Vérification de l’information de sources ouvertes

Rapport épuré

Janvier 2021

Évaluation de l'accès à l'information

Une évaluation de ce rapport par rapport aux dispositions de la Loi sur l'accès à l'information n'a donné lieu à aucune exemption; ce rapport est donc présenté dans son intégralité.

Table des matières

1. Sigles et abbréviations
2. Résumé
3. Réponse de la direction à la vérification
4. Contexte
5. Objectif, portée et méthode
   • Objectif
   • Portée
   • Méthode
   • Énoncé de conformité
6. Constations de la vérification
   • Gouvernance
   • Politique
   • Formation et infrastructure de TI
7. Conclusion
8. Recommendations
9. Annexe A – Objectifs et critères de la vérification
10. Annexe B – Chapitre 26.5 du MO – Tableau de bord des activités en ligne
11. Annexe C – Plan d'action de la direction

Sigles et abréviations

AQNS

Assurance de la qualité au niveau du service

DDI

Dirigeant divisionnaire de l'Informatique

DG

Direction générale

DPI

Dirigeant principal de l'Information

EM

Expert en la matière

GRC

Gendarmerie royale du Canada

IP

Protocole Internet

ISO

Information de sources ouvertes

MO

Manuel des opérations

OC

Opérations criminelles

PF

Police fédérale

PFC

Programme de formation des cadets

POR

Procédures opérationnelles réglementaires

RSO

Renseignement de sources ouvertes

RTISO

Recherche tactique sur Internet en soutien aux opérations

SDAC

Section divisionnaire des analyses criminelles

SGDO

Systèmes de gestion des dossiers opérationnels

SPC

Services partagés Canada

SPCA

Services de police contractuels et autochtones

SPS

Services de police spécialisés

STF

Solutions technologiques à l'échelle fédérale

TI

Technologie de l'information

VIEE

Vérification interne, Évaluation et Examen

Résumé

L'information de sources ouvertes (ISO) est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la Gendarmerie royale du Canada (GRC). Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête criminelle ou de la fonction de collecte de renseignement. Le chapitre 26.5 du Manuel des opérations (MO) de la GRC, qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles, offre un cadre de collecte et d'utilisation d'ISO et de renseignement de sources ouvertes (RSO) selon un système à trois niveaux (niveau 1 : non déguisée; niveau 2 : discrète; niveau 3 : secrète).

L'objectif de la vérification était de déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation sont conformes à la politique. La vérification a porté sur les activités liées à l'ISO qui ont été menées sur Internet à l'appui des enquêtes criminelles et de la collecte de renseignements criminels, à l'échelle nationale et dans chaque division, du 1er avril 2018 au 31 mars 2019.

Dans l'ensemble, la vérification a permis de déterminer que les activités liées à l'ISO menées sur Internet à l'échelle de l'organisation n'étaient pas conformes au chapitre 26.5 du MO. Elle a permis de conclure qu'il est possible d'élaborer un cadre de gouvernance plus solide et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire. Sans une définition claire des rôles et des responsabilités et une supervision et une surveillance adéquates, la Gendarmerie pourrait être tenue responsable et exposée à des risques liés à la réputation, ou des poursuites criminelles pourraient être compromises et la jurisprudence en découlant pourrait restreindre l'utilisation future d'ISO.

Peu de consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO en 2015 et aucune lors de la mise à jour de la politique en 2019. La vérification a révélé qu'un grand nombre d'employés n'étaient pas au courant qu'il existe une politique sur l'ISO ou que celle-ci s'applique aux activités liées à l'ISO qu'ils mènent. De plus, le chapitre 26.5 du MO ne fournit pas assez de renseignements pour orienter les utilisateurs sur la façon de saisir, de stocker et de conserver l'ISO. Il est possible de communiquer à grande échelle le chapitre 26.5 du MO et d'informer les employés des cas où il s'applique à leurs tâches. Des directives supplémentaires doivent être élaborées et communiquées à l'échelle de la Gendarmerie; celles-ci doivent inclure la façon de saisir, de stocker et de conserver l'ISO et décrire ce qui constitue une infrastructure de niveau 2 acceptable.

Enfin, la formation et l'échange de renseignements constituent des investissements précieux qui permettraient de s'assurer que les utilisateurs d'ISO ont accès aux renseignements les plus à jour, y compris la jurisprudence pertinente. L'offre d'une formation d'introduction aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2 faciliterait l'échange de renseignements à l'échelle de l'organisation.

Les réponses et le plan d'action de la direction relativement au présent rapport démontrent l'engagement de la haute direction à donner suite aux constatations et aux recommandations de la vérification. Un plan d'action de la direction détaillé est en cours d'élaboration. Après son approbation, la Vérification interne de la GRC surveillera sa mise en œuvre et entreprendra une vérification de suivi, au besoin.

Réponse de la direction à la vérification

La Police fédérale (PF), les Services de police spécialisés (SPS) et les Services de police contractuels et autochtones (SPCA) acceptent les constatations et les recommandations de la vérification, y compris l'observation selon laquelle la GRC peut améliorer, dans certains secteurs, la conformité avec les politiques, la formation, l'infrastructure et la surveillance afin d'appuyer les activités liées à l'ISO. Nous sommes conscients qu'une formation appropriée, un soutien et, plus particulièrement, l'approche de l'organisation à l'égard de la gouvernance pour cette fonction sont essentiels.

