INTRODUCTION

Services partagés Canada (SPC) assure la prestation des services de courriel, de centres de données et de réseau à 43 ministères et organismes du gouvernement (partenaires) selon un modèle de services partagés[1]. SPC est aussi chargé d’acheter l’équipement informatique, comme les claviers, les moniteurs, le matériel et les logiciels pour ordinateurs de bureau, pour l’ensemble du gouvernement[2].

Selon le Bureau du vérificateur général du Canada (BVG) :

Avant la création de Services partagés Canada, chaque ministère et organisme gérait son infrastructure et ses services de TI en fonction de ses besoins particuliers, dictés par les programmes et les services offerts à la population. Par conséquent, les niveaux de services variaient beaucoup au sein du gouvernement. Chaque entité finançait ses investissements en TI à même son budget[3].

Michael Ferguson, vérificateur général du Canada, BVG, a rappelé au Comité les principales constatations et recommandations du Chapitre 1 – Le vieillissement des systèmes de technologie de l’information du Rapport du printemps 2010 de la vérificatrice générale du Canada :

Dans notre rapport d’audit de 2010 intitulé « Le vieillissement des systèmes de technologie de l’information », nous avions indiqué que l’infrastructure du gouvernement fédéral prenait de l’âge et que les systèmes risquaient de tomber en panne, ce qui pourrait nuire à la capacité du gouvernement de fournir certains services essentiels à la population canadienne. Nous recommandions dans ce rapport qu’un plan soit préparé pour l’ensemble du gouvernement pour atténuer de façon durable les risques associés au vieillissement des systèmes de TI[4].

En août 2011, le gouvernement fédéral a annoncé la création de SPC, qui est devenu un ministère en 2012 à la suite de l’adoption de la Loi sur Services partagés Canada[5]. Selon Ron Parker, président, SPC :

Services partagés Canada a été créé pour normaliser l’infrastructure de TI fédérale, la consolider et la redéfinir en une seule entreprise de TI partagée. Le ministère vise à offrir un seul système de courriel, des centres de données regroupés, des réseaux de télécommunications fiables et sûrs et une protection contre les cybermenaces 24 heures sur 24, 7 jours sur 7, et ce, à travers 43 ministères, 50 réseaux cloisonnés, quelque 400 centres de données et 23 000 serveurs[6].

En 2013, SPC a élaboré un plan de transformation de sept ans pour regrouper, uniformiser et moderniser les services de courrier électronique, les centres de données et les services de réseau de la fonction publique fédérale pour améliorer le service, renforcer la sécurité et produire des économies d’ici 2020[7].

Dans ses Rapports de l’automne 2015 du vérificateur général du Canada, le BVG a fait paraître un rapport d’audit de performance dans lequel il a examiné si SPC avait accompli des progrès dans la mise en œuvre des principaux éléments de son plan de transformation et maintenu le fonctionnement des services existants. Il a également examiné le soutien fourni par le Secrétariat du Conseil du Trésor (SCT) du Canada ainsi que la gouvernance et le leadership qu’il avait exercés à l’égard de la vision stratégique pour SPC. Il a aussi examiné la façon dont cette vision s’intégrait au paysage informatique du gouvernement[8].

Le Comité permanent des comptes publics de la Chambre des communes (le Comité) a tenu une audience sur cet audit le 10 mars 2016[9]. Du BVG, le Comité a rencontré Michael Ferguson, vérificateur général du Canada, et Martin Dompierre, directeur principal. SPC a été représenté par Ron Parker, président, John A. Glowack Jr., chef de l’exploitation, et Manon Fillion, directrice générale et adjointe au dirigeant principal des finances, Services ministériels. Enfin, John Messina, dirigeant principal de l’information, et Jennifer Dawson, codirigeante principale de l’information, ont comparu au nom du SCT[10].

ÉTABLISSEMENT DES ATTENTES EN MATIÈRE DE SERVICES

Le BVG a examiné si SPC avait instauré les principaux éléments requis afin de maintenir les niveaux de services pour ses partenaires, notamment une stratégie de services, des ententes sur les niveaux de services, un catalogue de services, des bases de référence et des cibles. Le BVG a constaté que SPC avait établi certains éléments d’une stratégie de services et qu’il avait publié un catalogue de services, mais que pour bon nombre des services offerts, ce catalogue contenait peu de détails. De plus, SPC a rarement conclu des ententes suffisamment détaillées avec ses partenaires[11]. Selon M. Ferguson, cette constatation est importante, car en l’absence de telles ententes, SPC ne peut démontrer qu’il maintient ou améliore ses services en matière de TI et si ces services appuient adéquatement la capacité de ses partenaires à fournir des services aux Canadiens[12]. Le BVG a formulé les trois recommandations suivantes :

• SPC devrait élaborer une stratégie globale en matière de services détaillant comment il répondra aux besoins des services transformés et de l’infrastructure héritée de ses partenaires[13];
• SPC devrait préparer un catalogue exhaustif de ses services, comprenant la liste complète des services offerts aux partenaires ainsi que les niveaux et les cibles de services[14];
• SPC devrait travailler avec ses partenaires à l’établissement d’ententes définissant en termes clairs et concrets les attentes en matière de services, notamment les rôles et les responsabilités, les cibles de services et les engagements au sujet des rapports connexes[15].

