complexe, on a procédé à une évaluation des menaces et conclu qu’à ce moment-là, il n’était pas nécessaire de dresser la liste de vérification des exigences relatives à la sécurité avant de commencer la construction du bâtiment. Comme il est normal, pendant la construction on a effectué une vérification de sécurité et déterminé qu’il faudrait instaurer d’autres mesures de sécurité, après la construction de la coquille de l’immeuble, au moment où nous nous apprêtions à y installer l’équipement. Après cette étape, le complexe cesserait d’être un bâtiment non classifié ne nécessitant pas de cote de sécurité pour devenir un bâtiment assujetti à l’exigence d’une vérification de sécurité. Lorsqu’il est devenu évident pendant la construction qu’il fallait respecter des exigences relatives à la sécurité, et avant de faire installer les systèmes, nous avons exigé que des entrepreneurs ayant une cote de sécurité soient sur place, ou que les travailleurs sur le chantier soient accompagnés^[19].

Et il a poursuivi : « Nous avons adopté une approche progressive c’est-à-dire qu’au début, nous avons déterminé qu’il n’y avait aucune préoccupation en matière de sécurité, aucune menace ni aucun risque, tandis qu’un peu plus tard au cours de la construction lorsque nous avons installé des systèmes, le complexe a dû être sécurisé car la situation était plus délicate [^20]. »

Le mgén Hines a affirmé au Comité qu’il n’y avait pas eu de coûts supplémentaires dus aux lacunes sur le plan de la sécurité, mais que l’« on a instauré des mesures de sécurité additionnelles dans ce complexe à la lumière des nouvelles menaces [liées aux attentats du 11 septembre]^[21] ». Il semblait aussi ne pas être au courant des retards : « Je ne sais pas quels étaient les échéanciers établis; cependant, les modifications qui sont apportées et les corrections effectuées sont regrettables, mais font toutes hélas partie des pratiques normales de construction »^[22]. Il y a eu certaines lacunes sur le plan de l’exécution, comme des câbles électriques qui n’ont pas été correctement branchés ou des boîtes de connexion qui ont été installées aux mauvais endroits, mais il n’y a pas eu de problème de conception.

M^me Fraser était très préoccupée par le témoignage du mgén Hines. Pour elle, « Il semble donc y avoir un peu de confusion ici, mais lorsque nous avons fait cette vérification initiale, il y avait certainement des préoccupations au sujet de l’utilisation de ce complexe^[23]. » M^me Fraser a suggéré que son bureau travaille avec la Défense nationale pour clarifier la façon dont chacun perçoit les problèmes de sécurité au NORAD.

Après l’audience, le Comité a reçu du courrier de la vérificatrice générale et du sous‑ministre de la Défense nationale. Dans sa lettre, la vérificatrice générale déclarait que les documents reçus de la Défense nationale pendant la vérification indiquaient que des représentants officiels avaient établi que l’on avait donné la priorité à des considérations de budget et de délai plutôt qu’à des impératifs de sécurité pour le projet de construction.

Dans sa lettre au Comité, le sous-ministre de la Défense nationale, Robert Fonberg, s’est excusé auprès de ce dernier pour tout malentendu que le témoignage du major général Hines aurait pu causer et a assuré le Comité qu’il n’avait eu aucunement l’intention de tromper qui que ce soit. M. Fonberg a souligné que le ministère avait depuis longtemps pour pratique, dans tous ses projets de construction, de considérer l’enveloppe d’un bâtiment comme un travail non classifié. Des mesures de sécurité supplémentaires sont prises pour assurer un contrôle du site lorsque des systèmes sécurisés sont mis en place. Le sous-ministre a reconnu que l’approche suivie à propos du NORAD était mal avisée et qu’il aurait fallu remplir une liste de vérification des exigences en matière de sécurité avant de faire un appel d’offres. De plus, aucun des entrepreneurs qui se sont trouvés sur le chantier n’avait d’autorisation de sécurité valide, à l’exception des architectes. Des mesures correctives ont été prises depuis, notamment l’installation d’un équipement de surveillance spécial, afin d’atténuer les risques en matière de sécurité, ce qui a coûté au départ 515 000 $ et coûtera chaque année 84 000 $.

Le Comité est étonné de voir que la sécurité n’a pas été considérée comme un impératif au moment de la construction des installations très sensibles du NORAD. Ceci démontre pour le moins une attitude désinvolte de la part de la Défense nationale en ce qui concerne la sécurité. De plus, que des entrepreneurs sans cote de sécurité aient pu avoir accès au chantier et aux plans témoigne de l’insuffisance des pratiques en matière de sécurité et le fait que les systèmes électriques ont été mal installés est alarmant. Si le Ministère avait pris les impératifs de sécurité plus au sérieux dès le départ, il n’aurait pas eu à effectuer des inspections matérielles et techniques importantes avant d’occuper les locaux, ce qui a coûté très cher aux contribuables canadiens. Cet incident démontre clairement un manque de jugement de la part de toutes les parties. Ce qui est encore plus dérangeant, c’est qu’il ne s’agit peut-être pas d’un incident isolé.

