Vérification de la gouvernance de sécurité - Rapport final - Août 2017

Division de la vérification interne

Table des matières

1.0 Sommaire

1.1 Objectifs et portée

L’objectif de la présente vérification était d’assurer la pertinence et l’efficacité de la gouvernance de sécurité.

La vérification a porté sur la sécurité de l’information, la sécurité du personnel et du matériel et a comporté un examen de l’état d’avancement des plans d’action mis en place à la suite de l’étude préliminaire réalisée en 2013-2014, notamment la gestion de la sécurité des renseignements papier et électronique tout au long de leur cycle de vie et la sécurité matérielle, ce qui comprend l’accès aux installations et aux biens du Service des poursuites pénales du Canada (SPPC) et la protection des employés. La vérification a également porté sur l’existence de structures de gouvernance adéquates pour le filtrage de sécurité des employés et des fournisseurs. La vérification n’a pas porté sur le Bureau du commissaire aux élections fédérales puisqu’un projet de loi a été déposé en vue de transférer cet organisme hors du SPPC.

La vérification a respecté les pratiques de vérification généralement reconnues et a été réalisée conformément à la Politique sur la vérification interne du Conseil du Trésor (CT).

La méthodologie de vérification a comporté notamment :

Les étapes de planification et d’exécution de la vérification ont été réalisées entre janvier et mai 2017.

1.2 Conclusion de la vérification

La Division de la vérification interne (DVI) a évalué la pertinence ainsi que l’efficacité de la gouvernance de sécurité en fonction de critères de vérification préétablis reposant sur la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle, la Ligne directrice sur l’élaboration d’un plan de sécurité ministériel et le jugement du vérificateur. Dans l’ensemble, la gouvernance de sécurité au SPPC est adéquate et efficace; toutefois, des améliorations peuvent être apportées dans certains domaines, notamment pour officialiser les relations existantes et les délégations et améliorer la communication.

1.3 Sommaire des recommandations

Le présent rapport comprend les recommandations suivantes, adressées à l’ASM :

La recommandation suivante est adressée au directeur des poursuites pénales (DPP) :

1.4 Énoncé d’assurance

Selon mon jugement professionnel, en qualité de dirigeant principal de la vérification par intérim du SPPC, j’estime que les procédures de vérification qui ont été menées sont suffisantes et adéquates et que les éléments de preuve recueillis appuient l’exactitude de la conclusion formulée et contenue dans le présent rapport. La conclusion ainsi que les constatations de la vérification reposent sur une comparaison des conditions qui prévalaient au moment de la vérification et les critères de vérification préétablis et approuvés par la direction du SPPC. Les constatations et la conclusion ne concernent que l’entité examinée. La vérification a été menée conformément aux Normes relatives à la vérification interne du gouvernement au sein du Canada.

Je remercie le personnel du SPPC à l’administration centrale et dans les bureaux régionaux pour leur collaboration et l’aide fournie à l’équipe de la vérification.



Abdellah Ismaili
Dirigeant principal de la vérification par intérim

2.0. Introduction

2.1 Contexte

L’unité des Services de sécurité relève du directeur de la Division des services de l’administration. Elle comprend :

Aperçu de l’unité des Services de sécurité (2016-2017)
Salaire ($) Fonctionnement et entretien ($) Total ($) Équivalent temps plein
358 155 326 409 684 564 5

Le SPPC reçoit aussi des services de gestion de la sécurité et de la sûreté d’un prestataire de services généraux (PSG), dont le coût s’élevait à 61 284 $ pour l’exercice 2016-2017.

L’unité des Services de sécurité du SPPC est responsable de la protection des employés, des biens matériels et informationnels et de nos installations. Elle couvre divers secteurs, comme la gestion de la sécurité, le contrôle physique et le filtrage de sécurité du personnel, la gestion des urgences et la PCA.

La DVI du SPPC a réalisé une étude préliminaire sur la sécurité en novembre 2013. Cette étude a permis à la direction de cerner les principales lacunes et de remédier aux secteurs à risque élevé avant la réalisation de la présente vérification.