SPC a répondu à la première recommandation du BVG que, d’ici le 31 décembre 2016, il « approuvera et diffusera une stratégie de services exhaustive qui établira la façon dont l’organisation fournira des services d’infrastructure de technologie de l’information d’entreprise afin de répondre aux besoins des partenaires et des clients du gouvernement du Canada[16] ». M. Parker a dit au Comité que la stratégie de gestion des services de SPC visant les services prioritaires était déjà terminée et avait été transmise aux partenaires du Ministère[17]. Dans son plan d’action, SPC a ajouté que, « lors des prochains examens annuels, la portée de la stratégie de gestion des services sera étendue aux services non prioritaires »[18].

Le Comité recommande :

RECOMMANDATION 1

Que, d’ici le 1^er décembre 2016, Services partagés Canada présente sa stratégie de gestion des services au Comité permanent des comptes publics de la Chambre des communes.

SPC a répondu à la deuxième recommandation du BVG que SPC « mettra en place un projet de catalogue de services en vue d’appuyer l’évolution de la structure, du contenu et de l’automatisation du catalogue[19] ». Selon SPC, les mises à jour du catalogue commenceront en mars 2016 et se poursuivront sur une base continue à mesure que les services évoluent[20]. Invité à expliquer comment le prix est fixé dans le catalogue révisé de SPC, M. Parker a répondu que « la méthode d’établissement des prix sera essentiellement fondée sur le niveau de service offert au moment où [SPC] a été créé et sur les crédits qu’il a reçus[21] ». De plus, les prix de SPC seront fixés en fonction des nouveaux types de services progressifs, de la croissance et de la demande[22].

SPC a répondu à la troisième recommandation du BVG qu’il mettra à jour les ententes commerciales existantes conclues avec des partenaires et qu’il leur présentera les attentes en matière de services d’ici la fin de décembre 2016[23]. M  Parker a informé le Comité que SPC a établi des attentes en matière de services pour cinq services prioritaires : courriel, appareils mobiles, vidéoconférence, hébergement d’applications et réseau étendu du gouvernement du Canada. M. Parker a également souligné que les attentes quant aux niveaux de services incluent notamment les heures de services, la disponibilité des services et le temps requis pour rétablir les services[24]. Selon le plan d’action de SPC, les attentes relatives aux niveaux de service des autres services de SPC seront fixées d’ici décembre 2016[25].

Questionné sur l’absence d’ententes de services détaillées entre SPC et ses partenaires, M. Parker a répondu que SPC a hérité de divers types de services et d’infrastructures de TI de différentes qualités, et que, dans la plupart des cas, il n’existait pas d’ententes sur les niveaux de service[26]. John A. Glowacki Jr., chef de l’exploitation, SPC, a expliqué qu’il était difficile de trouver une base de référence pour les niveaux de service pour la plupart des partenaires de SPC parce qu’il n’existait pas « suffisamment de systèmes de mesure des paramètres opérationnels que nous pouvions adopter[27] ».

Le Comité recommande :

RECOMMANDATION 2

Que, d’ici le 1^er décembre 2016, Services partagés Canada (SPC) présente au Comité permanent des comptes publics de la Chambre des communes un rapport résumant les attentes relatives aux niveaux de service fixées par SPC pour tous ses services.

MESURER LE RENDEMENT EN MATIÈRE DE SERVICES ET LA SATISFACTION DE LA CLIENTÈLE ET EN RENDRE COMPTE

Le BVG a examiné si SPC avait fait rapport sur son rendement et mesuré la satisfaction de ses partenaires[28]. Le BVG a constaté que SPC n’avait pas de bases de référence pour ses services, qu’il avait établi peu de cibles pour mesurer son rendement et qu’il avait produit peu de rapports à cet égard à l’intention de ses partenaires[29].

Le BVG a également examiné les pratiques de SPC pour mesurer son rendement en matière de services et en rendre compte au Parlement[30]. Il a constaté que, dans le Rapport sur les plans et les priorités de 2014–2015 de SPC, le Ministère a indiqué que, pour la plupart des neuf indicateurs sur le rendement en matière de services, il prévoyait d’établir des bases de référence plutôt que des cibles[31]. De plus, dans son Rapport sur les plans et les priorités de 2015–2016, au lieu d’établir des cibles, SPC précise pour beaucoup d’indicateurs que des bases de référence doivent être établies[32]. Questionné sur la façon dont le Parlement pourrait mesurer le rendement de SPC par rapport à ses objectifs énoncés, M. Parker a répondu que SPC avait établi des bases de référence pour chacun de ses objectifs et qu’il établissait actuellement des indicateurs sur le rendement par rapport auxquels on pourrait mesurer le rendement de SPC[33].

