Cette page Web a été archivée dans le Web.

1998 décembre — Rapport du vérificateur général du Canada

Points saillants

19.1 Les groupes de recherche et les spécialistes de l'industrie des technologies de l'information ont prévu une croissance phénoménale de l'utilisation d'Internet pour faire des affaires. Au gouvernement, Internet offre la possibilité de rationaliser les opérations et d'améliorer la prestation des services, ainsi qu'un autre moyen de faire des affaires. Dans un énoncé de politique, le gouvernement s'était engagé à ce qu'en 1998 le commerce électronique devienne son moyen privilégié de faire des affaires. Pour appuyer son programme « un Canada branché », il a aussi entrepris de devenir un utilisateur modèle de l'inforoute d'ici l'an 2000.

19.2 La vérification a porté sur l'utilisation d'Internet par le gouvernement à des fins internes et externes. Nous avons conclu que des progrès ont été réalisés dans les trois secteurs examinés, secteurs fondamentaux à l'appui du commerce électronique :

  • le projet d'infrastructure à clé publique du gouvernement en tant que mesure visant à assurer un commerce électronique protégé;
  • le cadre juridique appuyant la conduite des affaires par voie électronique;
  • les infrastructures technologiques communes permettant l'interopérabilité et l'accès transparent à l'information et aux services de l'ensemble des ministères et des organismes.
19.3 Néanmoins, nous avons relevé plusieurs risques importants qui pourraient miner le projet d'infrastructure à clé publique du gouvernement. L'élaboration du processus opérationnel utilisant Internet et la mise au point des applications informatiques connexes accusent du retard par rapport au projet. D'autre part, il reste à régler la question de la certification des particuliers, élément nécessaire à la prestation des services externes.

19.4 Le libellé des lois fédérales vise surtout le support papier; on a donc fait des démarches pour le généraliser. D'autres mesures s'imposent afin de gérer les risques de poursuite auxquels le gouvernement pourrait s'exposer par l'utilisation du commerce électronique.

19.5 Il faut un parrain principal pour faire avancer le commerce électronique au gouvernement. Un grand nombre de questions doivent être résolues avant que puissent s'établir des infrastructures communes adéquates pour appuyer la prestation des services entre plusieurs ministères et organismes.

19.6 Si le gouvernement ne s'occupe pas rapidement des risques recensés et des secteurs nécessitant une intervention, il pourrait ne pas atteindre pleinement son objectif de faire du commerce électronique son moyen privilégié de faire des affaires, et l'objectif selon lequel il veut devenir un utilisateur modèle de l'inforoute d'ici l'an 2000 pourrait aussi être menacé.

Introduction

Le commerce électronique au gouvernement

19.7 En général, l'expression « commerce électronique » désigne les activités opérationnelles et les transactions qui sont effectuées par voie électronique. Cela suppose que l'on utilise les technologies de l'information et les télécommunications pour diffuser de l'information, échanger des données et effectuer des transactions financières. L'expression n'est ni unique ni définie de façon précise. Parmi les autres expressions utilisées, on trouve notamment « commerce en ligne », « cybercommerce » et « affaires électroniques ». Le commerce électronique englobe une foule d'outils et de technologies - comme l'échange de données informatisées, le transfert électronique de fonds et Internet - qui appuient de nombreux types d'applications opérationnelles.

19.8 Dans ses documents de consultation publique, le gouvernement fédéral a ainsi défini le commerce électronique :

Le commerce électronique, qui est au coeur de l'économie de l'information, se définit comme un ensemble de transactions et d'activités commerciales informatiques et électroniques comprenant, en règle générale, le traitement et la transmission de données et de renseignements numérisés.

19.9 Pour le gouvernement, le commerce électronique suppose l'utilisation d'ordinateurs et de systèmes de télécommunications dans une vaste gamme d'activités - allant d'activités internes, comme l'administration et les opérations, à des activités externes, comme la prestation des services au public. Ces activités peuvent être de nature financière, comme le transfert électronique de fonds, ou non financière, comme la transmission ou l'échange de données et d'information.

19.10 Au fil des ans, les initiatives de commerce électronique ( voir la pièce 19.1 ) ont été sanctionnées et appuyées par des comités interministériels formés de cadres supérieurs, tels que le Sous-comité du Comité consultatif supérieur du Secrétariat du Conseil du Trésor sur la gestion de l'information (SCGI) et le Conseil du renouveau administratif.

19.11 En particulier, le Secrétariat du Conseil du Trésor a déterminé que le commerce électronique constituait une initiative clé dans la mise en oeuvre du Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information de 1994. Vers la fin de 1995, le Secrétariat a obtenu l'approbation des ministres du Conseil du Trésor en vue de la mise en oeuvre du Plan directeur.

19.12 En décembre 1995, le Secrétariat a écrit à tous les sous-ministres pour les informer que le Conseil du Trésor avait approuvé la mise en oeuvre du Plan directeur et qu'il en avait sanctionné les mesures et les initiatives précises. La promotion du commerce électronique comptait parmi ces initiatives. Le Secrétariat a indiqué que le gouvernement avait l'intention d'annoncer publiquement que le commerce électronique serait son moyen privilégié de faire des affaires. De plus, le Secrétariat a formulé l'orientation qui devait permettre d'avoir fait avancer considérablement la conduite par voie électronique des activités internes en 1997 et des activités externes en 1998. La lettre soulignait également que le gouvernement avait l'intention de devenir un utilisateur modèle de l'inforoute. Depuis, le Secrétariat s'est engagé à maintes reprises à ce qu'en 1998 le commerce électronique devienne son moyen privilégié de faire des affaires avec les autres gouvernements, les organisations privées et les Canadiens.

19.13 Dans le discours du Trône de septembre 1997, le gouvernement a pris l'engagement suivant :

Nous mettrons l'infrastructure de l'information et du savoir à la portée de tous les Canadiens d'ici l'an 2000, ce qui fera du Canada le pays le plus « branché » du monde.

Il a poursuivi en disant que brancher les Canadiens leur donnerait les compétences et les connaissances dont ils ont besoin pour profiter de l'infrastructure du savoir et de l'information qui évolue rapidement au pays. Une nation branchée est considérée comme un élément important qui permettra aux Canadiens de participer à l'économie mondiale fondée sur le savoir et d'en tirer parti.

19.14 Le Groupe de travail sur le commerce électronique d'Industrie Canada mène la transition vers un « Canada branché ». Au début de 1998, il a énoncé une stratégie en deux volets - national et international - pour faire du Canada un leader en matière de commerce électronique d'ici l'an 2000.

19.15 Le volet national cherchait surtout :

  • à amener les entreprises et les consommateurs à avoir confiance dans le commerce électronique;
  • à établir au besoin les règles de base pour le marché numérique;
  • à brancher les Canadiens à l'économie numérique en améliorant leur accès aux réseaux, en les sensibilisant davantage et en perfectionnant leurs compétences à cet égard.
19.16 Le volet international traitait de la nécessité d'établir un cadre mondial pour faciliter la croissance internationale du commerce électronique. Ce volet devait englober un cadre juridique, des règles pour régir le marché et la mise au point de l'infrastructure. La priorité immédiate pour ce volet était d'appuyer la conférence ministérielle de l'Organisation de coopération et de développement économiques (OCDE) en octobre 1998 à Ottawa, « Un monde sans frontières : concrétiser le potentiel du commerce électronique mondial ».

19.17 Le volet national traçait également les grandes lignes du rôle que le gouvernement devrait jouer à titre d'utilisateur modèle du commerce électronique. En « se branchant », le gouvernement du Canada deviendrait alors un leader mondial de la transmission d'information et de la prestation de services par Internet. Cet objectif renvoie à une recommandation formulée en 1995 par le Comité consultatif sur l'autoroute de l'information. Il concorde aussi avec l'orientation fixée par le Secrétariat du Conseil du Trésor à la fin de 1995, selon laquelle il fallait que le commerce électronique devienne en 1998 le moyen privilégié pour la conduite des affaires du gouvernement.

Un secteur prédominant de croissance future

19.18 Le gouvernement se sert de nombreuses technologies éprouvées pour remplacer les processus des secteurs de l'administration, des opérations et de la prestation des programmes et des services qui multiplient les formalités écrites et encombrantes. Par exemple, il verse des paiements à des millions de personnes en transférant des fonds par voie électronique dans leurs comptes de banque, ce qui élimine le besoin d'émettre et de traiter des chèques. Les contribuables peuvent soumettre leurs déclarations d'impôt grâce à l'échange de données informatisées, ce qui remplace les déclarations écrites et les documents connexes. En se servant de comptoirs et de centres de services, le gouvernement fournit électroniquement des informations importantes à ses clients, sur place et sans intervention de la part du personnel. En appliquant la norme technique X.400, les employés du gouvernement peuvent échanger des messages par voie électronique (courriel) entre tous les ministères et organismes. Aujourd'hui, le courriel est devenu un moyen de communication aussi important que l'audiomessagerie et le courrier postal.