La DVI a effectué la présente vérification de la gouvernance de sécurité conformément au Plan de vérification axé sur les risques 2016-2019 du SPPC, approuvé par le DPP le 29 mars 2016.

2.2 Objectifs, portée et méthodologie

L’objectif de la présente vérification était d’assurer la pertinence et l’efficacité de la gouvernance de sécurité.

La vérification a porté sur la sécurité de l’information, la sécurité du personnel et du matériel et a comporté un examen de l’état d’avancement des plans d’action mis en place à la suite de l’étude préliminaire réalisée en 2013-2014, notamment la gestion de la sécurité des renseignements papier et électronique tout au long de leur cycle de vie et la sécurité matérielle, ce qui comprend l’accès aux installations et aux biens du SPPC et la protection des employés. La vérification a également porté sur l’existence de structures de gouvernance adéquates pour le filtrage de sécurité des employés et des fournisseurs. La vérification n’a pas porté sur le Bureau du commissaire aux élections fédérales, puisqu’un projet de loi a été déposé en vue de transférer cet organisme hors du SPPC.

La vérification a respecté les pratiques de vérification généralement reconnues et a été réalisée conformément à la Politique sur la vérification interne du CT.

La méthodologie de vérification a comporté notamment :

Les étapes de planification et d’exécution de la vérification ont été réalisées entre janvier et mai 2017. La vérification ayant porté sur la gouvernance, tous les secteurs d’intérêt n’ont porté que sur cet aspect.

3.0 Observations et recommendations

3.1 Surveillance

Des comités de surveillance sont établis de façon appropriée et leurs rôles et responsabilités sont clairement définis.

La gouvernance est la combinaison des processus et des structures mis en place par le SPPC pour informer, orienter, gérer et surveiller les activités de l’organisation en vue de réaliser ses objectifs. L’équipe de vérification s’attendait à ce que le SPPC ait en place les structures requises pour assurer une surveillance efficace de la sécurité; et à ce que les rôles et responsabilités relatifs à cette surveillance soient clairement définis, coordonnés et communiqués. Pour qu’un programme de sécurité soit efficace, il faut allier les services offerts par l’équipe des Services de sécurité à l’utilisation de moyens de protection lors de la prise de décisions stratégiques par la direction du SPPC.

Les organes de surveillance du SPPC en matière de gouvernance de sécurité sont le Conseil exécutif (CE) et le Comité de sécurité et de gestion de l’information (CSGI). Leur mandat respectif indique clairement quels sont leurs secteurs de responsabilité en matière de sécurité.

Le CE est présidé par le DPP et se réunit une fois par mois. Il examine et approuve les questions liées à la sécurité qui lui sont présentées. Parmi ses responsabilités en matière de sécurité, le CE approuve les orientations et les plans stratégiques; son mandat indique aussi expressément qu’il peut déléguer son pouvoir décisionnel à d’autres comités.

Les membres du CE rencontrés estiment que les comités dont il est question ici sont adéquats et que leurs rôles et responsabilités sont clairement définis.

Le CSGI est le fruit de la fusion de deux comités : le Comité de gestion de la sécurité et le Comité de gestion de l’information. Il est présidé par le directeur de l’administration qui est aussi le DPI. Voici les responsabilités du CSGI en matière de sécurité :

Les personnes rencontrées ont indiqué que la fusion du Comité de gestion de la sécurité et du Comité de gestion de l’information permettrait de réduire le chevauchement et les lacunes qui avaient été observés initialement entre les comités existants.

Les membres du CSGI et du CE estiment que les responsabilités en matière de sécurité entre ces deux comités sont bien coordonnées et que les rôles et responsabilités de ces derniers sont clairement définis.

3.2 La sécurité fait partie de la gouvernance, des programmes et des services

La gestion de la sécurité est un élément identifiable et incontournable de la gouvernance, des programmes et des services de l’organisation; toutefois, des améliorations pourraient être apportées en ce qui concerne la consignation des rôles et des responsabilités, la sensibilisation à la sécurité et la communication.

Les vérificateurs s’attendaient à constater que la gestion de la sécurité était un élément identifiable et incontournable de la gouvernance, des programmes et des services de l’organisation.