Dans le Rapport sur les plans et les priorités de 2014–2015 de SPC, pour trois secteurs de programme, la satisfaction des partenaires est mentionnée comme un indicateur de rendement en matière de services qui doit être mesuré au moyen d’un sondage[34]. Le BVG a constaté que SPC n’a pu démontrer qu’il avait atteint les résultats attendus par les partenaires puisqu’il n’a pas établi officiellement de cibles de rendement ni mesuré le niveau de satisfaction des partenaires[35]. Les partenaires que le BVG a consultés ont confirmé qu’ils n’avaient pas fait l’objet d’un sondage officiel sur leur niveau de satisfaction, et certains d’entre eux ont contesté l’évaluation faite par SPC de leur satisfaction[36].

Le BVG a recommandé que SPC mesure les principaux éléments caractérisant le rendement relatif à l’intégrité des systèmes de technologie de l’information – sécurité, disponibilité, fiabilité et capacité – ainsi que la satisfaction des partenaires et qu’il en rende compte au Parlement[37]. SPC a répondu que les « résultats associés aux aspects clés de l’intégrité des systèmes de technologie de l’information et de la satisfaction des partenaires seront communiqués aux partenaires à compter d’avril 2016 et que des plans d’action seront mis en œuvre si les niveaux de service sont inférieurs aux cibles[38] ». « SPC présentera également de l’information plus complète sur l’intégrité des systèmes de technologie de l’information dans ses rapports au Parlement, en commençant par le rapport ministériel sur le rendement de 2017‑2018[39]. » SPC a écrit dans son plan d’action qu’il a « lancé son questionnaire sur la satisfaction de la clientèle en novembre 2015 et [en a distribué] les résultats à ses partenaires le [1^er février 2016] ». SPC se servira des résultats « comme jalon pour les niveaux de [satisfaction] de la clientèle[40] ». SPC a également écrit qu’il « fournira des rapports plus détaillés à ses partenaires à compter d’avril 2016, notamment au sujet des niveaux de satisfaction des clients et de l’intégrité du système de TI[41] ».

PLANIFICATION STRATÉGIQUE ET INTÉGRÉE DES TI

Le BVG a examiné le soutien fourni par le Secrétariat du Conseil du Trésor (SCT), ainsi que la gouvernance et le leadership qu’il avait exercés à l’égard de la vision stratégique pour SPC et la façon dont cette vision s’intégrait au paysage informatique du gouvernement[42]. Le BVG a constaté que le SCT n’avait pas de stratégie en TI lui offrant une approche globale en matière d’investissements et de prestation de services de TI en vue de diminuer les coûts et d’améliorer les services[43]. Le SCT a un plan stratégique en TI à l’état d’ébauche, qui date de juin 2013, mais il n’a pas encore été achevé, communiqué officiellement ni mis en œuvre[44].

Questionné quant au plan stratégique en TI à l’état d’ébauche, John Messina, dirigeant principal de l’information, SCT, a reconnu qu’« aucune version officielle d’un plan stratégique n’était en place » au moment de la création de SPC, mais il a répondu que « pour ce qui est des priorités, celles de Services partagés ont été énoncées au début pour faire passer 63 systèmes de courriel à un seul, pour consolider 50 réseaux en un seul réseau et pour simplifier les centres de données de partout au Canada[45] ». Selon lui, « [l]a mission [de SPC] était claire » malgré l’absence d’un plan stratégique officiel[46].

Le BVG a recommandé que le SCT mette à exécution un plan stratégique définitif en matière de TI pour le gouvernement du Canada[47]. Le Secrétariat a répondu qu’il terminera le Plan stratégique en matière de TI du gouvernement du Canada d’ici le 31 mars 2016, et qu’il travaillera avec les ministères et les organismes pour les aider à mettre en œuvre le plan une fois qu’il est approuvé[48]. Dans son plan d’action, le SCT a écrit que la Direction du dirigeant principal de l’information a achevé son examen du plan stratégique en matière de TI pour 2013 en septembre 2015, a terminé les consultations auprès des dirigeants principaux de l’information et des équipes internes chargées de la politique sur la TI en janvier 2016, et a reçu les commentaires de SPC sur le plan stratégique en matière de TI mis à jour en février 2016[49].