19.19 Les ouvrages généraux ont montré qu'Internet représente un secteur prédominant de la croissance future du commerce électronique. Même si les statistiques sur l'utilisation d'Internet sont modestes, la croissance enregistrée jusqu'à maintenant a été impressionnante et les possibilités de croissance future sont énormes. Aux États-Unis, le commerce inter-entreprises par Internet a décuplé de 1996 à 1997, moment où il a atteint huit milliards de dollars américains; un groupe de recherche a prévu qu'il atteindra 327 milliards de dollars d'ici 2001, ce qui veut dire qu'il se multipliera par 40. Un autre groupe a estimé que le nombre d'entreprises américaines qui font affaire par Internet passera de 100 000 en 1998 à 600 000 en l'an 2000. Une étude réalisée par l'OCDE en 1997 souligne que les estimations les plus conservatrices du secteur privé prévoient que d'ici l'an 2000, le volume des transactions électroniques effectuées par les réseaux d'information mondiaux aura décuplé. Le commerce inter-entreprises par Internet devrait constituer une force majeure en Amérique du Nord et en Europe au cours des deux prochaines années.

19.20 En servant d'utilisateur modèle de l'inforoute et en poursuivant à l'échelle nationale l'objectif de « brancher les Canadiens », le gouvernement contribue à positionner le Canada dans une économie mondiale fondée sur le savoir. Traiter sur Internet représente un élément clé de la politique par laquelle le gouvernement veut faire du commerce électronique son moyen privilégié de conduire ses affaires. Le commerce électronique présente une occasion de trouver des moyens nouveaux et novateurs d'interaction avec le secteur privé, les autres niveaux de gouvernement et le public en vue de fournir des programmes et des services. Il aidera le gouvernement à répondre aux demandes prévues des utilisateurs externes au fur et à mesure que croissent l'accès et le recours à Internet. Au sein même du gouvernement, le commerce électronique peut être profitable pour l'administration et les opérations, car il permet d'accroître l'efficience et de réduire les coûts.

Objet de la vérification

19.21 La vérification a porté sur l'utilisation d'Internet que fait le gouvernement pour conduire des affaires - tant à l'interne qu'à l'externe - dans le cadre de la politique qu'il a énoncée sur le commerce électronique et de l'engagement qu'il a pris de servir d'utilisateur modèle de l'inforoute.

19.22 La vérification avait pour objet d'évaluer les progrès réalisés par le gouvernement à l'égard des trois principaux secteurs grâce auxquels il pourra faire des affaires par Internet : une infrastructure à clé publique comme moyen d'assurer un commerce électronique protégé; un cadre juridique à l'appui du commerce électronique; et des infrastructures technologiques communes. De plus, nous avons examiné quatre initiatives gouvernementales ayant trait à la prestation des services par voie électronique afin de déterminer les bonnes pratiques et les leçons qui pourraient en être tirées.

19.23 D'autres renseignements au sujet des objectifs, de l'étendue et des critères de la vérification se trouvent à la fin du présent chapitre, dans la section intitulée À propos de la vérification .

Observations et recommandations

Une infrastructure à clé publique

La solution du gouvernement pour un commerce électronique protégé
19.24 Pour passer des opérations écrites traditionnelles au commerce électronique par Internet, les utilisateurs doivent être convaincus que les opérations sont protégées et que l'on répond de façon appropriée à leurs préoccupations au sujet de la protection des renseignements personnels. De nouveaux outils technologiques et de nouvelles mesures de sécurité doivent être élaborés en vue d'appuyer un environnement protégé pour la conduite des affaires par voie électronique.

19.25 Pour que les opérations électroniques soient protégées, des mesures de sécurité différentes doivent remplacer les contrôles traditionnels qui rassurent les utilisateurs. La cryptographie fournit une protection dans quatre secteurs; elle fait en sorte : que les opérations restent confidentielles ( confidentialité ); qu'elles ne soient pas trafiquées ( intégrité ); qu'elles proviennent véritablement de la source déclarée ( authentification ); et que leur existence ne puisse pas être niée par l'auteur ( non-répudiation ). La pièce 19.2 présente un glossaire d'expressions choisies qui ont trait au principaux services crypto- graphiques publics. Ces expressions apparaissent en italique lorsqu'elles sont employées pour la première fois dans le chapitre.

19.26 En 1995, le gouvernement a déterminé que la nécessité d'une transmission protégée et privée des données constituait une question clé à laquelle il fallait répondre. Sous la direction d'un sous-comité du Conseil du renouveau administratif, on a entrepris des travaux en vue d'établir une infrastructure à clé publique pour le gouvernement. Les principales techniques de cryptographie à clé publique ont recours aux technologies pour chiffrer, déchiffrer et vérifier les données. En plus de la composante technique, une infrastructure est nécessaire pour gérer et coordonner au sein des ministères et des organismes l'administration des régimes de sécurité qui sont liés aux principaux services cryptographiques.

L'élaboration et la gestion de l'infrastructure sont en cours
19.27 Sous la direction du Conseil du renouveau administratif et de son sous-comité, un groupe de travail interministériel a commandé une analyse de rentabilisation en vue de l'élaboration d'une infrastructure à clé publique pour le gouvernement. Les auteurs de l'analyse de rentabilisation ont présenté trois options pour le déploiement des techniques à clé publique et ont recommandé que le gouvernement adopte une solution de portée générale.

19.28 La recommandation a été acceptée par le gouvernement. À la fin de 1995, le Conseil du Trésor a sanctionné le projet d'infrastructure à clé publique du gouvernement du Canada (ICP GC) et a approuvé les besoins connexes de financement. Le projet devait être terminé en 1998 et les ministères devaient pouvoir s'en servir dès décembre 1998. Le Secrétariat, à titre d'organisme de surveillance, a créé et présidé l'Autorité de gestion des politiques chargée d'énoncer les politiques relatives au projet de l'ICP GC et de fournir un cadre de gestion pour les ministères et organismes participant au projet. En partenariat avec une entreprise privée, le Centre de la sécurité des télécommunications du gouvernement a agi comme maître-d'oeuvre de la mise au point du produit technique. Le Centre s'est aussi vu confier le rôle d' autorité de certification centrale , en tant qu'établissement central pour le gouvernement.

19.29 En juillet 1996, le gouvernement a signé un contrat avec une entreprise privée afin qu'elle mette au point un produit d'infrastructure à clé publique (ICP) pour le gouvernement du Canada qui répond aux exigences de celui-ci. En juin 1998, l'entrepreneur a livré un produit d'ICP provisoire. Le Centre de la sécurité des télécommunications s'attendait à ce qu'en décembre 1998, la version provisoire du produit soit acceptée et sanctionnée en vue d'être utilisée par les ministères et les organismes.

19.30 Quatre des six ministères qui ont participé au financement initial du projet utilisaient les premières versions commerciales du produit dans le cadre d'un projet pilote. Ils prévoient passer à la version provisoire du produit d'ICP une fois que le Centre aura donné son approbation temporaire. De plus, un certain nombre d'autres ministères et organismes ont exprimé leur intérêt; certains ont acheté le produit commercial en quantité limitée et s'en servent pour en faire l'essai, surtout pour envoyer des messages internes protégés.

19.31 L'Autorité de gestion des politiques (AGP), établie au début de 1996 pour le projet de l'ICP GC était présidée par le dirigeant principal de l'information par intérim du Secrétariat du Conseil du Trésor. Un nouveau dirigeant principal de l'information a été nommé en mars 1997 et a assumé la présidence en décembre 1997. Même si le problème du passage à l'an 2000, qui est lié à l'utilisation de deux chiffres pour désigner l'année, est devenu la priorité de la Direction du dirigeant principal de l'information, le projet de l'ICP GC a gardé un caractère de priorité stratégique.

19.32 Au début de 1998, on a reconnu que d'autres ressources seraient nécessaires pour faire avancer l'élaboration des politiques et le cadre de gestion du projet de l'ICP GC. Le Secrétariat a créé le Groupe interministériel de mise en oeuvre de l'ICP qui, en juillet, disposait d'un effectif d'environ 15 personnes. Le directeur du Groupe est devenu le coprésident de l'AGP. Au début de juillet 1998, quelque onze sous-comités et groupes de travail avaient été créés, engageant plus de 300 employés de divers ministères et organismes ( voir la pièce 19.3 ). En outre, on a créé le Comité directeur interministériel principal, composé de hauts fonctionnaires et assumant un rôle consultatif auprès de l'AGP.

