Annulée [2017-04-01] - Directive sur l'authentification et l'autorisation électroniques des opérations financières

1.1 La présente directive entre en vigueur le 1^er mars 2012.

1.2 Elle remplace la Politique sur l'autorisation et l'authentification électroniques (datée du 15 juillet 1996).

2.1 La présente directive s'applique aux ministères répondant à la définition donnée à l'article 2 de la Loi sur la gestion des finances publiques.

2.2 Le paragraphe 6.5.2 de la présente directive, qui autorise le contrôleur général à assurer la surveillance de la conformité au sein des ministères et à demander à ceux-ci de prendre des mesures correctives, ne s'applique pas à l'égard du Bureau du vérificateur général, du Commissariat à la protection de la vie privée du Canada, du Commissariat à l'information du Canada, du Bureau du directeur général des élections, du Commissariat au lobbying, du Commissariat aux langues officielles ni du Commissariat à l'intégrité du secteur public. Les administrateurs généraux de ces organismes sont les uniques responsables de la surveillance et de la conformité à la présente directive dans leur organisme respectif et des mesures à prendre en cas de non-conformité, en vertu des instruments du Conseil du Trésor servant à gérer la conformité.

2.3 La présente directive ne s'applique pas aux demandes électroniques envoyées au receveur général (RG) visant des paiements et des règlements à partir du Trésor parce qu'elles sont régies par les exigences du Règlement de 1997 sur les demandes de paiement et de règlement.

2.4 Les ministères peuvent choisir à appliquer le principe de la présente directive aux opérations non financières.

3.1 La présente directive appuie la Politique sur le contrôle interne en exposant les responsabilités des Dirigeants principaux des finances et d'autres personnes en matière de maintien de l'intégrité des opérations financières électroniques et des authentifications et autorisations électroniques connexes.

3.2 Compte tenu des progrès incessants de la technologie et de l'importance de veiller à ce que les activités soient aussi efficaces et efficientes que possible, les systèmes administratifs gouvernementaux s'orientent vers des systèmes en ligne qui supportent le traitement des opérations financières par l'intermédiaire de processus d'authentification et d'autorisation électroniques et permettent l'élimination des signatures manuscrites.

3.3 Des contrôles appropriés, qu'ils soient manuels ou électroniques, sont essentiels aux opérations financières. L'intégrité des contrôles qui régissent le pouvoir de verser des paiements au nom du gouvernement est primordiale au maintien de la confiance du public. C'est pourquoi la Loi sur la gestion des finances publiques (LGFP) (y compris les articles 34 et 33) précise les genres d'approbation et de certification requis avant que tout paiement ne soit effectué à partir du Trésor. Les personnes qui exercent le pouvoir de faire des paiements à partir du Trésor sont responsables de l'utilisation des crédits et, par conséquent, elles doivent avoir confiance dans la validité de l'opération avant d'accorder toute approbation ou certification. Des contrôles semblables doivent être en place pour les revenus et les dépôts faits au Trésor et pour toute opération comptable et rajustement qui affectent le Système central de comptabilité. Les systèmes de technologies de l'information et les contrôles internes qui s'y rattachent doivent pouvoir fournir les assurances nécessaires.

3.4 Les ministères doivent, par conséquent, veiller à ce que des contrôles efficaces soient en place pour préserver l'intégrité de leurs opérations financières électroniques. Cette mesure comprend les processus d'authentification et d'autorisation électroniques fournis par le groupe de Technologie de l'information (TI) qui peuvent être appliqués conjointement avec des contrôles non liés à la TI.

3.5 L'intégrité des opérations financières électroniques implique que les opérations ainsi que les authentifications et autorisations électroniques connexes sont protégées contre l'accès, l'exercice de pouvoirs ou la divulgation non autorisés, la répudiation, la destruction, la suppression, la modification, l'utilisation malveillante, l'incomplétude et l'inexactitude. Il s'agit notamment de veiller à ce que l'autorisation électronique soit unique pour chaque personne, à ce que la personne qui accorde l'autorisation puisse être identifiée, à ce que l'intégrité de l'autorisation soit maintenue pour assurer la responsabilisation et la protection de la personne qui assume la responsabilité et à ce que, le cas échéant, l'intégrité des matrices de délégation électroniques soit préservée.

3.6 Conformément à la Politique sur le contrôle interne et à la Politique sur la sécurité du gouvernement, on s'attend à ce que les ministères établissent des contrôles efficaces sont équilibrés et proportionnels aux risques qu'ils visent à atténuer, et qui tiennent compte du type d'opérations financières et des risques qui y sont associés.

3.7 Pour ce faire, on s'attend à ce que les ministères évaluent et déterminent le degré approprié d'assurance ou le degré acceptable d'exigences en matière de sécurité en fonction des risques que présente chaque type d'opération financière utilisant des authentifications et des autorisations électroniques. Il s'agit notamment d'identifier et de documenter les risques clés associés à chaque étape du processus d'autorisation et d'identification, de déterminer le degré d'assurance applicable à leur égard, de confirmer que les contrôles sont en place comme prévu et qu'ils donnent le degré d'assurance nécessaire, et de surveiller et réévaluer périodiquement les contrôles clés pour confirmer qu'ils fonctionnent bien au fil du temps et qu'ils demeurent efficaces. Ces risques et ces contrôles clés s'inscrivent dans le système plus vaste de contrôles internes en matière de rapports financiers. Ils comprennent des contrôles à l'échelle de l'organisation ou de l'entité, à l'échelle des processus opérationnels et à l'échelle générale de la TI ou du réseau.