M. Messina a informé le Comité que, pour mettre à jour le plan stratégique en matière de TI du gouvernement fédéral, le SCT avait soigneusement examiné les tendances opérationnelles et technologiques ainsi que les pratiques exemplaires de l’industrie, l’expérience d’autres administrations et les nouveautés au sein du gouvernement fédéral. M. Messina a également mentionné que le SCT achèvera ce plan d’ici le 31 mars 2016 comme prévu[50]. Selon M. Messina, ce plan donnera à SPC ainsi qu’aux autres ministères et organismes des directives et des priorités concernant l’amélioration de la gestion, de la sécurité et de la prestation des services de TI. Le plan aidera également le milieu des TI du gouvernement à élaborer et à coordonner ses propres plans et activités[51]. Le SCT veillera également à approuver le plan d’ici juin 2016[52] et aidera les ministères et organismes à le mettre en œuvre en communiquant ouvertement et en assurant une orientation et une surveillance à cet égard[53]. Interrogé quant à la façon dont le plan stratégique en matière de TI du SCT aidera SPC à donner la priorité aux exigences de ses partenaires, M. Messina a répondu qu’« il établira et énumérera les priorités »[54]. Des comités de gouvernance du SCT veilleront également à ce que SPC respecte les priorités[55]. Pour sa part, M. Ferguson a dit au Comité qu’il devrait « chercher à obtenir » le plan stratégique en matière de TI du SCT une fois approuvé[56].  

Le Comité recommande :

RECOMMANDATION 3

Que, d’ici le 30 juin 2016, le Secrétariat du Conseil du Trésor du Canada fournisse au Comité permanent des comptes publics de la Chambre des communes le plan stratégique approuvé en matière de TI du gouvernement fédéral, et qu’il explique les mesures qu’il prendra pour aider les ministères et les organismes à mettre en œuvre le plan.

ÉTABLIR LES ATTENTES ET INFORMER LES PARTENAIRES DES RISQUES À LA SÉCURITÉ

Le BVG a examiné si SPC avait assuré la prestation de services sécuritaires à ses partenaires en établissant avec ces derniers des attentes relativement aux processus et aux contrôles en matière de sécurité et en leur faisant rapport sur la sécurité de l’infrastructure et les services de TI. Le BVG a aussi examiné si SPC avait adopté les pratiques courantes de l’industrie et si, dans le cadre de la prestation de ses services aux partenaires, il s’était préoccupé des quatre éléments de base en matière de sécurité, à savoir la sécurité des données, la sécurité de l’infrastructure et des applications, la gestion des incidents ainsi que la gestion de l’identité et de l’accès[57].

Le BVG a constaté que certaines des 50 ententes conclues entre SPC et ses partenaires qui ont été examinées précisaient les rôles et les responsabilités en matière de sécurité, mais aucune de ces ententes ne contenait l’engagement de répondre à ces attentes et de faire rapport[58]. Selon M. Ferguson :

Cette constatation est importante parce que Services partagés Canada joue un rôle essentiel dans la mise en œuvre des politiques, directives, normes et lignes directrices du gouvernement du Canada en matière de sécurité en vue de garantir que les services partagés en TI pour le gouvernement sont sécuritaires. En tant que fournisseur de services d'infrastructure des TI du gouvernement, Services partagés Canada doit collaborer avec les partenaires afin de gérer les menaces, les risques et les incidents en matière de sécurité en vue de protéger les biens, l'information et les services essentiels du gouvernement liés aux TI[59].

M. Parker a mis en garde sur le fait que :

le vérificateur général n’a pas testé l’efficacité [des] contrôles de sécurité. Il s’est plutôt attardé aux communications avec les partenaires et a vérifié si les fonctions de sécurité étaient bien décrites[60].

M. Parker a reconnu que SPC devait améliorer la façon dont il communique l’information relative à la sécurité à ses partenaires, mais il a insisté sur le fait que les services d’infrastructure de TI de SPC étaient sûrs :

Nous avons accompli des progrès importants dans la sécurisation de l’infrastructure de TI et du périmètre de l’infrastructure de TI. Comme je l’ai dit dans ma déclaration préliminaire, nous avons mis en place un centre des opérations de protection ouvert en tout temps. Ce centre fournit une perspective globale des menaces sur l'infrastructure de TI du gouvernement du Canada. Nous surveillons de très près les menaces potentielles sur les services d'infrastructure, en collaboration avec des organismes de sécurité partenaires. Bien qu’il n’y ait jamais de garantie – personne n’est immunisé contre les cybermenaces –, nous sommes très vigilants et nous avons investi, au cours des dernières années, dans l’amélioration de la sécurité de notre infrastructure de TI[61].

De plus, le BVG a constaté que SPC n’a pas défini adéquatement les rôles et les responsabilités à l’égard de la gestion de la sécurité avec les partenaires et qu’il n’a pas fait suffisamment participer ces derniers à la gestion des attentes en la matière[62]. Les sept partenaires qui ont été consultés par le BVG ont affirmé qu’ils avaient reçu un peu d’information, sur demande, pour leur permettre d’évaluer les risques en matière de sécurité pesant sur les applications et les données qu’ils utilisaient pour exécuter les programmes et fournir les services destinés à la population canadienne[63].