19.33 Lorsque nous avons terminé notre vérification au début de juillet 1998, le gouvernement, sous la direction de l'AGP, avait déterminé qu'il fallait huit politiques de certificat pour l'ICP GC. Les politiques représentent quatre niveaux d'assurance en matière de sécurité : rudimentaire, de base, moyenne et élevée. L'AGP a aussi dirigé l'élaboration puis l'approbation d'un cadre d'éléments dont il faut tenir compte dans une politique de certificat et dans un énoncé de pratiques de certification .

19.34 Les politiques de certificat et les énoncés de pratiques de certification constituent des instruments nécessaires pour guider la mise en oeuvre et la gestion d'une infrastructure à clé publique. Ces instruments sont essentiels à la certification réciproque , processus grâce auquel les utilisateurs des différentes organisations qui exploitent une infrastructure à clé publique sont assurés qu'ils peuvent faire confiance aux autres. Le Groupe interministériel de mise en oeuvre de l'ICP préparait un projet de politiques et s'attendait à ce qu'il soit terminé et prêt pour fins de consultation en août 1998. Une fois que les politiques de certificat auront été adoptées, tous les ministères et organismes qui décideront de participer au projet de l'ICP GC élaboreront des énoncés de pratiques de certification compatibles avec ces politiques.

19.35 En juillet 1998, nous avons constaté que des progrès avaient été réalisés dans divers secteurs du projet de l'ICP GC. Un produit technique provisoire avait été livré et attendait d'être approuvé par le Centre de la sécurité des télécommunications, et le cadre de gestion de la composante infrastructure était en voie d'élaboration. Toutefois, nous avons aussi observé que plusieurs risques importants pourraient miner le projet. Les paragraphes suivants traitent de ces risques.

Les applications utilisant l'infrastructure à clé publique n'ont pas encore été déterminées ni mises au point
19.36 L'analyse de rentabilisation du projet de l'ICP GC a été préparée de manière à ce que les options puissent être recensées et à ce qu'un plan d'action puisse être recommandé pour la prestation d'une cryptographie à clé publique à titre de mesure permettant le commerce électronique protégé au sein du gouvernement. Par conséquent, les options sont articulées autour des différents moyens d'assurer des services à clé publique. Les travaux appuyant l'analyse de rentabilisation ont porté sur les besoins futurs de services de cryptographie à clé publique. Toutefois, le projet n'a pas vraiment permis de cerner les applications opérationnelles électroniques susceptibles d'utiliser le produit de l'ICP GC lorsqu'il sera prêt et de faciliter la mise au point de celles-ci.

19.37 Lors de la préparation de l'analyse de rentabilisation, un groupe de travail a fait une enquête afin de déterminer l'importance de la demande gouvernementale à l'égard d'une infrastructure à clé publique pour appuyer le commerce électronique. L'enquête a été menée auprès de 26 ministères, organismes et sociétés d'État, représentant environ 15 p. 100 des entités gouvernementales et quelque 60 p. 100 des fonctionnaires fédéraux. En plus du Secrétariat du Conseil du Trésor, environ 14 entités, surtout de grands ministères, y ont répondu. L'enquête visait à faire participer directement les gestionnaires des opérations et le personnel chargé de la planification stratégique des opérations, mais le rapport d'enquête a permis de constater que les réponses de certains ministères avaient été préparées par des techniciens spécialisés en sécurité de l'information. D'après le rapport, même si ces techniciens étaient au courant des objectifs opérationnels stratégiques de leur ministère, il est aussi possible que ce facteur ait influé sur la qualité de l'évaluation de la demande.

19.38 Le rapport d'enquête présentait un résumé de la demande prévue de services de chiffrement et d'autorisation électronique de 1995 à 1999, par type d'utilisateur, à savoir fonctionnaire, entreprise privée et particulier. Les besoins étaient aussi classés par degré de certitude, allant de la demande possible à la demande ferme en passant par la demande probable.

19.39 Les résultats ont permis de prévoir, d'ici 1999, une demande ferme de services de chiffrement et d'autorisation électronique pour environ 45 000 fonctionnaires et 8 000 utilisateurs du secteur privé; aucune demande ferme n'a pu être prévue pour les particuliers. On a toutefois estimé que, d'ici 1999, le nombre d'utilisateurs pourrait dépasser 110 000 chez les fonctionnaires et atteindre 5,5 millions chez les particuliers. Les prévisions de coûts de l'analyse de rentabilisation étaient fondées sur l'information tirée du rapport d'enquête.

19.40 En 1998, le Secrétariat a convoqué plusieurs réunions pour discuter de la demande du produit commercial en vue de planifier une stratégie d'approvisionnement à l'échelle du gouvernement. Beaucoup de ministères et d'organismes se sont dit intéressés, mais la plupart n'étaient pas prêts à s'engager à acheter; le manque d'applications opérationnelles du produit était cité comme un obstacle majeur. La messagerie protégée entre les employés d'une organisation était l'application commune qui a vivement favorisé l'utilisation du produit commercial. Cela correspond aux prévisions faites dans le rapport d'enquête où il est estimé que parmi les 45 000 fonctionnaires utilisateurs qui devaient avoir besoin de services d'ici 1999, quelque 25 000 d'entre eux en auraient besoin pour l'envoi protégé de courriels internes.

19.41 Entre-temps, les gestionnaires et les administrateurs de programme des ministères et des organismes ont envisagé d'autres moyens de fournir des services et ont rationalisé les processus administratifs et opérationnels, la plupart du temps sans tenir compte du projet de l'ICP GC. Grâce aux divers comités interministériels et groupes de travail ainsi qu'aux comités consultatifs principaux et aux comités de surveillance, on est généralement sensibilisé aux différentes applications commerciales et aux initiatives mises de l'avant et on échange de l'information à leur sujet. Pourtant, aucune mesure directe n'a été prise pour coordonner les nouveaux processus opérationnels qui utilisent Internet, avec la mise au point des applications informatiques connexes et des services de cryptographie à clé publique qui les appuient.

19.42 Il y a un risque que le projet de l'ICP GC ne soit pas utilisé à sa pleine capacité au moment de la livraison. À notre avis, sans intervention directe, il est improbable que les processus opérationnels utilisant Internet et les applications informatiques connexes soient prêts lorsque les services de cryptographie à clé publique deviendront accessibles et seront officiellement approuvés à des fins d'utilisation au sein du gouvernement. Même si le problème du passage à l'an 2000 a préséance, il faut prendre des mesures pour encourager les gestionnaires de programme et les planificateurs des opérations du gouvernement à considérer l'utilisation d'Internet comme un autre moyen de fournir des services. De plus, les applications risquent aussi de viser les processus administratifs et opérationnels internes alors que le Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information prévoyait aussi la prestation des services externes par voie électronique.

Il faut une analyse plus approfondie des répercussions pour traiter avec le public
19.43 Les utilisateurs des services cryptographiques à clé publique doivent être enregistrés avant de pouvoir être reconnus comme des utilisateurs. Ils sont enregistrés seulement une fois que leur identité, le niveau d'autorité et le niveau d'assurance requis sont validés. Des certificats numériques uniques sont délivrés aux utilisateurs enregistrés. L'organisme qui délivre et gère ces certificats est l' autorité de certification . À l'instar de passeports électroniques, les certificats identifient les abonnés précis ainsi que leur niveau d'autorité et d'assurance. Ils appuient le processus de chiffrement, de déchiffrement et de vérification des données transmises. Les échanges entre utilisateurs relevant de la même autorité de certification devraient pouvoir se faire en toute sécurité.

19.44 À une époque où les réseaux publics sont ouverts, les utilisateurs relevant de différentes autorités de certification devront avoir des relations les uns avec les autres et certaines transactions devront se faire dans un environnement protégé. La confiance dans le système peut être maintenue seulement si les autorités de certification se font mutuellement confiance. Cette confiance peut être renforcée par la certification réciproque, processus par lequel le régime de sécurité et l'administration des certificats numériques sont vérifiés. La certification réciproque suppose également l'harmonisation des niveaux d'assurance pour les transactions.

19.45 Le processus de certification réciproque est technique et complexe et soulève des problèmes de gestion entre différentes organisations gouvernementales. C'est l'une des principales raisons qui pousse le gouvernement à élaborer de strictes politiques de certificat et la composante infrastructure de son projet de l'ICP GC. Le fait d'élargir les services de cryptographie à clé publique au-delà du gouvernement et de les faire entrer dans le domaine public complique encore le processus. Il soulève également beaucoup d'autres questions.