Les membres de la direction interrogés ont indiqué que la sécurité faisait partie de la culture du SPPC. La sécurité est d’ailleurs mentionnée dans tous les documents pertinents comme le Plan ministériel qui inclut dans sa liste des principaux risques, la sécurité de l’information et la sécurité du personnel et le Profil de risque organisationnel qui comprend ces deux risques, mais aussi les facteurs, mesures d’atténuation, conséquences et responsabilités relatifs aux risques, ainsi que des échéances. Un plan de sécurité sur quatre ans fournit encore plus de détails. La sécurité est considérée comme faisant partie intégrante des activités. Le nouveau CSGI a été mis en place en vue de mieux informer le CE des risques émergents et d’approuver les directives et plans opérationnels.

De même, un plan sur la sécurité pour 2016-2010, approuvé par le CE, développe les responsabilités mentionnées ci-dessus et présente des objectifs et des dates cibles.

Après avoir examiné les procès-verbaux du CE, l’équipe de vérification a aussi constaté que la sécurité était un important sujet de discussion.

L’ASM élabore actuellement un manuel exhaustif en matière de sécurité décrivant clairement les rôles et responsabilités, lignes directrices et procédures afférentes à toutes les activités relatives à la sécurité.

Les entrevues ont révélé que ce manuel donnait suite aux commentaires exprimés par certains employés qui voulaient que les exigences de sécurité propres à leur poste soient clarifiées et qu’on leur indique la meilleure façon d’intégrer la sécurité dans leur travail. Les employés obtiennent souvent l’information de manière informelle – en se renseignant auprès des agents de sécurité ou auprès d’autres employés. La formation sur la sécurité n’est pas uniforme; c’est pourquoi l’ASM prépare en ce moment une formation qu’il voudrait voir devenir obligatoire dans l’ensemble du SPPC. La navigation sur intranet est difficile et les documents relatifs à la sécurité ne sont pas tous accessibles. Certains, comme le PE avec le PSG, ne le sont tout simplement pas.

Recommandations

  1. L’ASM devrait préparer un manuel de sécurité décrivant clairement les rôles et responsabilités, de même que les lignes directrices et procédures connexes pour l’ensemble des activités liées à la sécurité.
  2. L’ASM devrait préparer un programme stratégique de sensibilisation sur la sécurité afin que les employés connaissent mieux leurs obligations à cet égard.
  3. L’ASM devrait examiner la meilleure façon de communiquer les informations relatives à la sécurité au personnel du SPPC, y compris sur le site intranet du SPPC.

3.3 Responsabilisation

La responsabilisation, les délégations, les rapports hiérarchiques ainsi que les rôles et responsabilités des employés de l’organisation exerçant des responsabilités liées à la sécurité sont définis, consignés et communiqués aux personnes concernées. Il y aurait toutefois lieu de préciser davantage certains domaines, en consignant officiellement la délégation de la sécurité organisationnelle par exemple.

La responsabilisation est bien définie et consignée pour la plupart des domaines.

Le directeur de l’administration et l’ASM estimaient que la responsabilisation était clairement définie, même si l’ASM n’était pas au fait de sa description de travail. On observe aussi un certain chevauchement entre l’équipe de Santé et sécurité au travail et l’unité des Services de sécurité (les deux sections relevant du directeur de l’administration), notamment en ce qui a trait à la violence en milieu de travail et à la planification des mesures d’évacuation.

L’ASM a indiqué que les rôles et responsabilités seront consignés dans un manuel de sécurité, présentement en cours d’élaboration.

Un PE, décrivant clairement les responsabilités en matière de sécurité, a été conclu entre le PSG et le SPPC. Toutefois, les modalités du PE ne sont pas toujours respectées, les anciennes pratiques persistent. D’après un ASR du PSG, le PE est très clair, toutefois l’ASR a reconnu qu’il fournissait un service (soutien relatif aux locaux) non prévu au PE et qu’on lui avait demandé d’arrêter de l’assurer. Pendant ce temps, le bureau régional du Québec s’est déclaré préoccupé par le fait que le PSG ne s’acquittait pas de certaines responsabilités prévues dans le PE (modification des combinaisons des classeurs sécurisés, participation au Programme de protection des employés, participation à la PCA et séances de formation sur la sécurité en régions).