Pour que les partenaires puissent se conformer aux politiques, aux directives et aux normes de sécurité du gouvernement en matière de TI, le BVG a recommandé que SPC établisse les attentes et fournisse aux partenaires l’information nécessaire au sujet de l’infrastructure et des services de TI qu’il gère[64]. SPC a répondu qu’il « établira les attentes liées aux rôles et aux responsabilités en matière de sécurité à la suite du renouvellement de la Politique sur la sécurité du gouvernement du Conseil du Trésor et qu’il fournira aux partenaires des documents sur la sécurité des services d’entreprise, y compris une preuve d’évaluation et d’autorisation de sécurité de même que des rapports d’incidents de sécurité propres à chaque partenaire[65] ». Dans son plan d’action, SPC a écrit qu’il « utilise son comité interministériel de gestion des risques de sécurité pour présenter des rapports sur les risques de sécurité et la conformité aux normes de sécurité[66] ». Selon SPC, ce comité se réunit toutes les deux semaines[67]. SPC a également écrit que, le 1^er février 2016, il a lancé des consultations auprès de ses partenaires à l’aide d’une matrice qui établit les rôles et les responsabilités de SPC et de ses partenaires en matière de sécurité de la TI[68]. À la suite du renouvellement de la Politique sur la sécurité du gouvernement du CT, SPC concevra un document sur les attentes en matière de sécurité[69].

RECOMMANDATION 4

Que, d’ici le 1^er décembre 2016, Services partagés Canada fournisse au Comité permanent des comptes publics de la Chambre des communes son document complet sur les attentes en matière de sécurité.

EXACTITUDE DES DONNÉES COMMUNIQUÉES ET DE L’INFORMATION SUR LES PROGRÈS LIÉS À LA TRANSFORMATION

Le BVG a examiné si SPC avait rendu compte des progrès accomplis par rapport à son plan de transformation et géré les résultats et les avantages attendus de la transformation[70].

Le plan de transformation de SPC traitait notamment des investissements et des économies prévues associés au mandat du Ministère de rationaliser et de regrouper les services de courriels, les centres de données et les services de réseau pour ses 43 partenaires[71]. Le BVG a constaté que les données utilisées afin de rendre compte au Conseil de la haute direction de SPC des progrès de l’Initiative de transformation des services de courriel étaient acceptables aux fins de la prise de décisions de gestion, mais que les données utilisées pour rendre compte de l’Initiative de regroupement des centres de données étaient peu fiables ou sans fondement[72].

Le BVG a également constaté que les deux initiatives avaient peu progressé[73]. Par exemple, pour l’Initiative de transformation des services de courriel, le BVG a relevé que, à la fin de mars 2015, SPC n’avait transféré que 3 000 boîtes de courriel au lieu des 500 000 qui devaient avoir été transférées à cette date[74]. Pour l’Initiative de regroupement des centres de données, à la fin de mars 2015, SPC n’avait transféré que 100 des quelque 15 600 applications aux nouveaux centres de données et avait éliminé plus de 300 des quelque 23 400 serveurs[75]. Lors de sa comparution devant le Comité, M. Parker a affirmé que 52 000 des quelque 500 000 boîtes de courriel avaient été transférées[76].

Le BVG a recommandé que SPC réévalue ses processus de production de rapport relatifs à ses initiatives de transformation pour :

• s’assurer que les méthodes utilisées pour mesurer les progrès sont définies et en phase avec les avantages clés établis au début de l’initiative;
• établir des mécanismes d’examen pour s’assurer que l’information communiquée au conseil de la haute direction sur l’avancement des initiatives de transformation est claire et exacte[77].

SPC a répondu qu’il « définira davantage son cadre de gestion des avantages pour qu’il soit en phase avec les avantages clés établis lors de la création de SPC et pour inclure des méthodes pour mesurer les progrès ». En outre, SPC « examinera et confirmera ses indicateurs de rendement clés pour assurer l’exactitude des progrès réalisés par rapport au plan de transformation[78]. » En ce qui concerne l’information transmise au conseil de la haute direction, SPC « améliorera ses mécanismes d’établissement de rapports et d’examen pour veiller à ce que l’information à l’égard des progrès réalisés en fonction des initiatives de transformation est fiable et claire, et qu’elle répond aux besoins des organismes de surveillance interne[79]. » Selon SPC, ces engagements seront achevés d’ici décembre 2016[80]. Dans son plan d’action, SPC a écrit qu’il avait mis sur pied un conseil d’analyse des activités ainsi qu’un programme de gouvernance de l’information à l’appui du développement du cadre de gestion des avantages[81]. SPC y a également indiqué que des examens continus du service au Conseil d’examen des projets et des services de SPC ont été entrepris dans le but de produire des rapports sur les progrès par rapport aux indicateurs de rendement clés[82].