19.46 En voici un exemple. Logiquement, un fonctionnaire serait enregistré soit par sa propre organisation, soit par une autre entité gouvernementale chargée de cette responsabilité. Or, pour ce qui est des particuliers, la question de savoir qui est l'autorité de certification n'est pas évidente, pas plus qu'elle n'est dénuée d'intérêt.

19.47 Si le gouvernement devait se charger de certifier les particuliers, il pourrait demander à tous les ministères et organismes d'enregistrer les particuliers qui utilisent leurs propres programmes et services ou de mettre sur pied un point de service unique qui enregistrerait les particuliers pour toutes leurs transactions avec différents ministères et organismes, ou encore avoir recours à une combinaison des deux possibilités. Par ailleurs, le gouvernement pourrait demander aux particuliers de s'enregistrer auprès d'autorités de certification du secteur privé et il pourrait faire la certification réciproque avec l'aide de ces autorités pour assurer des transactions commerciales électroniques protégées entre le gouvernement et le public.

19.48 Chaque option comporte des avantages, des inconvénients et des conséquences. Une approche « chacun pour soi » entraînerait des chevauchements et ferait augmenter les coûts. De plus, les particuliers seraient peut-être obligés d'avoir de nombreux certificats numériques pour recevoir des services du gouvernement ou pour faire des transactions avec lui. Le concept « un utilisateur, un certificat » est au coeur du problème - ce qui veut dire qu'un particulier obtiendrait et utiliserait un seul ensemble de certificats pour faire des affaires avec le gouvernement. Quelle que soit la politique éventuelle du gouvernement sur la délivrance des certificats, certains particuliers s'attendraient à ce que le gouvernement fasse tout son possible pour réduire au minimum le nombre de certificats dont ils ont besoin.

19.49 En revanche, demander à une seule organisation gouvernementale d'agir comme autorité de certification des particuliers pourrait soulever des questions en matière de protection des renseignements personnels et exposer l'État à des risques de poursuite. Il faudrait alors garder en un seul endroit une forte concentration de données personnelles sous forme électronique; la certification d'un particulier par le gouvernement s'exposerait au risque de mauvaises utilisations ou d'abus.

19.50 Si le gouvernement faisait appel à des autorités de certification du secteur privé, les particuliers s'enregistreraient auprès de celles-ci et le gouvernement aurait à prévoir des mesures de certification réciproque avec chacune d'elles. Cela compliquerait les choses et pourrait soulever un défi de taille. De plus, le gouvernement aurait à régler des questions de principe, comme celle de savoir s'il faudrait choisir des autorités de certification du secteur privé pour la certification réciproque ou limiter leur nombre et celle de savoir, le cas échéant, dans quelle mesure le gouvernement devrait inciter le secteur privé à investir dans ce domaine.

19.51 Une autre question : les coûts éventuels pour le public. Peu importe l'autorité de certification choisie, le particulier devra engager des coûts pour son enregistrement initial, pour le maintien de sa certification et, au besoin, pour les changements et les renouvellements. S'il s'agissait d'un service gouvernemental, la mesure dans laquelle les coûts seraient recouvrés au moyen de frais d'utilisation serait une question de politique; s'il s'agissait d'un service du secteur privé, le public se verrait probablement imposer des frais. Ces facteurs influeront sur les services que le gouvernement souhaite offrir par voie électronique, et celui-ci devra les étudier avec soin.

19.52 Alors que l'enquête sur la demande effectuée à l'appui du projet de l'ICP GC a prévu une demande importante de services de chiffrement et d'autorisation de la part du public, son architecture technique est surtout axée sur les ministères et les organismes. L'Autorité de gestion des politiques et les prestataires éventuels de services du secteur privé ont peu dialogué avant 1998. Ce n'est qu'au cours des derniers mois que les répercussions de la certification du public ont commencé à faire l'objet d'analyses. Dans un rapport qu'il a préparé en mai 1998, un groupe de travail interministériel a recommandé que des ressources soient affectées aux fins d'une évaluation en profondeur, d'une analyse de faisabilité et de la détermination d'une option privilégiée pour l'enregistrement des utilisateurs externes.

19.53 La question de la certification des particuliers est complexe et comporte des répercussions importantes. Si le gouvernement ne la règle pas rapidement, d'autres options pourraient surgir et compliquer par la suite la coordination d'une approche commune. Cela pourrait gravement compromettre le rendement de ce que le gouvernement a investi dans le projet de l'ICP GC et restreindre la portée des affaires protégées que le gouvernement pourrait faire par Internet.

Autres défis à relever au niveau de l'élaboration et de la mise en oeuvre
19.54 La certification réciproque à clé publique est nouvelle et complexe, et il reste à en faire la démonstration dans des applications réelles. Elle exige une discipline stricte et un respect absolu des politiques de certificat et des énoncés de pratiques connexes. Au gouvernement, l'architecture technique actuelle s'articule autour de sept autorités de certification au niveau ministériel, le Centre de sécurité des télécommunications agissant comme établissement central chargé de la certification réciproque. Le projet de politiques de certificat est toujours en voie d'élaboration et il reste encore à être adopté par les autorités de certification. L'application de la certification réciproque pourrait poser un défi important au niveau de la mise en oeuvre du projet de l'infrastructure à clé publique du gouvernement.

19.55 Nous avons aussi remarqué que l'élaboration du produit accuse des retards. Le contrat initial prévoyait la livraison du produit technique en 1998, à un moment qui aurait donné au gouvernement le temps de l'accepter et d'en approuver le déploiement vers la fin de l'année.

19.56 L'entrepreneur a livré une version provisoire en juin. Selon l'information obtenue du Centre de la sécurité des télécommunications, une mise à jour serait faite à l'automne et la version devrait être approuvée temporairement aux fins d'utilisation en décembre 1998. D'après le Centre, la version provisoire du produit est mise à l'essai pour les niveaux d'assurance rudimentaire et de base, et peut-être pour le niveau d'assurance moyenne. Un produit final supportant tous les niveaux d'assurance est maintenant attendu pour l'été de 1999 et l'acceptation et l'approbation finales du gouvernement, vers la fin de la même année.

19.57 De plus, les normes applicables aux produits cryptographiques évoluent. Par l'intermédiaire du projet de l'ICP GC, le gouvernement a adopté certaines normes techniques qui permettent l'interopérabilité de différentes technologies au sein du gouvernement. Ces normes ne sont pas sanctionnées par une organisation de normalisation accréditée et elles sont soumises aux forces du marché. Comme les normes évoluent, elles risquent d'être supplantées par d'autres, ce qui occasionnerait des retards supplémentaires dans l'élaboration du produit et entraînerait peut-être des incompatibilités avec certains partenaires commerciaux et des segments du secteur privé.

19.58 Selon les estimations de l'analyse de rentabilisation effectuée à l'appui du projet, les coûts totaux pour 16 ministères se situaient à environ 35 millions de dollars pour la période de cinq ans se terminant en 1999 et les coûts ultérieurs de fonctionnement continu atteignaient environ quatre millions de dollars par année. Les estimations n'incluaient pas les coûts éventuels des mises à niveau, de la maintenance et du soutien. Dans un secteur en évolution aussi rapide que celui de l'ICP, la sous-évaluation des coûts de fonctionnement annuels peut être importante. De plus, l'analyse de rentabilisation portait principalement sur l'utilisation de la cryptographie au sein du gouvernement. Les estimations ne tenaient pas compte des coûts liés à la certification des particuliers ni de la possibilité qu'il faille financer les autorités de certification du secteur privé ou partager les coûts avec elles. Si les estimations ne reflètent pas les coûts entiers d'un projet, il sera difficile d'évaluer le rendement et d'en faire rapport à une date ultérieure. En outre, cela peut mettre en doute le rendement prévu de l'investissement du projet.

19.59 Les risques et les défis que nous avons notés peuvent gravement compromettre la mesure dans laquelle l'infrastructure à clé publique permettra d'assurer un environnement protégé pour le commerce électronique. Ils peuvent miner la politique selon laquelle le gouvernement veut faire du commerce électronique son moyen privilégié de conduire des affaires ainsi que son objectif de devenir un utilisateur modèle de l'inforoute.

19.60 Le gouvernement devrait prendre rapidement des mesures pour recenser et élaborer les applications qui nécessitent la transmission protégée de données. Il devrait demander aux gestionnaires des opérations et de programme des ministères et des organismes de participer directement aux travaux du Groupe interministériel de mise en oeuvre de l'infrastructure à clé publique du Secrétariat du Conseil du Trésor ainsi qu'au projet sur l'infrastructure à clé publique du gouvernement du Canada en vue d'optimiser l'utilisation de l'infrastructure pour appuyer le commerce électronique protégé dans l'ensemble du gouvernement.