Le groupe de Recherche tactique sur Internet en soutien aux opérations de la PF a été établi pour répondre à un besoin immédiat de fournir de l'ISO tactique aux opérations dans le cadre du Programme de sécurité nationale en l'absence d'un centre de décision. La PF, les SPS et les SPCA conviennent que tous les secteurs qui utilisent de l'ISO doivent être pris en considération dans l'élaboration et la mise en œuvre du plan d'action de la direction (PAD) découlant de cette vérification. Par conséquent, le PAD comprendra des exigences en matière de gouvernance visant l'ensemble des activités de collecte, d'analyse et d'utilisation d'ISO par l'organisation.

Un PAD détaillé qui donne suite aux recommandations du rapport et qui fournit des échéances et des jalons précis sera élaboré aux fins d'examen par le Comité ministériel de vérification avant la prochaine réunion du Comité.

Sous-commissaire Michael Duheme
Police fédérale

Sous-commissaire Stephen White
Services de police spécialisés

Sous-commissaire Brian Brennan
Services de police contractuels et autochtones

Contexte

L'information de sources ouvertes (ISO) est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la Gendarmerie royale du Canada (GRC). Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses, comme les enquêtes, la collecte de renseignement, la sensibilisation et la mobilisation du public, l'analyse de l'environnement et la recherche. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête ou de la fonction de collecte de renseignement.

Le chapitre 26.5 du Manuel des opérations (MO), qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles, définit l'ISO comme des données brutes et non classifiées qui sont tirées d'une source primaire (p. ex. Internet) et qui peuvent se présenter sous n'importe quelle forme. L'information est obtenue, tirée ou récupérée par des moyens légaux et achetée ou recueillie à partir de sources chiffrées ouvertes ou librement accessibles (p. ex. sites Web, blogues, réseaux sociaux et bases de données en ligne).

De plus, le chapitre 26.5 du MO définit le renseignement de sources ouvertes (RSO) comme la collecte systématique et passive d'ISO et son traitement, son analyse et sa diffusion en réponse à des activités précises d'application de la loi (p. ex. renseignements criminels) ou aux exigences en matière d'enquête. Les RSO constituent une source précieuse d'information permettant de produire des pistes d'enquête concrètes et susceptibles de donner lieu à une action qui viennent compléter les méthodes policières traditionnelles.

Le chapitre 26.5 du MO répartit l'utilisation de l'ISO en une structure à trois niveaux, de la façon suivante (voir le résumé à l'annexe B) :

• Niveau 1 : Activités en ligne non déguisées (p. ex. recherche, analyse de l'environnement, demandes de renseignements et mobilisation du public).
• Niveau 2 : Activités en ligne passives liées aux enquêtes et au renseignement menées de façon à réduire au minimum l'identification à titre d'agent d'application de la loi (p. ex. faire preuve de discrétion et ne pas communiquer avec une personne d'intérêt).
• Niveau 3 : Activités en ligne secrètes explicitement dissimulées et protégées afin d'éviter l'identification à titre d'agent d'application de la loi (p. ex. la communication avec une personne d'intérêt est autorisée).

Le groupe de Recherche tactique sur Internet en soutien aux opérations (RTISO) des Opérations criminelles de la Police fédérale (PF) a été établi en 2005 pour répondre à la demande croissante de soutien relatif aux enquêtes liées à Internet et il est le centre national de décision pour ce qui est du chapitre 26.5 du MO. La RTISO effectue des recherches sur Internet à l'appui des enquêtes criminelles en corroborant les renseignements, en identifiant les associés et les entreprises, en déterminant l'endroit où se trouve un suspect et en identifiant les témoins et des sources humaines potentielles.

La RTISO est le centre de décision et un groupe opérationnel qui mène ses propres activités liées à l'ISO, mais d'autres intervenants de la GRC participent fondamentalement aux activités liées à l'ISO par l'entremise de leurs mandats de maintien de l'ordre respectifs, plus précisément :

• La PF est responsable d'un vaste éventail d'activités prévues dans le mandat fédéral, notamment la réalisation d'enquêtes sur les infractions liées à la drogue, le crime organisé, les crimes économiques et les activités criminelles liées au terrorisme; l'application des lois fédérales; la protection des frontières du Canada; l'exécution d'activités de renforcement des capacités, de liaison et de maintien de la paix à l'étranger; et la prestation de services de sécurité lors d'événements importants, de visites de représentants d'État et de dignitaires et de missions à l'étranger.^{Note de bas de page 1} Les activités sont menées par divers secteurs, dont les Opérations criminelles de la PF, qui assurent à l'échelle nationale la surveillance et la gouvernance des enquêtes criminelles liées aux crimes graves et au crime organisé, à la cybercriminalité, à la criminalité financière et à l'intégrité des frontières et fournissent un soutien opérationnel stratégique et tactique, des conseils et une orientation aux différentes entités divisionnaires qui mènent des enquêtes.^{Note de bas de page 2}
• Les Services de police spécialisés (SPS) offrent des services essentiels de soutien opérationnel de première ligne à la GRC et aux partenaires des organismes canadiens d'application de la loi et de la justice pénale et fournissent de l'aide aux partenaires d'application de la loi étrangers. Aux SPS, les Opérations techniques fournissent des services directs d'enquêtes spécialisées et des services opérationnels aux agents de première ligne en offrant des solutions essentielles en matière de services de police pour le XXIe siècle. De plus, le Service canadien de renseignements criminels (SCRS) se sert d'ISO pour fournir des produits et des services de renseignement en vue de réduire les dommages causés par le crime organisé. Aussi aux SPS, le dirigeant principal de l'Information (DPI) est responsable du Programme de gestion de l'information et de la technologie de l'information (GI-TI) de la GRC, qui comprend tous les renseignements dont la GRC a besoin pour s'acquitter de son mandat. Il est également chargé de l'élaboration et de la gestion de la technologie, de l'infrastructure et des systèmes utilisés pour consulter, communiquer, consigner, échanger et gérer ces renseignements.
• Les Services de police contractuels et autochtones (SPCA) gèrent le secteur d'activité des services de police contractuels, y compris les services de police provinciaux, territoriaux, municipaux et autochtones. Les SPCA assurent la surveillance fonctionnelle des divisions qui utilisent de l'ISO pour les enquêtes, le renseignement et la recherche. Les SPCA sont le centre national de décision pour la collecte ainsi que l'utilisation et l'échange normalisés de renseignements dans les divers secteurs d'activité.
• Les officiers responsables des enquêtes criminelles (OREC) des divisions sont chargés d'offrir tout soutien en matière de renseignement et d'enquête dans leur territoire.