En ce qui concerne l’Initiative de transformation des services de courriel, M. Parker a expliqué que les coûts du transfert différaient d’un ministère à l’autre étant donné que les difficultés liées au transfert des systèmes de courriel et l’état de préparation au transfert variaient selon les ministères et les organismes. Pour ces raisons, M. Parker a prédit que des coûts additionnels pourraient être engagés. Il a également informé le Comité que le transfert des services de courriel a été mis en suspens en novembre 2015 « pendant que le fournisseur réglait les problèmes de capacité et de stabilité du système[83] ». Interrogé sur le moment où SPC aura transféré toutes les boîtes de courriel, M. Parker a répondu que SPC sera probablement en mesure de fournir la date à l’automne 2016, lorsque le plan de transformation sera mis à jour[84]. 

Questionné quant à la possibilité que SPC ne rattrape jamais son retard dans ses initiatives de transformation, M. Parker a répondu ce qui suit :

[…] il s’agit, encore une fois, d’une combinaison de facteurs. Doit-on modifier la portée, le financement ou le calendrier? Ces trois facteurs entrent en jeu. J’hésite donc à me prononcer sur la modification de l’un ou l’autre de ces éléments tant que nous n’aurons pas une mise à jour du plan[85].

Lorsqu’il a été questionné sur la raison pour laquelle le programme de transformation n’avait pas été scindé en plus petits programmes, plus facilement gérables, M. Parker a répondu que le programme de transformation est un programme qui est séparé en volets : courriels, centres de données et réseaux. Selon lui, il était essentiel d’en faire un seul programme compte tenu des nombreuses interdépendances entre les différents volets :

Les réseaux sont essentiels au courriel et aussi aux centres de données. En fait, il faut absolument les moderniser au fur et à mesure pour que le projet des centres de données réussisse. Nous avons des projets séparés pour le courriel, les centres de données et le réseau. Les interdépendances ont été cernées, et nous gérons les projets de façon à ce qu’ils se recoupent au bon moment et au bon endroit pour favoriser leur succès mutuel[86].

M. Ferguson a recommandé au Comité de « se saisir de la question et [de] chercher » à voir le plan de transformation de SPC quand il sera terminé à l’automne 2016[87].

Le Comité recommande :

RECOMMANDATION 5

Que, d’ici le 1^er  décembre 2016, Services partagés Canada (SPC) fournisse au Comité permanent des comptes publics de la Chambre des communes (le Comité) un plan de transformation à jour, assorti des nouveaux échéanciers pour l’achèvement des trois initiatives de transformation : services de courriel, centres de données et services réseau. De plus, à compter de l’exercice 2016–2017, SPC devrait, au plus tard 30 jours après la fin de chaque exercice, présenter au Comité un rapport d’étape annuel sur chacune des initiatives de transformation jusqu’à leur achèvement.

CALCULER LES ÉCONOMIES ASSOCIÉES À LA TRANSFORMATION DE L’INFRASTRUCTURE DE TI ET EN RENDRE COMPTE

Le BVG a examiné si SPC avait établi des pratiques cohérentes en matière financière pour démontrer qu’il générait des économies. Le BVG a également examiné si SPC tenait compte des coûts appropriés dans le calcul et la communication des économies générées et s’il avait défini les objectifs et les responsabilités à ce chapitre[88].

Le BVG a constaté que SPC disposait d’un plan pour ses investissements de transformation, d’un plan quinquennal pour ses investissements ministériels grâce auquel il surveille son portefeuille d’investissements et d’un plan d’immobilisations annuel pour l’exercice 2014–2015 visant l’attribution de fonds à certains de ses investissements dans les projets. Cependant, le BVG a aussi constaté que ces plans n’étaient pas assortis d’explications ni de critères clairement établis pour l’allocation et la priorisation par SPC des fonds disponibles pour ses activités[89]. De plus, depuis sa création en 2011, SPC n’a pas clairement établi de processus lui permettant de vérifier qu’il a les fonds disponibles pour répondre à tous ses besoins en investissement[90].

Dans le rapport d’audit, le BVG souligne que, au début de 2014, SPC a reconnu qu’il y avait un risque que la transformation de l’infrastructure de TI ne génère pas les économies prévues au départ[91].

Pour appuyer sa stratégie de financement de ses activités courantes et de ses investissements, le BVG a recommandé que SPC inclut dans sa stratégie :

• une méthode officielle assortie de critères détaillés et d’explications pour prioriser et financer ses investissements dans les services hérités et les initiatives de transformation;
• un processus clair permettant de vérifier qu’il dispose du financement nécessaire pour combler ses manques de fonds[92].

SPC a répondu qu’il « documentera la méthode qu’il utilise pour affecter des fonds aux fins d’investissement dans les initiatives actuelles et les initiatives de transformation, y compris sa méthode d’établissement des priorités, des critères détaillés définis et la justification[93] ». SPC a formé en avril 2015 un comité responsable de la stratégie d’établissement des prix, composé du dirigeant principal de l’information et de directeurs généraux pour qu’il l’assiste dans la conception de stratégies d’établissement des prix[94]. « Les stratégies d’établissement des prix des appareils mobiles et des services de courriel ont été approuvées en juin 2015 et sont en cours de mise en œuvre. Les stratégies d’établissement des prix pour les 20 autres services seront approuvées d’ici décembre 2016. La stratégie d’établissement des prix sera revue chaque année par la haute direction de SPC dans le cadre du cycle de planification[95] ». Dans son plan d’action, SPC a ajouté qu’il avait créé un modèle de gestion des coûts à l’échelle de l’organisation, et que SPC et les organismes centraux discuteront des modèles financiers pour financer les initiatives de transformation et renouveler les immobilisations en TI en fin de vie[96].

