Commentaires du ministère des Relations avec les citoyens et de l’Immigration

« Jusqu’en juin 2001, le mandat central du ministère en prestation électronique de services émanait de la politique québécoise de l’autoroute de l’information. Ce rôle consistait à assurer la diffusion d’une information gouvernementale de qualité par Internet et à encadrer les échanges d’information et l’accès aux renseignements personnels à caractère public sur l’inforoute. Le ministère a réalisé en bonne partie les activités reliées à ce mandat et poursuit son travail en vue de compléter le tout.

«En juin 2001, le ministère s’est vu confier des responsabilités accrues, à savoir assurer la coordination du plan gouvernemental d’amélioration des services ainsi que la veille stratégique en matière de services aux citoyens. Il a immédiatement mis sur pied un centre d’expertise en prestation de services et il entend assumer pleinement son rôle de coordonnateur gouvernemental. À cet effet, il a produit un premier plan d’action gouvernemental d’amélioration des services qui, au moment d’écrire ces lignes, était en consultation. »

Gestion ministérielle de la prestation électronique de services

4.57 Nous avons aussi vérifié la qualité des processus de gestion mis en place par les ministères et organismes dans le cadre de leurs activités de développement et d’exploitation associées à la prestation électronique de services. La documentation provenant des 16 entités examinées indique la présence de travaux considérables visant à tirer profit du potentiel des nouveaux moyens d’échange et de partage de l’information. Quelques entités ont même entrepris une révision en profondeur de leurs processus administratifs en vue de les moderniser et d’offrir une prestation de services intégrée et performante.

4.58 Toutes les entités n’en sont évidemment pas au même stade³d’informatisation de leurs services et nous n’avons pas cherché à déterminer si celui-ci est approprié.

Le dynamisme des entités joue un rôle important dans leur évolution et il faut aussi considérer que les possibilités diffèrent d’une entité à l’autre. Le tableau 1 présente le stade d’informatisation atteint par les entités vérifiées pour leurs applications de prestation électronique de services les plus sophistiquées; toutefois, ce stade ne reflète pas nécessairement l’ensemble de leurs applications. Il fait ressortir que la moitié de celles-ci ont commencé à échanger des données de manière électronique avec la population, quoique, dans certains cas, ce soit de façon assez limitée (volume des activités, envergure des applications).

3. Une description des divers stades d’informatisation possibles apparaît à l’annexe 2.

T^ABLEAU 1

STADE D’INFORMATISATION ATTEINT PAR LES ENTITÉS POUR LEURS APPLICATIONS DE PRESTATION ÉLECTRONIQUE

Stade Activités* Nombre d’entités

I- Informationnel Mise en ligne d’informations

sur l’entité et ses services 1

II- Interactionnel Constitution de bases de données pouvant être

interrogées et échanges par courrier électronique 7 III- Transactionnel Échange réciproque de données

avec la population dans un contexte sécuritaire 7 IV- Institutionnel Partage de données avec d’autres entités

gouvernementales 1

* Pour passer au stade supérieur, une entité doit être en mesure d’offrir les activités reliées au stade précédent.

4.59 En ce qui a trait à l’importance des investissements prévus par ces entités, nous n’avons pu obtenir qu’un état partiel. En effet, la majorité des entités n’ont pas encore de plan d’affaires portant sur la mise en œuvre de la prestation électronique de services dans leur secteur, bien que cela soit exigé par le gouvernement depuis février 2001. Ainsi, selon les chiffres fragmentaires fournis, des investissements d’au moins 137 millions de dollars sont anticipés pour les exercices financiers 2001-2002, 2002-2003 et 2003-2004.

4.60 Les commentaires suivants font ressortir que plusieurs des principaux processus de gestion devant être mis en œuvre dans le contexte de la prestation électronique de services ne le sont pas encore et que cette dernière ne pourra se développer selon les attentes des autorités tant que des correctifs ne seront pas apportés.