Le sous-ministre a certes reconnu à l’audience du 3 juin que de ne pas avoir classifié les bleus du NORAD était une erreur, mais le témoignage précédent du major général Hines laisse entendre qu’il règne au ministère une culture telle qu’il est toujours considéré comme normal et justifié de ne pas tenir compte des questions de sécurité dès le début de la construction. Le Comité se serait attendu à ce que le Ministère ait tiré des leçons de son erreur et amélioré ses pratiques et sa culture, mais un incident récent montre que le Ministère ne fait toujours pas suffisamment attention aux questions de sécurité au moment de la construction d’installations sensibles.

En mars 2008, un analyste en défense du Rideau Institute on International Affairs a découvert des bleus de la nouvelle installation de l’Unité interarmées d’intervention du Canada, à Trenton (Ontario), dans les ordures. Principal organe au moyen duquel l’armée répond aux menaces chimiques, biologiques et radioactives, cette unité comprend plus de 100 personnes et un vaste éventail d’équipements techniques. Selon un journal, les plans représentaient le réseau électrique des ordinateurs de l’Unité et fournissaient des détails sur les systèmes d’égout, les zones des ateliers, les quais de chargement des conteneurs maritimes ainsi que des bureaux de diverses troupes. S’y trouvaient également les bleus d’une piscine de stockage des robots, conçue pour détecter les agents chimiques et biologiques^[24].

Le sous-ministre de la Défense nationale a fait savoir au Comité que les politiques du Conseil du Trésor avaient été suivies dans ce cas-là, et qu’une Liste de vérification des exigences de sécurité avait été remplie avant d’octroyer le contrat concernant la conception et la construction des installations. Puisque l’on avait conclu que les bleus ne contenaient aucun renseignement classifié, il n’était pas nécessaire de suivre les dispositions en matière de sécurité contractuelle concernant la préparation et le traitement subséquent de ces documents. Le sous-ministre a suggéré que l’on traite peut-être différemment les documents non classifiés, mais le Comité estime que là n’est pas la question. La question est plutôt de savoir pourquoi les bleus n’ont pas été jugés classifiés au départ. Il y a eu amélioration, puisqu’il y a eu une Liste de vérification, mais l’approche du Ministère en matière de sécurité pendant la construction n’a pas changé – l’enveloppe du bâtiment n’entrant pas dans les considérations de sécurité. Pourtant, le Comité a bien du mal à croire que les bleus d’une unité de l’armée qui est la principale responsable des interventions en cas de menaces chimiques, biologiques et radioactives ne devraient pas être considérés comme protégés, surtout en cette époque de souci accru de la sécurité face à d’éventuelles menaces terroristes.

Le Comité estime qu’il ne suffit pas de se cacher derrière la procédure et les procédés. Ces derniers doivent prendre la sécurité au sérieux dès le début de la construction d’une nouvelle installation. Comme la vérificatrice générale l’a dit :

Le fait est que, selon les pratiques du Ministère à l’époque, la coquille des édifices, dans la plupart des cas, n’avait pas à être classifiée. C’est seulement quand on procédait aux installations que l’on envisageait une classification. Un des enjeux repérés à la suite de l’incident est qu’on devrait songer à ce que l’édifice abritera bientôt plus tôt dans le processus^[25].

Le Comité est d’accord avec ce qui précède et recommande donc:

RECOMMANDATION 4

Que le ministère de la Défense nationale entreprenne des évaluations approfondies des questions de sécurité qui prennent en compte l’utilisation future d’un bâtiment avant de construire de nouvelles installations.

CONCLUSION

Le gouvernement fédéral octroie régulièrement des contrats au secteur privé portant sur la fourniture de biens et de services, et il est essentiel que ses ministères et ses organismes établissent alors des mécanismes visant à assurer la sécurité des renseignements et des biens confiés à des entrepreneurs privés. Toutefois, le Bureau du vérificateur général a décelé des failles à presque toutes les étapes de ces processus. Certains fonctionnaires ont délibérément escamoté certaines procédures de sécurité clés afin de réduire les coûts et d’éviter de retarder les projets.

Le Comité est alarmé par le peu de sérieux que les ministères accordent aux impératifs de sécurité, surtout que l’on est plus conscient aujourd’hui de la pertinence des mesures de sécurité. Le Comité est encouragé de voir que TPSGC a pris des mesures strictes afin de corriger les lacunes de son Programme de sécurité industrielle; mais il s’inquiète que de telles faiblesses aient existé. Il est en effet préoccupant de savoir que des fonctionnaires autorisaient des travaux dans le cadre de contrats avant que les exigences en matière de sécurité n’aient été respectées. Même s’il est toujours possible de mettre en place des mesures d’atténuation, le Comité ne peut s’empêcher de se demander ce que le gouvernement aurait fait s’il y avait eu atteinte à la sécurité une fois les travaux commencés alors que les cotes de sécurité n’avaient pas été obtenues. À partir du moment où il y a atteinte à la sécurité, il est trop tard pour mettre en place des mesures d’atténuation.