3.8 Tout au long de ce processus de diligence raisonnable, les Dirigeants principaux des finances avec d'autres cadres supérieurs des ministères ont des rôles clés à jouer. Les responsabilités sont également partagées avec les Dirigeants principaux de l'information ou les titulaires de postes équivalents, les cadres supérieurs responsables de la gestion de l'information (GI) dans les ministères et les agents de sécurité des ministères (ASM), qui ont tous des responsabilités précises et une expertise particulière concernant les contrôles reposant sur des systèmes.

3.9 La présente directive est émise en vertu de l'article 7 de la Loi sur la gestion des finances publiques.

3.10 La présente directive soutient la Politique sur le contrôle interne. En outre, la Politique sur la sécurité du gouvernement requiert que l'information, les actifs et les services du gouvernement soient protégés, qu'ils fassent l'objet d'une évaluation continue du risque et qu'il y ait un suivi et un maintien continus des contrôles internes dans ce contexte. La directive doit également être lue de concert avec les documents suivants :

• Directive sur la gestion de la sécurité ministérielle
• Ligne directrice sur la définition des exigences d'authentification

Les définitions à utiliser pour l'interprétation de la présente directive figurent à l'annexe.

7.1 En cas de non-conformité, il incombe à l'administrateur général de prendre des mesures correctives dans son organisation, de concert avec les personnes responsables de la mise en œuvre des exigences de la présente directive.

7.2 En appui à la responsabilité qui incombe aux administrateurs généraux de mettre en œuvre la Politique sur le contrôle interne, la Politique sur la gérance des systèmes de gestion financière et les instruments connexes, le dirigeant principal des finances veille à ce que des mesures correctives soient prises afin de régler les cas de non-conformité aux exigences de la présente directive. Ces mesures correctives peuvent comprendre une formation supplémentaire, des changements aux procédures et aux systèmes, la suspension ou le retrait des pouvoirs délégués, des mesures disciplinaires et toutes autres mesures appropriées.

7.3 Il faut rappeler à toute personne que les articles 76 à 81 de la Loi sur la gestion des finances publiques (Responsabilité civile et infractions) peuvent s'appliquer, de même que les articles 121 (Fraudes envers le gouvernement), 122 (Abus de confiance), 322 (Vol) et 380 (Fraude) du Code criminel.

Cette section identifie les autres intervenants importants qui ont un rôle à jouer relativement à la présente directive. Elle ne confère en soi aucun pouvoir.

8.1 Le Bureau du contrôleur général du Secrétariat du Conseil du Trésor a la responsabilité de l'élaboration, de la surveillance et de la mise à jour de la présente directive, et de fournir des conseils concernant son interprétation.

8.2 La Direction du dirigeant principal de l'information du Secrétariat du Conseil du Trésor a la responsabilité :

• d'élaborer et de communiquer des politiques en matière de sécurité, de TI et de GI;
• d'élaborer et de communiquer des politiques, des directives, des normes et des lignes directrices concernant l'authentification et l'autorisation électroniques.

8.3 Le Receveur général du Canada a la responsabilité :

• de traiter, de surveiller et de contrôler les fonds publics au nom du gouvernement du Canada;
• de contrôler l'octroi, le remboursement et la validation des instruments de paiement à partir du Trésor;
• de gérer les systèmes à l'échelle du gouvernement relatifs aux paiements, aux dépôts, à la comptabilité centrale et aux rapports;
• de fournir des conseils et des directives sur des questions relatives aux paiements et aux dépôts ainsi que sur des questions de comptabilité et de rapports.

8.4 Travaux publics et services gouvernementaux du Canada (TPSGC) a la responsabilité :

• d'administrer les systèmes de rémunération et de pension à l'échelle du gouvernement;
• de fournir des services partagés de TI, y compris des services de gestion et d'authentification des justifications qui prennent en charge la prestation des programmes et des services ministériels en ligne.

8.5 La Bibliothèque et Archives Canada (BAC) a la responsabilité d'administrer la Loi sur la Bibliothèque et les Archives du Canada. En particulier :

• de fournir des directives et de l'aide concernant la tenue des livres pour le gouvernement du Canada;
• de déterminer, sélectionner, acquérir et conserver les documents gouvernementaux ayant une valeur durable pour le Canada, conformément à la Loi sur la Bibliothèque et les Archives du Canada, à titre de patrimoine documentaire, quel que soit leur support;
• d'émettre des autorisations de disposition des documents, conformément à l'article 12 de la Loi sur la Bibliothèque et les Archives du Canada, pour permettre aux ministères d'exécuter leurs plans de conservation et d'élimination des documents;
• de gérer et protéger les documents essentiels et les documents consultés moins souvent des ministères fédéraux;
• d'aider les ministères fédéraux à faire en sorte que l'information qu'ils publient soit facilement accessible aux décideurs.

Veuillez adresser les demandes de renseignements concernant la présente directive à l'administration centrale de votre ministère. Pour l'interprétation de la présente directive, les responsables de l'administration centrale des ministères devraient communiquer avec :

Division de la politique de gestion financière
Secteur de la gestion financière
Bureau du contrôleur général
Secrétariat du Conseil du Trésor du Canada
L'Esplanade Laurier, 8^e étage, tour Ouest
300, avenue Laurier Ouest
Ottawa (Ontario) K1A 0R5

Courriel : fin-www@tbs-sct.gc.ca
Téléphone : 613-957-7233
Télécopieur : 613-952-9613