19.61 Le gouvernement devrait régler simultanément la question de la certification des particuliers et celle de l'élaboration du produit technique et du cadre de gestion de l'infrastructure à clé publique, notamment consulter le secteur privé et les autorités de certification éventuelles du public.

19.62 Le gouvernement devrait gérer les risques déjà décelés et les autres risques au fur et à mesure qu'ils se poseront. Il devrait surtout :

  • mettre en oeuvre de petites applications le plus tôt possible pour montrer que la certification réciproque entre un petit nombre d'autorités de certification gouvernementales est viable et que différentes plates-formes technologiques peuvent fonctionner les unes avec les autres;
  • suivre de près l'évolution des normes pour faire en sorte que son infrastructure à clé publique y reste conforme;
  • élargir la portée des estimations de coûts de l'analyse de rentabilisation de manière à mieux évaluer le rendement de l'investissement et à fournir un fondement approprié pour la prise de décisions et la communication de l'information sur le rendement.
Réponse du gouvernement : Nous sommes heureux que le vérificateur général ait entrepris une vérification du commerce électronique. Le commerce électronique ou la prestation des services par voie électronique constituera l'un des principaux moyens utilisés pour améliorer les services offerts aux Canadiens. C'est un secteur en évolution constante étant donné les avancements technologiques rapides qui s'y produisent. Depuis juillet, moment où la vérification a pris fin, des progrès ont été réalisés dans de nombreux domaines.

Nous sommes d'accord pour dire qu'il faut faire participer les gestionnaires des opérations et de programme au projet d'infrastructure à clé publique du Secrétariat du Conseil du Trésor, et des consultations avec ces groupes sont en cours. L'inventaire récent des activités liées à l'ICP dans l'ensemble du gouvernement dresse la liste d'une centaine d'activités prévues ou en cours. La consultation et l'échange d'information se poursuivront. Un comité de niveau supérieur composé de gestionnaires des opérations venant de partout au gouvernement assure aux gestionnaires de programme un leadership dans ce domaine.

Des consultations avec les provinces et le secteur privé sur des questions comme la certification des particuliers et la certification réciproque sont en cours. Le Conseil des dirigeants principaux de l'information du secteur public, créé en mars dernier, examine ces questions dans le contexte d'une approche harmonisée pour la mise en oeuvre de l'ICP à l'échelle du Canada. Le modèle proposé pour la politique de certificat de l'ICP GC est actuellement examiné par des organisations publiques et privées.

La mise en oeuvre initiale de l'ICP dans sept ministères visait à répondre aux besoins internes de ceux-ci. Elle s'est faite dans le cadre d'un projet officiel et, à ce titre, elle est gérée par le Centre de la sécurité des télécommunications. Le passage du gouvernement à la prestation des services par voie électronique se fera dans le cadre de nombreux projets et sera géré par des ministères individuels. Le Secrétariat du Conseil du Trésor assurera la coordination et la surveillance de ces initiatives, mais il veillera à ne pas compromettre l'obligation de rendre des comptes qui incombera aux gestionnaires de projet individuels.

L'approche générale pour le projet d'infrastructure à clé publique est d'utiliser un logiciel de série. C'est une approche rentable qui assure une plus grande compatibilité qu'une approche personnalisée. Le Groupe interministériel de mise en oeuvre de l'ICP suit de près l'évolution des normes en vue d'assurer une conformité continue. Grâce aux consultations avec d'autres organismes canadiens et internationaux, le gouvernement se tient au courant des tendances et des activités dans ce domaine.

Les ministères prépareront des analyses de rentabilisation, non pas pour l'ICP comme telle, mais pour des applications adaptées à l'ICP qui visent à répondre à des besoins opérationnels précis. Ces applications permettront aux ministères de faire des affaires en toute sécurité à l'intérieur du gouvernement, entre administrations et avec les Canadiens. L'approche du gouvernement est de parachever la phase 1, soit mettre en place l'infrastructure pour appuyer les applications adaptées à l'ICP au fur et à mesure qu'elles seront mises au point et déployées.

Questions juridiques

L'élimination des limites éventuelles des textes juridiques est en cours
19.63 En 1995, le Conseil du renouveau administratif a confié à un groupe de travail la tâche de déterminer et de régler les questions juridiques liées à la stratégie gouvernementale en matière de sécurité de l'information électronique. Son rapport traçait un aperçu des diverses questions juridiques qui se posaient. En mars 1996, le ministère de la Justice a mandaté le Secrétariat au commerce électronique pour qu'il fournisse des avis juridiques sur les technologies du commerce électronique. Le secrétariat précité a reconnu qu'il n'y avait aucun cadre juridique distinct pour le commerce électronique et que l'on devrait peut-être adapter à la conduite des affaires par voie électronique les cadres juridiques et opérationnels d'une époque où la numérisation n'existait pas. On a proposé un cadre juridique qui visait trois objectifs :

  • rendre les dispositions législatives neutres au point de vue des supports exigés (faire en sorte qu'elles s'appliquent à tous les supports);
  • veiller à la reconnaissance de l'autorisation électronique protégée;
  • revoir les règles de la preuve pour les dossiers électroniques.
19.64 Le ministère de la Justice a examiné les lois fédérales pour voir si leur libellé visait surtout le support papier. Au terme d'une recherche électronique à partir de mots clés comme « formulaires », « notarié » et « écrit », le Ministère a constaté que ces mots se trouvaient dans 330 des quelque 600 lois.

19.65 À la suite de l'examen, le Ministère a déterminé que la rédaction de dispositions générales ou globales serait plus efficiente et permettrait une plus grande uniformité que la modification individuelle des lois. Entre autres, les dispositions générales serviraient d'outil pour interpréter les lois existantes de façon neutre au point de vue des supports. Elles offriraient une option supplémentaire et n'empêcheraient pas l'utilisation des mécanismes axés sur le support papier en vertu des lois existantes.

19.66 De plus, le ministère de la Justice a déterminé que la Loi sur la preuve au Canada devait être modifiée de manière à permettre que des dossiers électroniques soient déposés en preuve. Le groupe de travail de 1995 a aussi établi la nécessité éventuelle d'examiner et de modifier cette loi.

19.67 Au début de mai 1998, le Ministère a diffusé un document de travail intitulé « Facilitation du commerce électronique : lois, signatures et preuve ». Le document faisait état de ce que le Ministère se proposait de faire, comme il est indiqué aux paragraphes 19.65 et 19.66, pour éliminer les limites éventuelles qu'il avait recensées. Il prévoyait terminer ses consultations à la fin de l'été. À la suite de notre vérification, le Ministère nous a fait savoir que le gouvernement l'avait autorisé à rédiger les amendements et que le projet de loi serait prêt à être déposé à la Chambre des communes à l'automne de 1998.

19.68 Par ailleurs, le Ministère travaille avec les provinces et les territoires en vue d'élaborer une approche harmonisée. Il participe au projet sur le commerce électronique de la Conférence pour l'harmonisation des lois au Canada. La Conférence avait notamment envisagé d'approuver de façon définitive vers la fin août son projet de loi intitulé Loi uniforme sur la preuve électronique ; l'essentiel de ce projet de loi était incorporé dans les modifications proposées pour la Loi sur la preuve au Canada .

Une analyse plus approfondie et la recherche d'une solution s'imposent en raison des risques de poursuite
19.69 Le commerce électronique protégé par Internet constitue un autre moyen de faire des affaires. Toutefois, des pertes et des dommages peuvent se produire en raison d'ignorance, de négligence, d'abus ou de tentative délibérée d'abus et entraîner des risques de poursuite. La prestation des services gouvernementaux par voie électronique s'accompagne de nouveaux dangers qui sont susceptibles d'exposer l'État à des risques de poursuite.

19.70 La nécessité de composer avec ces risques éventuels de poursuite a été généralement reconnue. En plus des lois, le cadre juridique comprend d'autres instruments comme les protocoles d'entente, les ententes contractuelles et les politiques de certificat qui constituent le fondement de la certification réciproque. Les premières analyses effectuées par le Sous-comité des questions politiques et juridiques ont révélé que ces instruments pouvaient être utilisés pour limiter les risques de poursuite de l'État. Néanmoins, il reste à déterminer l'importance des risques de poursuite, s'il y en a, dans les cas où il n'existe aucune relation contractuelle et où les tiers choisissent de se fier à l'information du gouvernement.

19.71 Par conséquent, les membres de la communauté juridique du gouvernement ont proposé que chaque application articulée autour de l'infrastructure à clé publique soit précédée d'une évaluation des risques et des menaces au point de vue juridique. L'évaluation déterminerait et établirait la vulnérabilité sur le plan juridique de manière à ce que cette dernière puisse être réglée en conséquence, grâce à divers instruments du cadre juridique. L'Autorité de gestion des politiques a aussi incité les participants au projet de l'ICP GC à proposer divers scénarios qui pourraient être utilisés pour analyser plus à fond les questions de responsabilité.