Le ministère de la Défense nationale et Construction de Défense Canada se sont également engagés à améliorer leurs pratiques en matière de sécurité, mais le Comité était très troublé de voir l’attitude désinvolte, voire négligente, de la Défense nationale sur le plan de la sécurité. Cette attitude était particulièrement manifeste dans le cas du NORAD, pour lequel il a fallu mener des examens de sécurité substantiels et apporter d’importantes modifications pour que les installations puissent servir aux fins prévues. Cela n’aurait pas été nécessaire si le Ministère avait pris les exigences de sécurité plus au sérieux dès le départ. Étant donné l’importance stratégique des renseignements et des biens détenus par la Défense nationale, ce ministère devrait être un leader dans le domaine de la sécurité, plutôt que d’être à la traîne.

Enfin, le Comité souligne que le Secrétariat du Conseil du Trésor doit avoir pour responsabilité de faire en sorte que les politiques du Conseil du Trésor soient claires et que les ministères comprennent leurs obligations découlant de ces politiques et suivent effectivement ces politiques.

ADDENDA

Le Comité permanent des comptes publics de la Chambre des communes a commencé en février 2008 son étude du Rapport de la vérificatrice générale d’octobre 2007 sur « la protection des renseignements et des biens du gouvernement lors de l’octroi des contrats », puis a tenu une audience sur la question en juin 2008. Parce que le Parlement a été dissous en septembre 2008 pour cause d’élections, le Comité n’a pu présenter son rapport devant la Chambre. Lorsqu’il s’est reconstitué au début de la 40^e législature, il ne souhaitait pas perdre le travail qu’il avait accompli sur cet important dossier et a donc repris son étude. Comme beaucoup de temps s’était écoulé, le Comité a demandé aux organismes visés de faire le point sur les mesures qu’ils avaient prises pour donner suite aux recommandations des vérificateurs. Au cours de l’été 2009, le Secrétariat du Conseil du Trésor, Travaux publics et Services gouvernementaux Canada, la Défense nationale et Construction de Défense Canada ont ainsi présenté les renseignements demandés au Comité. Ne voulant pas altérer l’intention initiale de son rapport, axé sur la vérification et les témoignages entendus, celui-ci a fait suivre son rapport d’un addenda où sont consignés les renseignements qu’il a reçus. C’est la raison d’être de la présente section.

Dans son mémoire au Comité, le Secrétariat du Conseil du Trésor a souligné que la politique du gouvernement sur la sécurité, devenue la Politique sur la sécurité du gouvernement, a été renouvelée et est entrée en vigueur le 1^er juillet 2009. Le gouvernement a également créé deux directives connexes : la Directive sur la gestion de la sécurité ministérielle et la Directive sur la gestion d’identité. Selon le Secrétariat, ces instruments ont permis de lever certaines ambiguïtés linguistiques et de clarifier les responsabilités. En août 2008, le Secrétariat a émis un avis de mise en œuvre de la politique sur la sécurité, dont l’objet était de clarifier l’interprétation de la norme concernant l’utilisation de la Liste de vérification des exigences relatives à la sécurité et d’établir les responsabilités des agents de sécurité du Ministère sur le plan de la mesure et de l’évaluation du rendement. Enfin, en 2007‑2008, le Secrétariat a intégré un indicateur de gestion efficace de la sécurité et de la continuité dans le Cadre de responsabilisation de gestion.

Travaux publics et Services gouvernementaux Canada (TPSGC) a fait le point sur son plan d’action, dont il a exécuté la quasi-totalité des éléments. Il convient de signaler que TPSGC compte adopter, dès le 1^er avril 2010, le principe du recouvrement des coûts pour son programme de sécurité industrielle, dont l’examen par un tiers a été achevé le 31 mars 2008. Le Ministère continue de travailler à la certification de son environnement protégé des technologies de l’information.

Selon la mise à jour qu’il a fournie, le ministère de la Défense nationale a mené à bien toutes les mesures prévues : il a notamment actualisé son Manuel de sécurité et son Manuel d’administration des achats et il a analysé une centaine de contrats de construction et d’entretien conclus entre 2002 et 2007 et choisis au hasard. Le Ministère a attendu que la politique du gouvernement sur la sécurité soit publiée pour annoncer publiquement les mises à jour à sa propre politique en la matière.

Construction de Défense Canada a fait savoir au Comité que, le 2 juin 2008, il avait conclu avec le ministère de la Défense nationale un protocole d’entente actualisé, qui comprend une section dont l’objet est de garantir l’établissement d’exigences en matière de sécurité et leur respect tout au long du processus d’approvisionnement. Par ailleurs, un examen spécial de cette société par le Bureau du vérificateur général a permis de constater que celle-ci avait pris des mesures vigoureuses et devra suivre de près l’efficacité de ses interventions sur le plan de la sécurité. Enfin, CDC a chargé un vérificateur interne d’effectuer une vérification de la sécurité industrielle, à l’issue de laquelle celui-ci a conclu que la société avait mené à bien toutes les tâches qu’elle s’était fixées dans son plan d’action en matière de sécurité.