La commissaire a approuvé la Vérification de l'information de sources ouvertes dans le Plan de vérification axé sur les risques, d'évaluation et d'analyse des données de 2018-2023.

Objectif, portée et méthode

2.1 Objectif

L'objectif de la vérification était de déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation sont conformes à la politique.

Portée

La vérification a porté sur les activités liées à l'ISO qui ont été menées sur Internet à l'appui des enquêtes criminelles et de la collecte de renseignements criminels, à l'échelle nationale et dans chaque division, du 1er avril 2018 au 31 mars 2019.

Plus précisément, on a examiné la façon dont les employés recueillent des sources d'information accessibles au grand public lorsqu'ils effectuent des recherches en ligne (p. ex. médias sociaux, blogues et registres d'entreprises) et la façon dont leurs résultats sont saisis, stockés et conservés. On a également évalué les contrôles internes existants (p. ex. politiques et procédures, formation et outils et mécanismes de surveillance et de production de rapports) qui appuient l'utilisation d'ISO liée à Internet. La vérification s'est concentrée sur les fonctions de niveau 2, telles qu'elles sont définies dans la politique nationale^{Note de bas de page 3} du chapitre 26.5 du MO.

La vérification n'a pas porté sur la façon dont l'ISO liée à Internet a par la suite été utilisée dans la prise de décisions en matière d'application de la loi ou même si elle a été utilisée (p. ex. donner suite à une piste, inclure comme élément de preuve devant un tribunal ou porter des accusations).

Méthode

La planification de la vérification s'est terminée en octobre 2019. À cette étape, l'équipe de vérification a mené des entrevues, passé en revue les processus et examiné les lois, les politiques et les procédures pertinentes. On a eu recours au chapitre 26.5 du MO et à d'autres politiques et lignes directrices pertinentes pour l'élaboration des critères de vérification. Les critères de vérification se trouvent à l'annexe A.

L'étape d'examen a pris fin en décembre 2019 et a porté sur les Divisions E, H et K, ainsi que sur la RTISO de la Direction générale (DG). Elle a fait appel à diverses techniques de vérification, notamment des entrevues, l'examen des documents, l'analyse des formulaires et de la formation obligatoires, les questionnaires relatifs à l'infrastructure de technologie de l'information (TI) et l'analyse de l'attribution sur un échantillon d'ordinateurs utilisés pour mener des activités liées à l'ISO.

Plus précisément :

• L'équipe de vérification a sélectionné un échantillon de 110 employés afin de déterminer si la formation obligatoire a été suivie et si les approbations requises ont été obtenues pour mener des activités liées à l'ISO et créer des identités et des comptes virtuels discrets, le cas échéant.
• De plus, des analyses de l'attribution ont eu lieu afin de déterminer si les 46 ordinateurs faisant partie de l'échantillon qui sont utilisés pour mener des activités liées à l'ISO respectent les exigences en matière de TI pour le niveau 2.^{Note de bas de page 4}

À la fin de l'étape d'examen, l'équipe de vérification a tenu des réunions de clôture pour valider les constatations auprès du personnel et faire part à la haute direction des constatations pertinentes.

Énoncé de conformité

La présente vérification est conforme au Cadre de référence international des pratiques professionnelles de l'Institut des vérificateurs internes et à la Directive sur l'audit interne du Conseil du Trésor du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

Constations de la vérification

Gouvernance

L'équipe de vérification s'attendait à ce qu'un cadre de gouvernance solide soit en place pour les activités liées à l'ISO menées à l'appui des enquêtes criminelles et de la collecte de renseignements criminels à l'échelle de l'organisation et à ce qu'il comprenne des rôles, des responsabilités et des mécanismes de surveillance clairs. Un cadre de gouvernance efficace permettrait de réduire le risque que de l'ISO soit obtenue de façon inappropriée et utilisée à l'appui des enquêtes criminelles et de la collecte de renseignements criminels. De plus, il permettrait de promouvoir la visibilité de tous les employés qui mènent des activités liées à l'ISO de niveau 2 à l'échelle de l'organisation.

Rôles et responsabilités

La structure de gouvernance pour l'ISO est définie dans le chapitre 26.5 du MO, qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles. La politique offre un cadre de collecte d'ISO et de RSO selon un système à trois niveaux (niveau 1 : non déguisée; niveau 2 : discrète; niveau 3 : secrète); celle-ci peut être effectuée par tous les employés de la GRC. La RTISO des Opérations criminelles de la PF est le centre national de décision.