L’ASM a indiqué que le PSG continuait de fournir des services dont la responsabilité revenait en principe à l’ASM, comme cela se faisait auparavant. Le fait que les deux parties ne comprennent pas le PE de la même façon entraîne une prestation inégale des services toutefois, le PE étant mis à jour annuellement, il est possible d’y apporter des changements qui tiennent compte des commentaires de l’ASM.

Le PE n’est pas communiqué à l’ensemble des employés du SPPC et aucune entente sur les niveaux de service ne précise les modalités de services ni quelle organisation fournit quel service à quel endroit, ou comment le service est assuré.

Dans le cadre de la PCA, un plan de continuité des services de sécurité a été élaboré. Ce plan relève du SPPC, mais le PSG participe à sa mise en œuvre.

Le directeur de l’administration et l’ASM ont tous deux indiqué que le directeur exerçait certaines des fonctions de l’ASM au chapitre de la planification stratégique, car ce dernier est non seulement nouveau au sein de l’organisation, il assume aussi un nouveau rôle à titre d’ASM. Cette situation devrait se résorber progressivement à mesure que l’ASM assume de plus en plus de responsabilités.

Le Protocole en cas d’atteinte à la vie privée a été mis à jour depuis 2013 afin de tenir compte du rôle de l’ASM conformément aux Lignes directrices sur les atteintes à la vie privée du CT qui prévoient que le bureau de première responsabilité doit aviser l’ASM en cas d’atteinte à la vie privée.

Le Protocole indique également qu’il pourrait s’avérer nécessaire de faire appel au gestionnaire des Services de sécurité et que ce dernier devrait participer aux analyses postérieures aux incidents d’atteinte à la vie privée, conformément aux Lignes directrices sur les atteintes à la vie privée du CT.

La Directive sur la gestion de la sécurité ministérielle du CT prévoit la responsabilité suivante : « veiller à ce que les responsabilités, les délégations, les rapports hiérarchiques ainsi que les rôles et responsabilités des employés du ministère à l’égard des responsabilités de sécurité soient définis, documentés et communiqués aux personnes concernées ».

L’ASM n’a pas d’entente formelle de délégation. Afin de mieux définir et documenter cette responsabilité, il conviendrait d’officialiser ce rôle.

Recommandation

  1. Le DPP devrait officiellement déléguer la responsabilité de la sécurité à l’ASM.

3.4 Mécanismes de gouvernance

Des mécanismes de gouvernance de sécurité sont établis (comités, groupes de travail) en vue d’assurer la coordination et l’intégration des activités relatives à la sécurité dans les opérations, les plans, les priorités et les fonctions de l’organisation afin de faciliter la prise de décisions.

Des mécanismes de gouvernance ont été établis en vue d’assurer la coordination et l’intégration des activités relatives à la sécurité dans les opérations, les plans, les priorités et les fonctions de l’organisation afin de faciliter la prise de décisions. La composition de ces organes et leur mandat sont à jour.

Le fait que le président du CSGI (directeur de l’administration) soit également membre du Comité consultatif supérieur permet d’assurer la continuité et la coordination. Le CSGI relève du CE.

La sécurité du personnel et la sécurité de l’information sont considérées comme deux risques importants dans le Plan ministériel 2017-2018.

Le mandat du CSGI est d’appuyer l’administrateur général dans la gestion efficace de la sécurité, de la technologie de l’information et de la gestion de l’information afin de faciliter la mise en œuvre des programmes et services du SPPC, la prise de décisions éclairées, la responsabilisation et la transparence et contribuer à l’efficacité de la collaboration à l’échelle du gouvernement.

Voici ces responsabilités :

Au SPPC, aucun sous-comité ou groupe de travail n’a été mis en place afin d’examiner la sécurité; l’ASM a indiqué qu’il cherche à déterminer la nécessité de former des groupes de travail supplémentaires pour gérer la gouvernance de sécurité.