RECOMMANDATION 6

Que, d’ici le 1^er décembre 2016, Services partagés Canada présente au Comité permanent des comptes publics de la Chambre des communes sa stratégie d’établissement des prix approuvée, et qu’il explique comment cette stratégie lui permettra d’établir les priorités et d’allouer son financement et de faire en sorte qu’il dispose du financement nécessaire pour combler ses manques.

Le BVG a constaté que SPC ne disposait pas de pratiques uniformisées de gestion des coûts pour produire de l’information cohérente, exacte et à jour sur les coûts[97]. « Pour trois de ses initiatives de transformation, par exemple, l’information sur les coûts prévus était basée sur des modèles d’établissement des coûts incohérents, et les méthodes et les pratiques utilisées pour créer ces modèles n’étaient pas documentées de manière appropriée[98] ». Le BVG a aussi constaté que les coûts des partenaires n’étaient pas pris en compte dans le calcul des économies pour l’ensemble du gouvernement fédéral[99]. Selon le BVG, « [s]i les coûts des investissements et des activités des partenaires ne sont pas entièrement pris en compte, une part importante des coûts estimatifs ayant un effet sur le calcul des économies reste inconnue[100] ». M. Ferguson a également insisté sur le fait que ces deux constatations revêtent une importance puisque SPC « dépense environ 1,9 milliard de dollars par année pour fournir ses services de TI aux partenaires, investir dans des projets et financer ses activités[101] ».

Lorsqu’on lui a demandé si les coûts de transition des partenaires seront calculés pour des transactions futures, M. Parker a répondu que SPC demandera aux partenaires leurs coûts de transition estimatifs pour la mise en œuvre de nouvelles initiatives[102].

Le BVG a recommandé à SPC de revoir périodiquement ses méthodes et ses pratiques pour qu’elles lui permettent de faire le calcul exact des économies et d’en rendre compte[103]. SPC a répondu qu’il peaufinera ses méthodes et pratiques pour déterminer des économies en vue d’une mise à jour du plan de transformation à l’automne 2016[104]. M. Parker a dit au Comité que SPC mettra à jour son plan de transformation avec la participation des employés, des partenaires ainsi que des organismes centraux et des experts externes[105]. 

Le Comité recommande :

RECOMMANDATION 7

Que, d’ici le 1^er décembre 2016, Services partagés Canada présente au Comité permanent des comptes publics de la Chambre des communes un rapport d’étape décrivant comment il a revu ses méthodes et ses pratiques pour mieux calculer les économies et mieux en rendre compte au Parlement et au public. Ce rapport devrait inclure les bases de référence utilisées pour calculer les économies ainsi qu’une liste détaillée de tous les coûts assumés par le gouvernement fédéral qui n’ont pas été pris en compte dans le calcul.

Réduction du budget associée à l’Initiative de transformation des services de courriel

Dans son rapport d’audit, le BVG signale que les économies permanentes envisagées de 56 millions de dollars ont été déduites du budget de SPC dès l’exercice 2015–2016 bien que l’Initiative de transformation des services de courriel ait été reportée d’une année[106].

M. Ferguson a déclaré ce qui suit devant le Comité :

[L]’objectif était de réaliser des économies de 56 millions de dollars. Le fait que les 56 millions ont été retirés du budget avant la fin de la transformation est exactement le problème que nous souhaitions faire connaître au Parlement, puisque nous savions que cela aurait une incidence sur l’organisme[107].

Questionné sur ces réductions du budget, M. Parker a répondu ce qui suit :

Services partagés Canada a toujours été d’avis qu’il serait difficile et risqué d’évaluer des économies avant qu’elles ne se concrétisent. À titre d’exemple, cela pose problème pour la transformation du système de courriel. Au début du présent exercice, 50 millions de dollars ont été déduits des niveaux de référence de Services partagés Canada, mais cette économie de 50 millions ne s’est pas concrétisée, et elle ne se concrétisera que lorsque la migration sera terminée[108].

M. Parker a également expliqué que cette réduction :

[…] signifie que nous avons dû réorganiser les priorités et investir moins dans différents projets. Je pense que les données démontrent que, dans la mesure du possible, ces compressions ont contribué à ralentir le déploiement des initiatives de transformation elles‑mêmes. Voilà une des raisons qui expliquent les retards. L’investissement dans le plan de transformation n’a pas été aussi important que les prévisions initiales[109].