Le chapitre 26.5 du MO a d'abord été publié en mars 2015 et a été mis à jour en juillet 2019. On a informé l'équipe de vérification que la RTISO a élaboré et mis à jour la politique du chapitre 26.5 du MO régissant la réalisation d'enquêtes sur Internet en raison d'une lacune reconnue en matière de politique au sein de l'organisation. Avant l'élaboration du chapitre 26.5 du MO, aucune politique nationale de la GRC ne portait sur ce sujet et le Conseil du Trésor ne disposait d'aucune orientation stratégique à ce sujet.

Des modifications importantes apportées au chapitre 26.5 du MO en 2019 comprenaient la création d'une section portant sur les rôles et les responsabilités, des changements aux rôles et aux responsabilités de la RTISO et des chefs de service ainsi que des définitions élargies. Selon la version de 2015 du chapitre 26.5 du MO, la RTISO « assure la surveillance de toutes les activités de renseignement de sources ouvertes et de toutes les activités en ligne de soutien aux enquêtes qui s'exercent au sein de la GRC ». La version de 2019 ne comprend plus cette responsabilité de surveillance. Elle précise maintenant que la RTISO est chargée de ce qui suit :

• fournir, par l'acquisition de RSO, des conseils stratégiques et un soutien tactique opérationnel;
• évaluer les risques associés aux outils, aux techniques ou au savoir-faire spécialisés relatifs aux RSO;
• élaborer, coordonner et offrir une formation avancée sur les RSO;
• donner des conseils aux autorités techniques en ce qui concerne la conception réseau Internet, la sécurité réseau ainsi que les logiciels et les applications bureautiques utiles aux activités liées aux RSO.

Selon la version de 2019 du chapitre 26.5 du MO, la responsabilité de surveillance passe de la RTISO au service (p. ex. chefs de service et officiers hiérarchiques), notamment l'autorisation et la supervision des formulaires requis pour mener des activités liées à l'ISO. Voici d'autres exemples de responsabilités confiées aux chefs de service ou aux officiers hiérarchiques :

• tenir à jour un registre du service des autorisations accordées aux employés qui mènent des activités liées à l'ISO;
• réaliser des activités d'assurance de la qualité au niveau du service (AQNS) pour les formulaires 6449, Dossier d'identité virtuelle, présentés;
• fournir aux spécialistes autorisés l'infrastructure de TI et la formation sur l'ISO requises.

Cependant, un grand nombre de personnes interrogées qui comprennent, entre autres, des analystes de renseignements criminels et des chefs de détachement de toutes les divisions ont déclaré ne pas être au courant de la politique sur l'utilisation de l'ISO ou des rôles et des responsabilités de leur poste.

La vérification a révélé que les employés de tous les niveaux qui utilisent de l'ISO ne comprennent pas vraiment les rôles et les responsabilités prévus au chapitre 26.5 du MO. Sans des rôles et des responsabilités clairement établis et communiqués, il se peut que de l'ISO soit obtenue de façon inappropriée et utilisée à l'appui des enquêtes criminelles et de la collecte de renseignements criminels. La Gendarmerie pourrait être tenue responsable et cela pourrait avoir des répercussions sur les poursuites.

Supervision et surveillance

La supervision et la surveillance de la fonction liée à l'ISO sont nécessaires pour s'assurer que la Gendarmerie mène ses activités de façon appropriée afin d'appuyer les enquêtes et la collecte de renseignement.

L'équipe de vérification a constaté que le chapitre 26.5 du MO ne traite plus de la responsabilité de surveillance et de supervision à l'échelle nationale. La responsabilité de surveillance, notamment l'autorisation et la supervision des formulaires requis pour mener des activités liées à l'ISO, avait initialement été incluse dans la politique de 2015, mais elle a été confiée au service lorsque la politique a été modifiée en 2019.

La RTISO a informé l'équipe de vérification qu'elle n'avait pas la capacité d'exécuter ses responsabilités de supervision et de surveillance en tant que centre national de décision.^{Note de bas de page 5} De plus, celle-ci ne se considère pas comme un programme national, puisqu'elle n'a aucune autorité sur les autres secteurs d'activité et divisions qui mènent des activités liées à l'ISO à l'échelle de l'organisation. Les entrevues réalisées avec des membres de la haute direction de la PF, des SPS et de la Direction de la planification et des politiques stratégiques, ainsi qu'avec un OREC, ont permis de conclure que d'autres secteurs d'activité devraient probablement jouer un rôle dans la fonction de surveillance.

LA RTISO a admis ne pas être en mesure de jouer son rôle de centre national de décision, mais l'absence d'une surveillance nationale augmente le risque que de l'ISO sera recueillie et utilisée par les employés de la GRC sans avoir obtenu l'autorisation appropriée et sans respecter la politique. Cela pourrait augmenter le risque de rejet des poursuites judiciaires en raison de l'inadmissibilité des éléments de preuve.

Autorisation de mener des activités liées à l'ISO

Puisque la période visée par la vérification était l'exercice 2018-2019, les analyses effectuées reposaient sur la version de 2015 du chapitre 26.5 du MO. On a procédé à des analyses pour déterminer si les employés des secteurs spécialisés ou considérés comme des experts en la matière (EM) disposent des autorisations nécessaires pour les activités liées à l'ISO qu'ils mènent. La plupart des employés étaient des analystes de renseignements criminels.