3.5 Nomination d’un agent de sécurité ministériel

Un ASM a été nommé pour gérer le programme de sécurité de l’organisation. Fonctionnellement responsable devant l’administrateur général, aucun pouvoir ne lui a été délégué officiellement.

Un ASM (appelé parfois agent de sécurité principal) a été nommé. Selon sa description de travail, il gère le programme de sécurité de l’organisation conformément à la Politique sur la sécurité du gouvernement du CT. L’ASM comprend ses responsabilités; il relève du directeur de l’administration.

L’ASM et le directeur de l’administration ont confirmé qu’il n’existe aucune entente de délégation officielle. Les responsabilités de l’ASM sont bien comprises, mais elles ne sont décrites officiellement que dans sa description de travail.

L’ASM et le directeur de l’administration reconnaissent que, sur le plan fonctionnel, l’ASM relève de l’administrateur général; toutefois ce rapport n’est pas documenté officiellement.

3.6 Arrangement avec un tiers

Comme l’exige la Politique sur la sécurité du gouvernement du CT, l’organisation a pris un arrangement formel lorsque le rôle d’ASM est occupé par un tiers. Toutefois, le rôle manque de clarté sur les responsabilités en matière de gouvernance de sécurité et sur les responsabilités qui seraient appropriées.

Le SPPC a conclu un arrangement formel avec le PSG sous la forme d’un PE, renouvelé chaque année. Dans l’annexe du catalogue de services du PE, les services de gestion de la sécurité et de la sûreté sont compris dans la liste des services. Dans la ventilation détaillée des coûts pour la prestation de services internes par le PSG, les services de gestion de la sécurité et de la sûreté sont inclus dans le coût des services administratifs. Le montant total indiqué pour 2016-2017 est de 90 313 $.

Une bonne partie des travaux effectués par les ASR du PSG pour le SPPC sont basés sur les pratiques antérieures plutôt que sur les modalités du PE. Le SPPC étant une petite organisation, les employés du PSG communiquent souvent directement avec les agents de sécurité du SPPC de façon à coordonner leur travail. Les noms des ASR du PSG ne sont pas affichés en ligne, où les employés du SPPC pourraient les consulter. De même, les ASR ne bénéficient d’aucune entente de délégation du PSG.

La prestation des services est souvent basée sur les pratiques antérieures plutôt que sur le PE. Il arrive donc que le PSG fournisse plus de services que prévu, parfois moins. Les deux parties ont des contacts réguliers afin de faciliter la collaboration.

Le PE n’est pas affiché sur l’intranet du SPPC, où les employés pourraient le consulter s’ils avaient des questions précises en matière de sécurité.

L’ASM a l’intention de prendre à son compte certaines des responsabilités en matière de sécurité du PSG.

Recommandation

  1. L’ASM devrait examiner et actualiser le PE pour veiller à ce qu’il tienne compte du rôle croissant joué par le SPPC au chapitre de la sécurité.

3.7 Plan de sécurité

Un plan de sécurité organisationnel a été adopté. Ce plan oriente les décisions en matière de gestion des risques liés à la sécurité et énonce les stratégies, buts, objectifs, priorités et échéanciers visant à améliorer la sécurité de l’organisation et appuyer la mise en œuvre du plan.

Le SPPC s’est doté d’un Plan de sécurité (PS) pour 2016‑2010, qui a été approuvé par le CE le 9 février 2017.

Le PS 2016-2020 du SPPC renferme les décisions en matière de gestion des risques, ainsi que les stratégies, buts, objectifs, priorités et échéanciers visant à améliorer la sécurité et appuyer la mise en œuvre du plan.

Le PS 2016-2020 du SPPC comporte deux principaux risques organisationnels, soit la sécurité du personnel et la sécurité de l’information. À ces risques clés sont associés des cadres d’atténuation, les parties concernées, ainsi que des dates cibles. Le PSS contient également une matrice d’évaluation des risques qui recense sept risques, classés entre faible et élevé.