19.72 Le gouvernement devrait veiller à ce que les risques de poursuite soient recensés et réglés au fur et à mesure qu'il entreprendra de nouvelles initiatives en matière de commerce électronique.

Réponse du gouvernement : De nouvelles dispositions législatives fourniront un cadre pour le commerce électronique. Le gouvernement est conscient des préoccupations au sujet des risques de poursuite. Il veillera à ce que les ministères soient sensibilisés à toutes les répercussions juridiques du commerce électronique, y compris les risques de poursuite éventuels, et à ce qu'ils gèrent ces risques en conséquence.

Intervention nécessaire en vue de l'élaboration d'une orientation et de l'établissement d'infrastructures technologiques communes adéquates

19.73 Le Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information prévoyait que le gouvernement utiliserait les technologies de l'information non seulement à l'interne, mais aussi pour offrir ses services au public par voie électronique. L'accès transparent aux services devra être soutenu par des infrastructures technologiques communes, de manière à ce qu'il y ait interopérabilité entre les diverses plates-formes technologiques des différents ministères et organismes, c'est-à-dire qu'elles puissent fonctionner facilement les unes avec les autres.

Il faut un parrain principal pour diriger le commerce électronique au gouvernement
19.74 Pour que le gouvernement réussisse en 1998 à faire du commerce électronique le moyen privilégié de conduire ses affaires, il aurait été raisonnable de s'attendre qu'il fasse suivre son annonce publique de 1995 par un plan stratégique, qui aurait été dirigé par un parrain principal et coordonné avec les plans et les interventions des ministères et des organismes.

19.75 Sous la direction du Secrétariat du Conseil du Trésor, un document stratégique intitulé Commerce électronique : la vision et le programme d'action a été préparé en 1995 afin d'orienter l'initiative en matière de commerce électronique. Le document énonçait plusieurs initiatives et désignait un certain nombre de ministères et de groupes de travail qui devaient y donner suite. En raison du roulement du personnel et des changements de priorités au Secrétariat, de nombreuses initiatives n'ont toutefois pas été poursuivies après 1996.

19.76 Au début de juillet 1998, il n'y avait ni stratégie globale ni plan pour mettre à jour le document stratégique de 1995 et pour orienter le gouvernement vers son objectif. Rien ne précisait ce qui devait être accompli en 1998 ou ce que supposait le rôle d'utilisateur modèle d'ici l'an 2000. En outre, il n'existait pas de définition commune du commerce électronique au gouvernement. Les ministères et les organismes ont élaboré diverses initiatives en la matière, mais aucun effort de coordination n'a été déployé. Même si un comité interministériel de sous-ministres a demandé que les progrès du commerce électronique au gouvernement soient surveillés et que des données précises soient recueillies, rien n'a été fait en ce sens.

19.77 Le principal effort du Secrétariat pour faire avancer le commerce électronique au gouvernement a été déployé par son groupe de mise en oeuvre de l'ICP. Les services de cryptographie sont indispensables pour inspirer la confiance dans le commerce électronique protégé, mais ce ne sont pas des services essentiels pour tous les types de transactions internes et externes du gouvernement. Par exemple, on a dit avoir besoin, pour une seule des quatre initiatives que nous avons examinées, des services assurés au moyen de l'infrastructure à clé publique du gouvernement.

19.78 Les ministères et les organismes font progresser leurs propres initiatives en matière de commerce électronique. Toutefois, pour que le commerce électronique progresse à l'échelle du gouvernement, il faut qu'un parrain principal évalue les progrès du gouvernement et établisse l'orientation future. Sans ce parrain, le gouvernement risque de ne pas atteindre l'objectif de sa politique ni de respecter son engagement, à savoir devenir un utilisateur modèle. Fait encore plus important, l'objectif envisagé dans le Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information pourrait ne pas être pleinement atteint.

D'autres efforts sont nécessaires à l'élaboration de normes et de lignes directrices en matière de technologies
19.79 Au Secrétariat, la Direction du dirigeant principal de l'information est responsable de la formulation des normes pour l'ensemble du gouvernement. Les normes formulées par le Secrétariat sont promulguées à titre de normes du Conseil du Trésor sur la technologie de l'information (NCTTI) et font partie des politiques du Conseil du Trésor qui s'appliquent à l'ensemble du gouvernement.

19.80 Dans le cadre du projet de l'infrastructure à clé publique du gouvernement, la définition et l'adoption de normes ouvertes à l'appui de la certification réciproque et du recours aux services de cryptographie progressent. Par exemple, des normes sont établies pour les annuaires électroniques au gouvernement de manière à ce que les autorités de certification puissent y inclure des certificats électroniques permettant au gouvernement ou aux particuliers d'y accéder.

19.81 Cependant, les efforts d'actualisation des NCTTI sont lents. Il faut des normes technologiques pour appuyer les infrastructures communes de sorte que différentes plates-formes technologiques puissent fonctionner entre elles. Les infrastructures communes facilitent l'accès transparent par le public à l'information et aux services de différents ministères et organismes. Dans le chapitre 16 de notre rapport de 1996, nous soulignions que de nombreuses NCTTI étaient d'une pertinence douteuse et qu'elles étaient supplantées par des normes de fait dans l'industrie des technologies de l'information. Au cours de la présente vérification, nous avons remarqué que la nécessité d'adopter des normes à l'appui d'infrastructures communes avait fait l'objet de discussions à de nombreuses tribunes interministérielles. Mais rien n'a été fait pour déterminer les types de normes nécessaires et les normes précises que le gouvernement devrait adopter.

19.82 Grâce aux travaux d'un comité interministériel, le Secrétariat du Conseil du Trésor a préparé un guide sur Internet. Le guide est accessible sur Internet et fournit des orientations techniques pour la création de sites Web. Nous avons constaté que l'ampleur des orientations pourrait être élargie et que plus d'importance pourrait être accordée à l'utilisation du guide par les ministères et les organismes.

19.83 Le guide contient principalement des orientations techniques pour la création de sites Web. Il contient aussi des orientations pour aider les utilisateurs des ministères et des organismes à tenir compte du principe gouvernemental de « présentation uniforme » et de « facilité d'utilisation ». Le principe de présentation uniforme veut que les sites Web partagent certaines caractéristiques communes de manière à ce que les particuliers puissent facilement déterminer qu'ils consultent un site Web du gouvernement. Le principe de facilité d'utilisation veut que la navigation sur les sites soit facile pour que les utilisateurs puissent accéder à l'information rapidement et efficacement. Toutefois, ni ce guide ni d'autres guides ne fournissent d'orientation sur des questions comme l'analyse de l'incidence d'un service Internet sur les utilisateurs et l'examen des préoccupations liées à la sécurité et à la protection des renseignements personnels.

19.84 Nous avons aussi constaté que l'accès au guide du Secrétariat sur Internet ainsi que son utilisation ne faisaient pas l'objet d'un suivi et qu'il n'existait pas de mécanisme de rétroaction. La longueur du guide ne facilite pas sa consultation sur Internet, et aucune copie papier n'a été distribuée.

19.85 En 1995, Travaux publics et Services gouvernementaux Canada a reçu l'approbation en vue d'établir un site Internet pour le Canada qui assurerait au gouvernement fédéral une présence sur Internet. Ce site devait aussi fournir un accès à guichet unique à l'information et aux services du gouvernement. Le concept de guichet unique a été abordé dans le Plan directeur en 1994 et appuyé par le Conseil consultatif sur l'autoroute de l'information, dans son rapport de 1995. Le site à l'adresse http://www.canada.gc.ca est entré en service en décembre 1995. Son utilisation a presque décuplé, passant d'environ 500 000 visites par mois au début de 1996 à environ cinq millions de visites par mois au début de 1998.

19.86 Le site Internet du Canada a donné suite à l'exigence initiale de fournir un point commun d'accès à l'information gouvernementale. Pourtant, le site n'est pas convivial et il ne facilite pas un accès transparent aux divers services gouvernementaux, surtout les services qui concernent plus d'un ministère ou plus d'un organisme. Dans la plupart des cas, un utilisateur doit savoir exactement quel ministère ou organisme fournit un service particulier pour pouvoir y accéder. Depuis sa mise en oeuvre, le site est demeuré statique; les changements se sont limités à la maintenance courante. Le Ministère nous a informés qu'il est conscient des lacunes du site et qu'il a l'intention d'y remédier. Sous réserve de la disponibilité des ressources, il compte adopter, pour le site, une orientation axée sur le client. Le Ministère nous a signalé que, depuis la fin de la vérification, on fait des démarches pour aider les utilisateurs à consulter les renseignements sur le site Internet du Canada.