Selon la version de 2015 du chapitre 26.5 du MO, les mécanismes de surveillance comprenaient l'approbation du formulaire 6448, Demande d'enregistrement de niveau par le sous-officier responsable de la RTISO, afin d'autoriser un employé à mener des activités liées à l'ISO de niveau 2 et de niveau 3. Aucune autorisation n'est requise pour les activités de niveau 1. La vérification a révélé que la RTISO n'avait approuvé aucun des 110 formulaires faisant partie de l'échantillon. Par conséquent, on a jugé que l'ensemble de l'échantillon ne respectait pas la politique de 2015.

L'équipe de vérification a été informée que la RTISO a modifié l'exigence relative à l'approbation sur le formulaire 6448 en janvier 2017 en raison du manque de capacité pour assurer la supervision et la surveillance; cependant, le chapitre 26.5 du MO n'a pas été mis à jour pour tenir compte de cette modification. Le formulaire 6448 modifié informe les utilisateurs d'ISO que seuls les formulaires pour les activités de niveau 3 doivent être envoyés à la RTISO aux fins d'approbation et que les formulaires pour les activités de niveau 2 doivent être recommandés par le chef de service, approuvés par l'officier hiérarchique et conservés au sein du service. L'équipe de vérification a donc vérifié si les autorisations du chef de service et de l'officier hiérarchique figuraient sur les formulaires. Selon les résultats des analyses, seulement 14 % des employés (15 sur 110) avaient reçu l'autorisation, au moyen d'un formulaire 6448, pour mener des activités liées à l'ISO :

• La majorité des employés faisant partie de l'échantillon (71 sur 110) n'avaient pas rempli le formulaire 6448 parce qu'ils n'étaient pas au courant de l'exigence de la politique ou ne pensaient pas que cela s'appliquait à eux.
• Des 39 formulaires sur 110 qui ont été remplis, la plupart étaient recommandés par le chef de service, mais seulement 15 sur 39 étaient approuvés par l'officier hiérarchique, comme l'exige le formulaire.
• La RTISO n'a pas rempli le formulaire 6448 pour ses propres employés. Elle estime que ceux-ci sont automatiquement désignés pour les activités de niveau 3 de par leur rôle au sein du centre de décision et la nature de leur travail dans un environnement secret. Cependant, aucune exemption de ce genre ne figure dans la politique.

Autorisation de créer des identités virtuelles discrètes

Un autre mécanisme de surveillance existait dans les versions de 2015 et de 2019 du chapitre 26.5 du MO, notamment le formulaire 6449, Dossier d'identité virtuelle, qui comprenait l'approbation par un gestionnaire pour la création, la modification et la suppression d'identités et de comptes virtuels discrets servant à mener des activités de niveau 2 et de niveau 3 (p. ex. faux comptes de médias sociaux). Le niveau du poste de gestionnaire n'était pas précisé sur le formulaire.

Le formulaire 6449 sert principalement à favoriser l'observation des identités et des comptes virtuels discrets ainsi que la résolution des incompatibilités potentielles dans les activités d'application de la loi menées sur Internet (p. ex. une personne d'intérêt pourrait être un autre policier ou un agent d'application de la loi utilisant une fausse identité). Cela peut être effectué à la GRC ou avec des partenaires externes, comme le SCRS ou le Federal Bureau of Investigation. Le formulaire sert également à assurer la surveillance dans les cas où une identité ou un compte virtuel discret a été compromis et ne doit donc plus être utilisé ainsi qu'à veiller à ce que les spécialistes de niveau 3 ne se lancent pas dans des opérations d'infiltration en ligne; celles-ci sont régies par le chapitre 30.8 du MO, qui est intitulé Opérations d'infiltration en ligne.

Le même échantillon de 110 employés a été analysé, et selon les résultats, seulement 6 % (7 sur 110) avaient bien rempli le formulaire 6449 :

• La majorité des employés faisant partie de l'échantillon (69 sur 110) n'avaient pas rempli le formulaire 6449 parce qu'ils n'étaient pas au courant de l'exigence de la politique ou ne pensaient pas que cela s'appliquait à eux.
• Des 41 formulaires sur 110 qui ont été remplis, seulement 7 sur 41 comprenaient les approbations requises.
• Plutôt que de remplir un formulaire 6449 individuel pour ses employés, la RTISO tient à jour une base de données électronique pour son propre groupe seulement. De même, la Section divisionnaire des analyses criminelles (SDAC) de la Division H n'oblige pas ses employés à remplir le formulaire 6449, mais elle tient à jour une liste maîtresse des identités virtuelles discrètes utilisées au sein du service. Le chapitre 26.5 du MO ne précise aucune solution de rechange; il faut donc remplir et faire approuver le formulaire 6449.

Les personnes interrogées à l'échelle des divisions ont confirmé qu'aucun processus cohérent n'est en place pour supprimer une identité virtuelle discrète lorsqu'un employé quitte un service. Les identités virtuelles discrètes sont conservées par l'intervenant dans son nouveau poste, sont conservées au sein du service aux fins d'utilisation par un nouvel intervenant ou demeurent inactives et inutilisées. Il est possible qu'une identité virtuelle discrète soit utilisée de façon inappropriée si l'utilisateur initial la conserve lorsqu'elle n'est plus nécessaire ou si un nouvel intervenant assume cette identité sans avoir obtenu les approbations requises.