Planification

4.61 La planification consiste à déterminer des objectifs précis et à mettre en œuvre les moyens propres à les atteindre dans les délais prévus. Donc, on s’attendrait à ce que toutes les entités disposent d’un plan d’affaires ou encore d’une architecture d’entreprise portant sur l’ensemble de leurs ressources informationnelles, y compris la prestation électronique de services. Au pis aller, il pourrait être acceptable que ces outils soient conçus par secteur d’activité, pourvu que les activités communes liées à la prestation électronique de services bénéficient elles aussi d’une solide planification.

4.62 Le gouvernement exige d’ailleurs depuis février 2001 que les entités élaborent un plan portant sur la mise en œuvre de la prestation électronique de services. La nécessité d’un tel plan est évidente, compte tenu de l’incidence de cette prestation sur la performance globale des entités, des ressources qu’elle requiert pour son développement, des avantages qu’elle apporte à la population ainsi que de la complexité des technologies, des systèmes d’information et des changements administratifs en cause.

4.63 En examinant la situation en fonction de la capacité des entités à mettre en œuvre un processus adéquat de planification des activités, nous concluons que huit entités disposent d’un processus satisfaisant⁴ou très satisfaisant et que la situation est pour le moins préoccupante pour huit autres entités, dont trois qui en sont aux stades III ou IV (voir tableau 3). De façon générale, nous notons que les architectures courante et visée sont mal définies, que le processus de transition ne prévoit pas l’ensemble des activités et des responsabilités pour mener à bien les projets ni les ressources requises, et que peu de standards encadrent la mise en œuvre de la prestation électronique de services. Le graphique 1 présente notre évaluation quant à la qualité du processus de planification des activités en matière de prestation électronique de services pour chacune des entités considérées.

4. Les appellations « très satisfaisante », « satisfaisante », « insatisfaisante » et « très insatisfaisante » sont utilisées dans le présent rapport pour indiquer la qualité des processus évalués. La description de ces appellations apparaît à la section « Synthèse relative aux processus de gestion ».

4.64 Ainsi, il n’est pas certain que la prestation électronique de services de la moitié des ministères et organismes vérifiés se développe selon le plan d’affaires du gouvernement, notamment au regard des orientations d’ensemble et de l’échéancier diffusé, d’autant plus que seulement six entités disposent d’un plan d’affaires ou d’une architecture d’entreprise. Le Comité stratégique des res-sources informationnelles a d’ailleurs constaté que cet échéancier ne sera pas respecté. Il est aussi possible que des actions inadéquates soient posées et que des occasions d’affaires soient ratées.

Sélection des investissements

4.65 La gestion des investissements implique la mise en œuvre d’activités qui s’effectuent selon trois étapes bien circonscrites : il faut d’abord sélectionner les investissements, ensuite les contrôler et, enfin, en faire l’évaluation au terme de leur réalisation. Cette gestion est particulièrement justifiée lorsque de fortes sommes sont en jeu et que des avantages considérables sont attendus pour l’appareil gouvernemental ou la population.

4.66 Étant donné que les travaux en matière de prestation électronique de services sont relativement peu avancés, seul le premier volet a été vérifié, soit la sélection des investissements. Pour satisfaire aux exigences liées à ce volet, les entités devaient d’abord fournir la preuve qu’elles ont défini des critères formels, tels la contribution à la mission de l’organisation et le retour sur l’investissement, afin de déterminer leurs investissements en matière de prestation électronique de services. Elles devaient aussi prouver qu’elles ont établi des priorités pour leur réalisation et qu’elles ont prévu les ressources requises à cette fin.

GRAPHIQUE 1

QUALITÉ DU PROCESSUS DE PLANIFICATION DES ACTIVITÉS

Entités Très satisfaisante

Satisfaisante

Insatisfaisante

Très insatisfaisante

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Stades d’informatisation I ou II Stades d’informatisation III ou IV

La moitié des entités ne disposent pas d’un processus adéquat de planification.