Les stratégies qu’entend adopter le SPPC sont en grande partie des mesures de gestion de sécurité, notamment des mesures concrètes au chapitre de la gouvernance; de la gestion des risques; de la planification; de la mise en œuvre; de la menace, de la vulnérabilité et de la gestion des incidents; et du soutien à l’échelle du gouvernement.

Le PS présente aussi les buts que les Services de sécurité du SPPC désirent atteindre.

Il énumère huit objectifs en matière de contrôle de sécurité, lesquels sont accompagnés d’énoncés concrets décrivant le résultat souhaité, les domaines de gestion, les parties concernées et les dates cibles.

Le PS contient deux calendriers : le premier vise la mise en œuvre des objectifs en matière de contrôle de sécurité et l’autre, la mise en œuvre des mesures d’atténuation des principaux risques organisationnels.

3.8 Culture de sécurité

Le SPPC a mis en place une culture où les exigences en matière de sécurité ne correspondent pas toujours aux exigences réelles propres à chaque poste, de sorte qu’il arrive que la cote de sécurité attribuée aux employés ne soit pas adéquate compte tenu du niveau de classification de l’information auquel ils ont accès.

Le SPPC avait établi une norme selon laquelle tous les titulaires de poste, sauf certaines exceptions, devaient obtenir la cote « Secret » en raison de la nature particulièrement délicate des renseignements détenus par le SPPC. Par conséquent, la cote de sécurité de certains postes ne correspond pas aux fonctions réelles du poste.

La Norme sur le filtrage de sécurité (que le SPPC doit mettre en œuvre d’ici octobre 2017) permet d’effectuer un filtrage approfondi pour la cote de fiabilité, lorsque les tâches du titulaire impliquent ou appuient directement des fonctions relatives à la sécurité et au renseignement ou nécessitent l’accès à des sources et à des méthodologies de sécurité et de renseignement. On peut alors effectuer une vérification des documents sur le respect de la loi, ce qui constitue un changement important selon l’ASM.

L’ASM étudie en ce moment ce changement afin d’élaborer une nouvelle orientation pour le SPPC, qui respecte cette nouvelle norme. On s’attend à ce qu’en raison de l’inclusion des vérifications des documents sur le respect de la loi pour la cote de fiabilité, un nombre accru de postes en cours de dotation ne nécessite qu’une attestation de fiabilité approfondie, ce qui diminuera la charge de travail des responsables de la sécurité et les délais de dotation.

Dans le Système de gestion des ressources humaines, le rapport sur le niveau d’autorisation de sécurité du personnel indique que 854 employés détiennent une cote de sécurité. Sur ce nombre, la cote de sécurité des titulaires de 709 postes correspond aux exigences du poste; les titulaires de 105 postes ont une cote de sécurité supérieure à celle exigée par le poste et la cote de sécurité de 40 postes est inférieure aux exigences. La cote de sécurité des titulaires d’un nombre important de postes ne correspond donc pas aux exigences de leur poste.

La directive du SPPC sur la cote de sécurité requise pour les postes nouveaux et existants est fondée sur la Norme sur le filtrage de sécurité du CT. L’ASM travaille en ce moment à l’élaboration d’une directive propre au SPPC.

4.0 Conclusion

La DVI a évalué la pertinence ainsi que l’efficacité de la gouvernance de sécurité en fonction de critères de vérification préétablis reposant sur la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle, la Ligne directrice sur l’élaboration d’un plan de sécurité ministériel et le jugement du vérificateur. Dans l’ensemble, la gouvernance de sécurité au SPPC est adéquate et efficace; toutefois, des améliorations peuvent être apportées dans certains domaines, notamment pour officialiser les relations existantes et les délégations et améliorer la communication.