La vérification n'a pas permis de déterminer que les activités liées à l'ISO font l'objet d'un suivi ou d'une surveillance à l'échelle nationale et divisionnaire. Selon la version de 2015 du chapitre 26.5 du MO, la RTISO était chargée d'inscrire et de gérer les désignations approuvées (formulaire 6448) et de tenir à jour les identités virtuelles discrètes (formulaire 6449) dans le registre national afin de favoriser l'observation des identités et des comptes virtuels discrets ainsi que la résolution des incompatibilités potentielles. Certaines personnes interrogées ont affirmé que lorsque les formulaires remplis lui étaient présentés, la RTISO les refusait et conseillait aux services de les conserver à leur niveau. En outre, la RTISO n'a pas établi un registre national, comme l'exigeait la politique de 2015. Le centre national de décision doit évaluer la valeur et la pertinence des formulaires 6448 et 6449 en tant que mécanismes de surveillance pour favoriser l'observation des personnes qui mènent des activités liées à l'ISO de niveau 2 et de niveau 3 et de leurs identités virtuelles.

L'équipe de vérification a été informée qu'en raison du manque de ressources nuisant à la capacité de la RTISO de jouer son rôle de centre de décision, cette exigence a été supprimée lorsque la politique a été modifiée en 2019. Selon la politique actuelle, l'intervenant doit conserver les formulaires approuvés dans le registre du service. Puisque beaucoup de personnes interrogées n'étaient pas au courant de l'existence de la politique, elles ne savaient pas non plus que la responsabilité de surveillance leur avait été confiée.

Assurance de la qualité au niveau du service (AQNS)

La politique de 2019 comprend une nouvelle exigence : en tant que mécanisme de surveillance, les chefs de service doivent effectuer des examens d'AQNS pour les formulaires 6449 présentés. Cependant, aucun guide sur l'AQNS pour cette activité n'a été élaboré. L'AQNS pourrait constituer un outil utile pour surveiller le respect des politiques, mais elle ne remplace par la surveillance à l'échelle nationale, qui permet de regrouper et d'analyser les résultats et de cerner les pratiques exemplaires et les difficultés qu'éprouvent les utilisateurs à l'échelle de la Gendarmerie.

L'absence de surveillance et de supervision par le centre national de décision pourrait entraîner un manque d'observation des personnes qui mènent des activités liées à l'ISO. Cela pourrait compromettre des poursuites criminelles et donner lieu à une jurisprudence qui limite l'utilisation d'ISO (p. ex. l'employé n'avait pas l'autorisation de mener des activités liées à l'ISO ou l'information n'a pas bien été saisie). La Gendarmerie pourrait être tenue responsable ou sa réputation pourrait être entachée.

Politique

L'équipe de vérification s'attendait à ce qu'une politique nationale sur l'utilisation de l'ISO soit en place, à jour, communiquée et respectée. De plus, elle s'attendait à ce que cette politique fournisse des directives adéquates sur la saisie, le stockage et la conservation d'ISO. Par ailleurs, elle s'attendait à ce que les politiques divisionnaires soient harmonisées avec les politiques nationales.

Élaboration de politiques

La consultation auprès des intervenants pertinents est un élément important de l'élaboration des politiques afin de s'assurer que les questions liées aux politiques sont bien comprises et que les points de vue sont pris en considération. La vérification n'a permis de trouver aucune preuve concrète qui démontre que des consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO.

La RTISO a informé l'équipe de vérification que les secteurs d'activité et les OREC divisionnaires ont été consultés pendant le processus initial d'élaboration de la politique en 2015 afin de désigner des experts en la matière utilisant Internet pour les enquêtes criminelles et la collecte de renseignements criminels. Elle a signalé que les grandes divisions ont désigné des experts en la matière, mais que les autres divisions ne l'ont pas fait. En outre, les SPCA n'ont pas participé pleinement et la RTISO ne se souvenait pas si les SPS ont été consultés. Pour ce qui est de la mise à jour de la politique en 2019, la RTISO a informé l'équipe de vérification qu'aucune consultation officielle n'a été menée auprès des principaux intervenants. Le chapitre 26.5 du MO est utilisé par un grand nombre d'intervenants à la Gendarmerie et le respect du chapitre dépend de l'appui des intervenants ainsi que de la connaissance et de la compréhension de la politique. En raison de l'absence de consultations pour l'élaboration du chapitre 26.5 du MO, les utilisateurs pourraient ne pas savoir quand le chapitre s'applique à leurs tâches.

Certaines personnes interrogées ne faisant pas partie de groupes spécialisés ne pensaient pas que le chapitre 26.5 du MO s'appliquait à leurs activités liées à l'ISO puisqu'elles ne menaient pas d'opérations d'infiltration en ligne ou ne communiquaient pas avec des cibles ou des personnes d'intérêt (activités secrètes de niveau 3). Les employés comprennent la définition des activités de niveau 1 (non déguisées) et des activités de niveau 3 (secrètes), mais il y a un manque de clarté quant aux activités de niveau 2 (discrètes). Des sources ouvertes sont utilisées pour tous les types de collecte de renseignement et d'enquêtes (p. ex. personnes disparues, crimes haineux, homicides, introductions par effraction, drogues, etc.), mais beaucoup de personnes interrogées ne se rendaient pas compte que leurs activités liées à l'ISO nécessitaient l'approbation de niveau 2.

Les personnes interrogées ont mentionné que la majorité de la recherche relative à l'ISO était menée de façon passive (c.-à-d. sans communiquer ou interagir avec des personnes d'intérêt), mais certaines exceptions contraires à la politique ont été signalées, comme l'adhésion à des groupes Facebook privés dans le cadre d'un effort proactif de surveillance pour obtenir, lors de de discussions en ligne, des renseignements sur des activités à venir (p. ex. protestation ou manifestation) et l'utilisation de comptes de médias sociaux personnels pour tenter de communiquer ouvertement avec une personne disparue.