19.87 Deux ans et demi après la diffusion de l'énoncé de politique sur le commerce électronique, il n'y a toujours pas de parrain principal pour définir une orientation future, et il reste beaucoup de questions à régler pour arriver à l'infrastructure commune nécessaire.

19.88 Le gouvernement devrait nommer un parrain principal qui aurait pour mission de faire progresser, au sein de l'administration fédérale, l'utilisation du commerce électronique et de faire du gouvernement un utilisateur modèle de l'inforoute. Il devrait notamment songer à prendre les mesures suivantes :

  • définir le commerce électronique au gouvernement;
  • élaborer une stratégie et prévoir une orientation pour le commerce électronique au-delà de 1998, en précisant les produits et services à fournir et les dates de livraison;
  • répartir les responsabilités, en définissant clairement les rôles et les mandats des personnes désignées et en les appuyant au moyen des pouvoirs et des ressources nécessaires;
  • assurer la surveillance et suivre les progrès;
  • communiquer périodiquement de l'information sur le rendement au Parlement.
19.89 Le Secrétariat du Conseil du Trésor devrait intensifier ses efforts en vue d'établir et d'adopter les normes technologiques qui appuieront les infrastructures communes au gouvernement. Il devrait voir à ce que les normes à l'appui de l'infrastructure à clé publique du gouvernement soient en place et à ce qu'elles soient respectées lorsque le produit cryptographique sera prêt à être déployé.

Réponse du gouvernement : En avril de cette année, le gouvernement a indiqué qu'afin de mieux respecter son engagement à l'égard des principes visant l'amélioration du service, il avait établi, au sein du Secrétariat du Conseil du Trésor, un nouveau secteur dont le mandat était de se concentrer sur les moyens à utiliser à l'échelle du gouvernement pour améliorer les services offerts aux Canadiens. La création de ce nouveau secteur s'est inscrite dans les efforts continus et concentrés que déploie le Secrétariat pour que le commerce électronique devienne le moyen privilégié par le gouvernement de conduire les affaires. Le nouveau secteur axe ses activités sur la priorité du gouvernement, c'est-à-dire « brancher » tous les Canadiens et mettre l'infrastructure de l'information à la disposition de tous les Canadiens d'ici l'an 2000. Les canaux de la prestation des services par voie électronique incorporeront et utiliseront l'infrastructure à clé publique, le cadre juridique et les infrastructures technologiques communes qui sont visés par la présente vérification.

Récemment, le Premier ministre a indiqué que le gouvernement appuyait le commerce électronique en disant que : « Le gouvernement fédéral n'est pas le seul à s'attaquer aux grandes questions relatives au commerce électronique. Avec le monde des affaires, les consommateurs et les autres paliers de gouvernement, nous progressons sur divers plans intéressant le commerce électronique, et je mentionne ici la fiscalité, la propriété intellectuelle, le droit à la vie privée, le cadre juridique et la politique en matière de cryptographie. »

Il convient de noter que la fonction de parrain est une responsabilité générale du gouvernement, les ministères jouant un rôle important. La fonction principale de parrain relève de plus d'un seul ministère ou sous-ministre. Le commerce électronique représente une nouvelle façon de faire des affaires et exige de nouvelles approches. Les questions sont horizontales et intéressent tous les ministères. Il est important de reconnaître cette responsabilité horizontale.

Les progrès du gouvernement en matière de commerce électronique seront communiqués dans le Rapport sur les plans et les priorités et dans le Rapport sur le rendement du Secrétariat du Conseil du Trésor.

Le gouvernement tient compte de la nécessité d'avoir des normes en matière de technologies de l'information. Les principales normes technologiques pour la messagerie protégée, les annuaires, les « cartes à mémoire » et les documents font l'objet d'un examen en vue d'être adoptées ou proposées pour adoption. L'établissement de normes supplémentaires à l'appui de l'ICP se fera selon les besoins et en fonction de la priorité relative de ces normes. Un examen interne des normes nécessaires à la mise en oeuvre de l'ICP, du commerce électronique et de la prestation des services par voie électronique sera entrepris à l'automne. Cet examen devrait permettre de recenser un certain nombre de projets en matière de normes qui devraient être amorcés ou réactivés.

Initiatives de commerce électronique au gouvernement - Un profil

19.90 Dans le cadre de la vérification, nous avons choisi et examiné quatre initiatives de commerce électronique au gouvernement. L'examen avait pour objet de recenser les bonnes pratiques et les leçons tirées des premières expériences du gouvernement en prestation des services par Internet. La pièce 19.4 contient une brève description des initiatives et un sommaire de nos constatations.

19.91 Les quatre initiatives ont recours à Internet pour assurer des services gouvernementaux à des particuliers ou à des entreprises canadiennes. Trois de ces initiatives imposent des frais pour les services rendus. Une fois mises en oeuvre, deux initiatives compléteront des services existants qui utilisent le papier, alors que les autres initiatives deviendront le seul moyen d'avoir accès à ces mêmes services.

19.92 Certaines initiatives sont menées dans le cadre de projets pilotes, alors que d'autres ont été pleinement mises en oeuvre. Les initiatives vont des plus simples aux plus complexes. Elles nécessitent des caractéristiques de sécurité de divers niveaux, allant de l'authentification de l'identité des utilisateurs jusqu'à la protection de l'intégrité des données transmises et la perception des droits d'utilisation.

Bonnes pratiques et leçons éventuelles à en tirer
19.93 Une initiative a comporté le remaniement d'un processus opérationnel de concert avec les parties intéressées. L'Office national de l'énergie procède à l'élaboration du système de dépôt électronique des demandes relatives à la réglementation avec un groupe d'entreprises privées qu'il réglemente et la Commission de l'énergie de l'Ontario. Une fois mis en oeuvre, le système transformera le processus de dépôt des mémoires pour les audiences de l'Office en un processus de dépôt par voie électronique. Il permettra aussi aux éventuels intervenants aux audiences de télécharger les parties pertinentes des documents pour leur usage personnel. Actuellement, une seule audience oblige souvent l'entreprise qui présente un mémoire à copier et à distribuer des centaines de milliers de pages de texte. En élaborant le projet, l'Office a tenu compte de son incidence sur les participants au programme (sociétés pétrolières et gazières réglementées), les autres paliers de gouvernement (organismes de réglementation provinciaux) et les autres intervenants (le public ou les autres entreprises privées qui pourraient être touchées par un mémoire).

19.94 Pour deux des projets examinés, les responsables ont étudié la possibilité d'un partenariat avec le secteur privé et font maintenant participer des entreprises privées à la prestation des services par voie électronique. Grâce à son système MERX, Travaux publics et Services gouvernementaux Canada impartit la transmission d'information aux fournisseurs qui soumissionnent à des contrats d'approvisionnement. Le Ministère et les provinces participantes assurent le contenu, l'entreprise privée crée et tient le site Web ainsi que le système de facturation par lequel des frais d'utilisation sont imposés et recueillis.

19.95 Pour percevoir les frais d'utilisation de son application « Statistiques en direct », Statistique Canada retient les services d'une institution financière qui s'occupe de toutes les transactions par carte de crédit. Une solution interne aurait obligé le gouvernement à recourir à des services cryptographiques à clé publique. Elle aurait aussi obligé Statistique Canada à certifier directement les utilisateurs ou à en assurer la certification réciproque avec les autorités de certification de ces utilisateurs. De plus, comme nous l'avons constaté, l'approbation en vue du déploiement du produit technique pour l'infrastructure à clé publique du gouvernement n'est pas prévue avant décembre 1999, ce qui aurait retardé la mise en oeuvre du projet de Statistique Canada. En juillet 1998, l'initiative « Statistiques en direct » fonctionnait depuis environ deux ans.

19.96 Le Cadre amélioré de gestion du gouvernement qui s'applique à la gestion des projets des technologies de l'information prévoit la préparation d'analyses de rentabilisation. Les initiatives électroniques peuvent être mises au point à diverses fins : pour faire l'expérience de nouveaux mécanismes de prestation des services; pour rationaliser les opérations et réduire les coûts; ou pour répondre aux pressions opérationnelles ou aux demandes des utilisateurs. Sans analyse de rentabilisation qui énonce les avantages attendus d'une initiative, il serait difficile d'en évaluer ultérieurement le pour et le contre. Si les coûts ne sont pas estimés au départ, il devient difficile de contrôler les dépassements de coûts et l'élargissement de la portée de l'initiative. À une exception près, nous avons constaté que l'on n'avait pas préparé d'analyse de rentabilisation des initiatives que nous avons examinées.