4.67 Nos travaux montrent que 12 des 16 entités ont mis en place un processus satisfaisant ou très satisfaisant (voir tableau 3), mais il arrive que la prestation de services soit vue comme un seul projet et que les ressources nécessaires pour mener à bien les projets ne soient pas prévues. Toutefois, des doutes planent, pour le quart des entités, quant à leur capacité d’ajuster leurs activités de prestation électronique de services aux orientations gouvernementales et ministérielles et de s’en tenir, selon l’importance relative des divers projets et les ressources dont elles disposent, uniquement aux projets nécessaires ou rentables.

Gestion du changement

4.68 L’appareil gouvernemental traverse présentement une zone de turbulences marquée par une volonté de moderniser la gestion publique et de mettre en œuvre une prestation de services davantage axée sur les citoyens et les entreprises.

La transformation souhaitée a une incidence tant sur les utilisateurs des services gouvernementaux que sur le travail du personnel.

4.69 Pour assurer le succès de l’opération, les ministères et organismes doivent donc outiller les personnes concernées en fonction des enjeux qu’elle comporte, de la nature des changements, de la culture organisationnelle et même des réticences propres à chaque entité. Pour ce faire, les entités doivent procéder à une analyse stratégique de la situation, dresser un bilan d’ensemble, déterminer les approches ainsi que les moyens à utiliser et développer une stratégie de mise en œuvre. Les sujets devant être abordés lors de cette démarche sont notamment la sensibilisation des utilisateurs à la prestation électronique de services, leur formation et leur accompagnement. Il est aussi nécessaire de mesurer l’efficacité des activités effectuées tout au long du processus de gestion du changement.

4.70 L’absence de stratégie globale de gestion du changement ou l’omission de divers éléments faisant partie d’une telle stratégie font en sorte que 11 des 16 entités n’ont pas une performance acceptable à ce chapitre (voir tableau 3). Pour les 5 entités dont la performance est au moins satisfaisante, on note que celles-ci ont de bonnes pratiques concernant la sensibilisation et la formation des utilisateurs et la mise en place de mesures d’accompagnement.

4.71 Le graphique 2 présente l’évaluation, en fonction des critères précités, de la qualité de la gestion du changement au regard de la mise en œuvre de la prestation électronique de services.

Absence de processus adéquat de sélection des investissements pour le quart des entités.

En négligeant la gestion du changement, l’atteinte des cibles peut être compromise.

4.72 En ne maîtrisant pas une dimension majeure de tout projet technologique, plusieurs entités pourront avoir plus de difficultés à atteindre les cibles proposées d’ici 2004.

Mise en place de mesures ou d’activités relatives à la sécurité 4.73 La confiance des citoyens et des entreprises à l’égard de la prestation électronique

de services dépend en grande partie de leur perception de la sécurité qui prévaut au regard de l’information numérique et des échanges électroniques. Les entités doivent donc recourir à un ensemble de mesures destinées à contenir les risques et leurs incidences en ce qui concerne la disponibilité, l’intégrité et la confidentialité de l’information, l’identité des utilisateurs ainsi que le caractère officiel des transactions et des documents. Ces mesures peuvent être minimales lorsqu’une entité met en ligne des renseignements d’ordre public et qu’elle ne partage des renseignements que par courrier électronique. Elles doivent être plus importantes lorsque des activités particulières aux stades III (transactionnel) et IV (institutionnel) sont effectuées, tels les échanges de renseignements comprenant des informations confidentielles ou des paiements électroniques.

4.74 Eu égard à ce contexte, nos travaux ont uniquement couvert les activités des entités ayant atteint les stades III ou IV. Ils ont porté sur les éléments minimaux qui viennent soutenir les mesures directes de sécurité et dont l’absence compromet la protection souhaitée, peu importe l’ampleur de ces mesures directes. Ainsi, sans apprécier l’efficacité de ces éléments, nous avons vérifié si ces entités sensibilisent et forment les utilisateurs par rapport aux particularités de la prestation électronique de services, si elles ont défini le seuil de risque acceptable et les règles de gestion afférentes, si elles exercent une surveillance en temps réel des transactions en tenant compte des risques inhérents à ces dernières, si elles enregistrent et analysent les transactions en vue de scruter les activités en fonction de critères définis et, enfin, si elles ont mis sur pied un processus de gestion des incidents, comme les tentatives d’intrusion et les fraudes.