La mobilisation des principaux intervenants des secteurs d'activité et des divisions a été limitée lors de l'élaboration du chapitre 26.5 du MO. L'absence de consultations ne permet pas de garantir que les questions liées aux politiques sont bien comprises par les intervenants pertinents; par conséquent, les intervenants auxquels la politique s'applique pourraient ne pas donner leur appui ou comprendre les rôles et les responsabilités.

Communication des politiques

Une des responsabilités du centre de décision consiste à communiquer et à transmettre activement les renseignements pertinents à ceux qui ont en besoin. Cela peut comprendre l'annonce d'une nouvelle politique, les décisions judiciaires pertinentes, les documents d'orientation, les bulletins de communication et les exigences en matière de formation. L'équipe de vérification a constaté qu'aucun processus d'échange de renseignements n'est en place pour les employés qui mènent des activités liées à l'ISO. Le centre de décision transmet des renseignements de façon ponctuelle ou sur demande aux secteurs spécialisés; cependant, ceux-ci pourraient ne pas être reçus par tous les membres et l'organisation dans son ensemble.

Les experts en la matière qui ont été interrogés ont confirmé que la politique modifiée en 2019 ne leur a pas été transmise. La RTISO a signalé qu'elle a envoyé des mises à jour aux OREC par le passé et qu'elle compte sur les OREC pour diffuser les renseignements aux employés des divisions qui en ont besoin. Cependant, aucun OREC des divisions faisant partie de l'échantillon ne se rappelait avoir reçu de communication sur l'ISO, dont sur la modification de la politique du chapitre 26.5 du MO effectuée en 2019.

Le chapitre 26.5 du MO peut être consulté dans les manuels de la GRC dans InfoWeb, mais il peut être un peu difficile à trouver, parce qu'il se trouve sous Crime facilité par Internet dans le MO, qui relève de la RTISO, sous les Operations secrètes de la PF, en tant que centre de décision. Avant la mise à jour récente de la politique en 2019, dans le cadre de laquelle « sources ouvertes » a été ajoutée au titre, le chapitre 26.5 du MO ne figurait pas dans les résultats des recherches menées dans InfoWeb pour « sources ouvertes ». Sauf pour certains superviseurs et analystes de renseignements criminels, la plupart des personnes interrogées n'étaient pas au courant de l'existence du chapitre 26.5 du MO.

Puisque le chapitre 26.5 du MO n'avait pas été communiqué à grande échelle aux personnes participant aux activités liées à l'ISO, des groupes de la Gendarmerie n'étaient pas au courant qu'on leur avait attribué la responsabilité et l'obligation de rendre des comptes en matière d'ISO. Pour cette raison, le risque que les activités liées à l'ISO ne soient pas menées conformément aux exigences de la politique est plus élevé.

Harmonisation des politiques

Selon le chapitre III.4 du Manuel d'administration, les divisions peuvent élaborer des politiques opérationnelles supplémentaires lorsqu'une directive s'applique uniquement à leur propre secteur et lorsque les renseignements ne figurent pas dans une politique nationale. Les suppléments ne doivent pas répéter les renseignements figurant dans les politiques nationales et seules les pratiques locales propres à une province ou à un territoire doivent figurer dans les politiques divisionnaires. Celles-ci doivent être conformes aux politiques nationales de la GRC et harmonisées avec celles-ci.

Les suppléments divisionnaires aux politiques des Divisions B, D, E, F, G et M ont été examinés. Aucune préoccupation majeure n'a été relevée en ce qui concerne leur harmonisation avec les politiques nationales, mais il serait utile d'examiner tous les suppléments divisionnaires aux politiques ayant trait au chapitre 26.5 du MO afin d'assurer le respect et la cohérence à l'échelle de la Gendarmerie.

La Vérification interne, Évaluation et Examen (VIEE) a récemment terminé la phase II de la Vérification de la gestion des politiques, qui a révélé la lacune suivante : les centres de décision nationaux ne sont pas tenus d'examiner les politiques divisionnaires. L'absence d'une exigence à cet effet peut accroître le manque d'harmonisation entre les politiques nationales et divisionnaires et entraîner une application non cohérente des politiques. Le risque est accru en l'absence d'une fonction nationale de supervision et de surveillance.

Saisie, stockage et conservation

Dans l'ensemble, le chapitre 26.5 du MO ne comprend pas de renseignements précis sur la façon de saisir, de stocker et de conserver l'ISO. Il renvoie plutôt les utilisateurs au Manuel de la gestion de l'information (GI) et à la Loi sur la preuve au Canada. Aucune autre directive nationale n'a été trouvée pour aider les employés. Une décision judiciaire rendue en Colombie-Britannique en 2017 (R. c. Hamdan, 2017 BCSC 867) met en évidence des saisies incorrectes d'ISO par la GRC qui ont donné lieu à une poursuite infructueuse et renforcé la nécessité de faire preuve d'une prudence accrue. Beaucoup des personnes interrogées n'étaient pas au courant de l'existence de cet arrêt. La version de 2019 du chapitre 26.5 du MO mentionne cette affaire, mais aucune directive nationale n'a été établie pour décrire la façon de saisir correctement l'ISO en vue de s'assurer que les exigences des tribunaux sont respectées.