19.97 Nous avons aussi constaté qu'aucun des quatre ministères et organismes n'avait évalué les risques ou les menaces des initiatives. Les évaluations des risques et des menaces servent généralement à déterminer le niveau de sécurité nécessaire pour les transactions et à analyser les solutions de remplacement sur le plan de la sécurité. Elles contribuent à trouver les solutions les plus appropriées et les plus rentables en matière de sécurité.

19.98 À notre avis, les initiatives courantes de commerce électronique peuvent fournir une abondance de renseignements pour les autres projets. En plus de tirer des leçons de ces initiatives, les responsables d'autres projets peuvent en utiliser certaines caractéristiques ou certains éléments. Par exemple, d'autres organisations gouvernementales peuvent aussi avoir des applications opérationnelles qui exigent le dépôt protégé de documents ou demander des frais d'utilisation. Même s'il existe une liste des initiatives de commerce électronique au gouvernement, personne ne s'est vu confier la responsabilité de la tenir à jour ou d'examiner les initiatives et de faire part de l'expérience acquise aux ministères et aux organismes.

19.99 Le Secrétariat du Conseil du Trésor devrait voir à ce qu'un répertoire des initiatives de commerce électronique au gouvernement soit tenu et mis à jour régulièrement. Il devrait analyser les initiatives pour en dégager les bonnes pratiques et les leçons apprises, et faire part de cette information aux ministères et aux organismes de manière à ce qu'ils puissent tirer profit de l'expérience des autres.

Réponse du gouvernement : Nous sommes d'accord pour dire que l'information sur les initiatives en matière de commerce électronique doit être communiquée à l'ensemble du gouvernement de manière à ce que les ministères et les organismes puissent tirer profit de l'expérience des autres. Cette recommandation doit être contrebalancée par la nécessité de ne pas surcharger les ministères avec d'autres demandes de rapports. Les projets exploratoires sont actuellement mis en relief par le Secrétariat du Conseil du Trésor. On continuera à faire le suivi des initiatives et de leurs progrès dans un répertoire officieux.

Conclusion

19.100 Le gouvernement fait des progrès dans les secteurs que nous avons examinés et il s'oriente vers la conduite de ses affaires par Internet en éliminant les obstacles au commerce électronique.

19.101 En particulier, il travaille à l'élaboration d'une solution technique aux préoccupations concernant la sécurité des transactions effectuées sur les réseaux publics ouverts. Un produit provisoire est prêt et devrait être approuvé par le gouvernement d'ici la fin de 1998. Le cadre de gestion de ce projet de cryptographie est en voie d'élaboration.

19.102 Lors de l'examen du cadre juridique, le gouvernement a déterminé que toutes les lois fédérales étaient formulées de manière à favoriser le support papier et il poursuit ses travaux en vue de trouver une solution. Grâce à un comité interministériel, le Secrétariat du Conseil du Trésor a produit un guide sur Internet qui offre aux ministères et aux organismes des orientations techniques pour la création de sites Web, et le Canada dispose d'un site qui assure la présence du gouvernement fédéral sur Internet.

19.103 Par ailleurs, nous avons décelé plusieurs risques importants qui pourraient miner le projet de l'infrastructure à clé publique que le gouvernement a entrepris pour appuyer ses activités de commerce électronique protégé. Nous avons constaté que le processus opérationnel utilisant Internet et la mise au point d'applications informatiques connexes accusent du retard par rapport au projet d'infrastructure à clé publique, ce qui fait que l'infrastructure risque d'être peu utilisée lorsqu'elle sera achevée. La nécessité de certifier les particuliers et les répercussions d'une telle certification présentent un autre risque. Si ces risques ne sont pas gérés à temps, ils pourraient limiter considérablement le recours à l'infrastructure pour appuyer la prestation des services externes. De plus, nous avons décelé certains défis au niveau de l'élaboration et de la mise en oeuvre du projet qui doivent être relevés.

19.104 Nous avons aussi constaté que le commerce électronique peut avoir une incidence importante sur les risques de poursuite auxquels pourrait s'exposer le gouvernement. Une analyse plus approfondie de cette question et la recherche d'une solution s'imposent.

19.105 En outre, nous avons observé qu'il faut un parrain principal pour faire avancer le commerce électronique au gouvernement. Il reste de nombreuses questions à régler avant que des infrastructures communes soient en place pour appuyer la prestation transparente des services dans l'ensemble des ministères et des organismes. Une stratégie et une orientation sont nécessaires pour définir les objectifs et les buts du gouvernement en matière de commerce électronique au-delà de 1998. Il faudra aussi prendre d'autres mesures pour que le gouvernement tienne sa promesse de devenir un utilisateur modèle de l'inforoute d'ici l'an 2000.


À propos de la vérification

Objectifs et étendue

La vérification a porté sur la conduite des affaires du gouvernement par Internet, un secteur prédominant de la croissance du commerce électronique. Les affaires du gouvernement englobent l'administration, les opérations et la prestation des programmes et des services. L'utilisation d'Internet pour la conduite des affaires constitue une partie importante de la politique du gouvernement selon laquelle il veut faire du commerce électronique son moyen privilégié de faire des affaires. L'engagement que le gouvernement a pris d'agir comme un utilisateur modèle de l'inforoute appuie la recommandation du Comité consultatif sur l'autoroute de l'information et fait partie de la plate-forme qui permettra au Canada de devenir un leader mondial dans le commerce électronique.

La vérification avait pour objet d'évaluer les progrès du gouvernement dans trois secteurs clés :

  • l'élaboration et la mise en oeuvre d'une infrastructure à clé publique pour le gouvernement fédéral en tant que mesure visant à assurer un commerce électronique protégé;
  • l'examen et la modification du cadre juridique à l'appui de la conduite des affaires par voie électronique;
  • la mise en oeuvre d'infrastructures communes à l'appui de l'administration, des opérations et de la prestation des services du gouvernement par Internet.
La vérification visait à déceler et à faire ressortir les questions dans ces secteurs qui doivent être réglées pour que l'utilisation d'Internet dans les opérations internes et externes puisse progresser. Nous n'avons pas vérifié d'autres politiques nouvelles comme celles qui portent sur la protection des renseignements personnels, la cryptographie, la propriété intellectuelle et la fiscalité. Nous n'avons pas non plus examiné le rôle et les efforts du gouvernement en vue d'élargir l'accès des Canadiens à l'inforoute, de les sensibiliser davantage et de perfectionner leurs compétences à cet égard.

Nous avons examiné quatre initiatives de commerce électronique qui sont mises à l'essai ou qui tournent sur Internet en vue d'assurer des services du gouvernement. Il s'agit de l'enregistrement des marques de commerce à Industrie Canada, du dépôt électronique des demandes relatives à la réglementation à l'Office national de l'énergie, du service d'appel d'offres MERX à Travaux publics et Services gouvernementaux Canada et de Statistiques en direct (CANSIM et données sur le commerce) à Statistique Canada.

Critères

Les critères généraux utilisés pour la vérification étaient les suivants.

Sécurité
  • Des rôles et des responsabilités clairs doivent être établis de manière à ce que le commerce électronique à l'intérieur et à l'extérieur du gouvernement soit protégé adéquatement.
  • Les risques et les questions liés au commerce électronique, précisément la confidentialité de l'information et l'authentification des expéditeurs et des destinataires, doivent être recensés et réglés de façon rentable.
Cadre juridique
  • Le cadre juridique doit fournir une définition et une interprétation appropriées des fichiers et des signatures à l'appui de l'utilisation du commerce électronique au gouvernement.
Infrastructures communes
  • Des normes et des lignes directrices de portée gouvernementale doivent être en place pour faire en sorte que le commerce électronique soit appuyé par des infrastructures technologiques communes qui assurent fiabilité, interopérabilité et variabilité dimensionnelle. Les politiques et les lignes directrices permettant la mise en application d'une approche de portée gouvernementale pour la prestation des services électroniques doivent exister, être faciles d'accès pour la communauté visée et être faciles à utiliser.
  • Il doit y avoir des mesures pour assurer la conformité aux normes et aux politiques.
Initiatives de commerce électronique choisies
  • Des initiatives de commerce électronique doivent être élaborées et gérées en vue de répondre aux besoins opérationnels avec le souci de la sécurité, des exigences juridiques et de l'interopérabilité.

Équipe de vérification

Vérificateur général adjoint : Douglas Timmins
Directrice principale : Nancy Cheng
Directeurs : Tony Brigandi et Guy Dumas

Joe Lajeunesse

Pour obtenir de l'information, veuillez communiquer avec Mme Nancy Cheng.