GRAPHIQUE 2

QUALITÉ DE LA GESTION DU CHANGEMENT

Entités Très satisfaisante

Satisfaisante

Insatisfaisante

Très insatisfaisante

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Stades d’informatisation I ou II Stades d’informatisation III ou IV

4.75 Cinq des huit entités arrivées à l’un ou l’autre des deux stades considérés ont instauré de façon satisfaisante ou très satisfaisante ces éléments minimaux. Quant aux trois autres, peu d’éléments sont en place, à l’exception de la sensibilisation et de la formation des utilisateurs concernés, qui sont généralisées. Le graphique 3 illustre la situation.

GRAPHIQUE 3

QUALITÉ DES MESURES OU DES ACTIVITÉS RELATIVES À LA SÉCURITÉ

4.76 En omettant de prévoir des mesures de sécurité adéquates, les entités accroissent les risques de fraudes de toute nature et de violations de la vie privée. De plus, elles ne sont pas en mesure de déceler efficacement plusieurs infractions à la sécurité ainsi que les comportements déviants et d’intervenir rapidement en fonction d’un cadre prédéfini.

Détermination et essai des mesures de relève

4.77 Malgré tous leurs efforts pour assurer la continuité des opérations, les entités doivent tôt ou tard faire face à des pannes ou à d’autres événements pouvant entraîner une indisponibilité temporaire des services électroniques ainsi que des coûts importants pour rétablir le fonctionnement des processus administratifs et technologiques. Selon les besoins, y compris ceux qui ont trait au maintien d’un climat de confiance chez les utilisateurs, les entités doivent déterminer les mesures de relève nécessaires, les réviser périodiquement et les tester régulièrement.

4.78 Au regard de ces aspects, seules 6 des 16 entités vérifiées ont reçu une évaluation de la qualité satisfaisante ou très satisfaisante. Les mesures de relève mises en place par les autres entités ne reposent pas assez sur une analyse objective des besoins et ces mesures ne sont habituellement pas ajustées ni testées à des intervalles réguliers. Soulignons que 3 entités ayant atteint les stades III ou IV ont des carences majeures à combler (voir tableau 3).

Entités Très satisfaisante

Satisfaisante

Insatisfaisante

Très insatisfaisante

9 10 11 12 13 14 15 16

Les mesures de relève ne reposent pas assez sur une analyse des besoins.

4.79 Si l’indisponibilité des services est peu importante et d’une durée relativement minime, l’appareil administratif peut, dans bien des cas, prendre des mesures pour rattraper le temps perdu et assurer des services selon les politiques convenues. La situation risque cependant d’être fort différente au fur et à mesure de la moder-nisation de la gestion publique et de la mise en œuvre d’une importante prestation électronique de services conforme aux attentes. Dans ces circonstances, les entités auront de plus en plus de difficultés à respecter leurs objectifs quant aux services qu’elles offrent, ce qui viendra ternir l’image de leur établissement et, par ricochet, celle du gouvernement.

Détermination et communication du niveau de service

4.80 Les entités qui fournissent des services aux citoyens ou aux entreprises sont tenues de rendre publique une déclaration portant sur la diligence avec laquelle les services devraient être offerts et de fournir une information claire sur leur nature et leur accessibilité. Or, elles ont le choix, par exemple, de traiter une demande de certificat sur-le-champ, ce qui les oblige à prévoir des ressources administratives et techniques additionnelles pour pouvoir répondre aux besoins de la population lors des périodes de pointe, ou de s’accorder un délai de traitement plus ou moins long. Ainsi, dans le cadre des réflexions menant aux déclarations de services aux citoyens prévues par la Loi sur l’administration publique, les entités doivent déterminer, en fonction de critères objectifs, le niveau de service à offrir, que ce soit de façon électronique ou non, le réviser périodiquement et le communiquer aux partenaires et aux utilisateurs. L’entente qui en découle est à la base de la planification, du contrôle et de l’évaluation des services, y compris ceux de nature électronique.