En dépit de cette explication, M. Parker a dit au Comité que SPC assumait la responsabilité en ce qui a trait aux économies non réalisées et qu’il avait, comme il se doit, mis à jour les priorités de SPC pour respecter le financement approuvé par le Parlement[110].

Le Comité recommande :

RECOMMANDATION 8

Que, à l’avenir, Services partagés Canada publie des bases financières concrètes de référence de réduction des coûts alignées sur son plan stratégique annuel, qu’il en fasse rapport annuellement, et qu’il discute de façon approfondie des facteurs clés à l’origine d’un écart important par rapport aux bases de référence.

Absence des titulaires de charges présents durant l’audit

Le Comité a été très déçu d’apprendre qu’aucun des témoins qui ont comparu au nom de SPC ou du SCT n’était en fonction au moment de l’audit du BVG[111]. Le Protocole du Comité pour les témoignages des administrateurs de comptes stipule ce qui suit :

En vertu de la Loi sur la gestion des finances publiques, modifiée par la Loi fédérale sur la responsabilité, les sous-ministres et chefs des organismes sont désignés administrateurs des comptes chargés de responsabilités de gestion déléguées et tenus par la loi d’en rendre compte devant les comités du Parlement. Les administrateurs des comptes doivent rendre compte de leurs fonctions de gestion financière devant le Comité des comptes publics[112].

[…]

Un ancien titulaire n’a pas le pouvoir de corriger un problème. Seul le titulaire actuel assume cette responsabilité, dans le sens de la capacité d’agir. Le Comité s’attendra néanmoins à ce que, sur demande, les anciens titulaires d’une charge publique expliquent les décisions qu’ils ont prises pendant leur mandat au sujet de la question à l’étude. Mais puisqu’ils ont quitté leur poste, les anciens titulaires ne peuvent agir et ne peuvent donc pas être les fonctionnaires « responsables » au sens de la pratique du gouvernement parlementaire responsable. Il y a cependant un autre sens à la responsabilité – celle de la personne responsable d’une mesure prise, d’une décision ou de l’inaction. En ce sens, la responsabilité personnelle des administrateurs des comptes représentée par le fait qu’ils signent les comptes ne prend pas fin lorsqu’ils quittent leur poste. Les décisions et les actes des anciens titulaires d’une charge peuvent faire et font souvent l’objet d’un examen et de remarques dans les rapports du Comité[113].

Par conséquent, être un ancien titulaire de charge n’exempte personne de l’obligation de rendre des comptes aux termes de la Loi sur la gestion des finances publiques. Si le Comité décide d’interroger un ancien titulaire de charge, en ce qui concerne une question faisant partie de son mandat, il peut l’inviter à comparaître comme témoin.

CONCLUSION

Dans le cadre de son audit, le BVG a constaté que SPC « n’a pas établi d’attentes claires et concrètes quant à la manière dont il allait fournir les services ou mesurer et communiquer son rendement relativement au maintien des niveaux de services initiaux pour ses 43 partenaires[114] ». « SPC n’a que rarement établi les attentes ou fourni suffisamment d’information aux partenaires pour les aider à se conformer aux politiques, aux directives et aux normes du gouvernement en matière de sécurité des TI[115]. » Le BVG a également constaté que les rapports de SPC sur les progrès réalisés relativement à son plan de transformation doivent être améliorés, car le SPC présente des comptes rendus inexacts et peu clairs à son conseil de la haute direction[116]. Par ailleurs, le BVG a constaté que SPC n’a pas adopté de pratiques cohérentes pour démontrer que des économies étaient réalisées à l’échelle du gouvernement ou pour reconnaître que des coûts étaient assumés par les partenaires dans tous les projets de transformation[117].

Le Comité note avec préoccupation la constatation du vérificateur général du Canada suivante :

Bien que l’Initiative de transformation des services de courriel ait été retardée de plus d’un an, les économies permanentes envisagées de 56 millions de dollars ont été déduites du budget de SPC dès l’exercice 2015-2016. Ce montant correspond à ce que SPC considère être les économies générées par l’Initiative, même si le projet n’est pas entièrement terminé[118].

À la lumière des constatations du BVG, des témoignages entendus et des plans d’action examinés, le Comité n’est pas convaincu que SPC remplira son engagement d’achever la transformation des services partagés en TI d’ici 2020 ou générera les économies promises s’il continue de fonctionner comme il le fait depuis sa création. Ce n’est pas le moment de se montrer complaisant. SPC et le SCT doivent non seulement mettre en œuvre rapidement les mesures correctives présentées dans leur plan d’action respectif, mais également le faire dans les délais recommandés par le Comité, délais qui leur permettent de faire rapport en temps opportun au Comité, pour résoudre tous les problèmes constatés dans le cadre de l’audit du BVG.

RÉSUMÉ DES MESURES RECOMMANDÉES ET DÉLAIS

Tableau 1 – Résumé des mesures recommandées et délais

---