5.0 Plans d’action de la direction

Recommandations Réponse et plan d’action de la direction Bureau de première responsabilité Date cible
1. L’ASM devrait préparer un programme stratégique de sensibilisation sur la sécurité afin que les employés connaissent mieux leurs obligations à cet égard.
Cote de risque : Moyen
La direction est d’accord. Cet élément a été identifié dans le Plan de sécurité 2016-2020. Les Services de sécurité travaillent à la mise en œuvre d’un programme de sensibilisation exhaustif et obligatoire pour tous les employés et les mandataires. Services de sécurité, division de l’administration du SPPC Septembre 2018
2. L’ASM devrait examiner la meilleure façon de communiquer les informations relatives à la sécurité au personnel du SPPC, y compris sur le site intranet du SPPC
Cote de risque : Moyen
La direction est d’accord. Toutes les directives et procédures, nouvelles et révisées, seront affichées sur le site intranet des Services de sécurité du SPPC. Le site des Services de sécurité fait actuellement l’objet d’une mise à jour pour faire en sorte que tous les renseignements soient exacts et aisément accessibles. Services de sécurité, division de l’administration du SPPC En cours… décembre 2017
3. L’ASM devrait préparer un manuel de sécurité décrivant clairement les rôles et responsabilités, de même que les lignes directrices et procédures connexes pour l’ensemble des activités liées à la sécurité.
Cote de risque : Moyen
La direction est d’accord. Cet élément a été identifié dans le Plan de sécurité 2016-2020. Les Services de sécurité élaborent actuellement un manuel exhaustif en matière de sécurité comportant une description claire des rôles et responsabilités, ainsi que les lignes directrices et procédures à l’appui de l’ensemble des activités relatives à la sécurité. Services de sécurité, division de l’administration du SPPC Mars 2018
4. Le DPP devrait officiellement déléguer la responsabilité de la sécurité à l’ASM.
Cote de risque : Moyen
Lettre signée et présentée au DPP le 22 juin 2017. Services de sécurité, division de l’administration du SPPC Sans objet
5. L’ASM devrait examiner et actualiser le PE pour veiller à ce qu’il tienne compte du rôle croissant joué par le SPPC au chapitre de la sécurité.
Cote de risque : Moyen
La direction est d’accord. Des changements au PE ont été discutés entre le PSG, le directeur de l’administration et l’ASM. Les discussions sont toujours en cours, aucune date de mise en œuvre n’a été fixée. Services de la sécurité, division de l’administration du SPPC Septembre 2018

Annexe A – Critères de vérification

Secteur d’intérêt Critères de vérification
1. Gouvernance 1.1 Des comités de surveillance sont établis de façon appropriée et leurs rôles et responsabilités sont clairement définis.
1.2 La gestion de la sécurité est un élément identifiable de la gouvernance, des programmes et des services de l’organisation.
1.3 La responsabilisation, les délégations, les rapports hiérarchiques ainsi que les rôles et responsabilités des employés de l’organisation exerçant des responsabilités liées à la sécurité sont définis, consignés et communiqués aux personnes concernées.
1.4 Des mécanismes de gouvernance de sécurité sont établis (comités, groupes de travail) en vue d’assurer la coordination et l’intégration des activités relatives à la sécurité dans les opérations, les plans, les priorités et les fonctions de l’organisation afin de faciliter la prise de décisions.
1.5 L’ASM nommé pour gérer le programme de sécurité de l’organisation est fonctionnellement responsable devant l’administrateur général ou le Comité exécutif organisationnel.
1.6 L’arrangement formel entre le fournisseur de services et l’ASM définit les responsabilités respectives des deux parties.
1.7 Le plan de sécurité organisationnelle, qui a été adopté, oriente les décisions en matière de gestion des risques liés à la sécurité et énonce les stratégies, buts, objectifs, priorités et échéanciers en vue d’améliorer la sécurité de l’organisation et favoriser la mise en œuvre du plan.
1.8 Le SPPC a mis en place une culture où les exigences en matière de sécurité correspondent aux exigences réelles propres à chaque poste.

Annexe B – Liste des sigles

ASM Agent de sécurité ministériel
ASR Agent de sécurité régional
CE Conseil exécutif
CSGI Comité de sécurité et de gestion de l’information
CT Conseil du Trésor
DAPP Directeur adjoint des poursuites pénales
DG Directeur général
DPI Dirigeant principal de l’information
DPP Directeur des poursuites pénales
DVI Division de la vérification interne
PE Protocole d’entente
PFC Procureur fédéral en chef
PS Plan de sécurité
PSG Prestataire de services généraux
SPPC Service des poursuites pénales du Canada
Date de modification :