4.81 Nos travaux démontrent qu’une seule entité parmi celles qui en sont aux stades I ou II respecte de façon satisfaisante les exigences de notre cadre d’évaluation.

Cependant, malgré certaines faiblesses en ce qui a trait à la détermination du niveau de service et aux mécanismes de révision de celui-ci, sept des huit entités qui en sont aux stades III ou IV gèrent de manière satisfaisante ou très satisfaisante ce volet (voir tableau 3).

4.82 De façon générale, la majorité des entités ayant atteint les stades I ou II ne sont pas en mesure d’assurer le contrôle et l’évaluation du niveau de service électronique de même que d’en rendre compte. Une autre, qui en est à un stade plus avancé, n’a pas l’assurance que l’offre de services est efficiente et économique, faute de critères objectifs et de révision périodique du niveau de service.

Gestion des risques

4.83 La mise en œuvre de la prestation électronique de services comporte des risques tant lors du développement des infrastructures et des applications qu’après la mise en ligne des services. Ceux-ci peuvent être associés, par exemple, à la capacité des entités à faire face aux changements, à la mise en œuvre de services communs pertinents ou rentables et à la sécurité de l’information ainsi que des échanges électroniques.

4.84 La gestion des risques permet de cerner et de limiter ces risques ainsi que d’atténuer leurs conséquences. Elle nécessite donc que ces risques soient déterminés et évalués et, s’il y a lieu, que des mesures soient planifiées pour y faire face. Compte tenu des enjeux liés à cette gestion, le SCT a jugé opportun de publier un guide de référence portant sur la gestion des risques, d’offrir un lieu d’échanges sur le sujet et d’assurer son animation en vue de permettre aux entités d’accroître la maîtrise de leurs projets dans les domaines des technologies de l’information et des communications électroniques.

4.85 Tant à l’étape du développement qu’à celle de l’exploitation de la prestation électronique de services, la majorité des entités n’ont pu démontrer qu’elles gèrent les risques convenablement. Les risques sont gérés de façon satisfaisante par seulement 2 entités et d’une manière insatisfaisante ou très insatisfaisante par les 14 autres (voir tableau 3). En l’absence d’activités permettant une gestion proactive et la mise en œuvre de solutions préétablies lorsque cela est requis, il est donc possible que plusieurs entités doivent composer avec des crises.

Gestion des avantages

4.86 La décision d’investir dans la prestation électronique de services peut reposer sur différents facteurs, dont les avantages escomptés. Si c’est le cas, il est d’abord nécessaire de bien saisir la nature et l’importance des retombées qui résultent des investissements. Ces avantages, qui peuvent être bien supérieurs aux sommes investies, doivent ensuite être recueillis lorsque les nouveaux systèmes administratifs et techniques produisent les fruits espérés.

4.87 À la lumière de la documentation fournie, il ressort que la plupart des 16 entités vérifiées ont estimé que des avantages doivent découler d’au moins un de leurs projets de prestation électronique de services. Toutefois, très peu ont démontré qu’elles avaient obtenu des avantages provenant de la mise en œuvre de leurs projets de prestation électronique de services.

4.88 En résumé, les avantages sont gérés de façon satisfaisante ou très satisfaisante par 3 entités et d’une manière insatisfaisante ou très insatisfaisante par 13 entités (voir tableau 3). Il est alors possible que des avantages substantiels échappent à certaines entités. Lorsque c’est le cas, la crédibilité des travaux soutenant les divers projets

4.88 En résumé, les avantages sont gérés de façon satisfaisante ou très satisfaisante par 3 entités et d’une manière insatisfaisante ou très insatisfaisante par 13 entités (voir tableau 3). Il est alors possible que des avantages substantiels échappent à certaines entités. Lorsque c’est le cas, la crédibilité des travaux soutenant les divers projets