À l'heure actuelle, il incombe à l'utilisateur d'assurer le respect des politiques pertinentes et de conserver les éléments de preuve électroniques d'une manière qui résiste à l'examen rigoureux des tribunaux. Les personnes interrogées ont confirmé qu'elles ont besoin de directives sur les méthodes acceptables de saisie, de stockage et de conservation de l'ISO. Elles ont également mentionné qu'aucune directive de la GRC n'existe pour les aider à défendre leurs processus liés à l'ISO lorsqu'elles doivent témoigner devant les tribunaux.

La vérification a révélé que les employés utilisent diverses méthodes pour documenter les activités liées à l'ISO, comme des registres des travaux et des carnets d'analystes, des rapports supplémentaires, des rapports détaillés sur les RSO, des captures d'écran simples ou partielles, des courriels et des exposés narratifs. La plupart des analystes ont confirmé qu'ils utilisent des identités et des comptes virtuels discrets pour accéder à des documents de sources ouvertes. Aux détachements, la plupart des membres ont déclaré qu'ils utilisent leurs comptes personnels pour accéder à l'ISO. Cependant, quelques détachements ont affirmé que de faux comptes sont disponibles et que les membres les partagent.

Les personnes interrogées ont déclaré qu'elles utilisent divers outils et pratiques pour saisir l'ISO et que ceux-ci varient d'une division à l'autre ainsi qu'au sein des divisions. Cela comprend la prise de captures d'écran, l'impression en format PDF et l'utilisation de logiciels judiciaires spécialisés.

Une note de service conjointe des commissaires adjoints (comm. adj.) des SPCA, de la PF et des SPS, qui a été rédigée en partie à la suite d'une recommandation^{Note de bas de page 6}, du Rapport MacNeil, a été envoyée aux OREC divisionnaires en février 2018. Celle-ci mettait en valeur l'utilisation de Social Studio.^{Note de bas de page 7} Cependant, l'adoption de Social Studio est limitée puisqu'un grand nombre d'employés des divisions sont d'avis que le logiciel ne répond pas à leurs besoins. Le chapitre 26.5 du MO n'établit aucune norme relativement à l'utilisation d'outils et de logiciels particuliers pour la collecte d'ISO, mais l'absence d'une approche normalisée pourrait nuire aux enquêtes et aux poursuites fructueuses.

De nombreux analystes ont déclaré que les résultats des recherches menées dans des sources ouvertes sont envoyés à l'enquêteur principal ou au coordonnateur des dossiers, qui décide de les verser ou non au dossier d'enquête dans un des systèmes de gestion des dossiers opérationnels (SGDO) existants, comme le Système d'incidents et de rapports de police (SIRP), le Système d'incidents et de rapports de police protégé (SIRPP) et l'Environnement de gestion de l'information des dossiers de police de la Colombie-Britannique (PRIME-BC). Les renseignements stockés dans un SGDO sont conformes aux lignes directrices sur la gestion et la conservation des renseignements établies. La majeure partie de l'ISO est stockée sous forme de document d'information, dont la période de conservation peut être relativement courte (p. ex. deux ans).

Les analystes ont signalé que l'ISO recueillie est souvent trop volumineuse pour être enregistrée dans un SGDO et doit donc être stockée dans un autre dépôt de données, comme des lecteurs personnels ou partagés, des clés USB ou des lecteurs externes. De plus, certains analystes conservent indéfiniment les RSO en tant que sources de renseignements futurs parce que les personnes d'intérêt peuvent continuer de susciter des préoccupations sur de longues périodes pour certains types de crimes (p. ex. crimes graves et crime organisé, drogues et terrorisme) et l'ISO déjà recueillie pourrait ne plus être disponible sur Internet. Cependant, l'utilisateur doit quand même déterminer et appliquer les lignes directrices sur la conservation appropriées pour les renseignements stockés. Les pratiques actuelles pourraient entraîner la conservation d'ISO au-delà des exigences en matière de conservation ou la suppression trop rapide d'ISO. En outre, les utilisateurs doivent tenir compte des exigences en matière de sécurité des TI et des risques possibles si des RSO regroupés sont conservés dans un dépôt dont la protection n'est pas suffisante.

L'ISO est utilisée par un grand nombre d'employés de la GRC pour les services policiers quotidiens et non uniquement dans les secteurs spécialisés. Si les utilisateurs ne sont pas au courant des méthodes appropriées de saisie de l'ISO en conformité avec les décisions judiciaires existantes, cela pourrait nuire aux enquêtes et aux poursuites fructueuses et donner lieu à une nouvelle jurisprudence qui limite l'utilisation d'ISO dans les activités policières à l'avenir. De plus, le stockage et la conservation inappropriés de RSO pourraient causer des problèmes de responsabilité relativement à la protection des renseignements personnels.

Formation et infrastructure de TI

L'équipe de vérification s'attendait à constater que les employés menant des activités liées à l'ISO recevaient la formation et l'infrastructure de TI requises pour les activités de leur niveau.

Formation obligatoire

Le Tableau de bord des activités en ligne du chapitre 26.5 du MO (annexe B) présente les exigences en matière de formation par niveau, de la façon suivante :

• Niveau 1 : Aucune exigence en matière de formation obligatoire n'est indiquée.
• Niveau 2 : Les employés doivent communiquer avec la RTISO pour les formations d'introduction relatives aux sources ouvertes recommandées. Un cours sur AGORA était en cours d'élaboration par la RTISO, mais il n'était pas prêt au moment de la vérification. Entre temps, la RTISO a recommandé des programmes de formation équivalents offerts par des fournisseurs internes, notamment le Collège canadien de police et le Centre de formation de la région du Pacifique de la GRC, ainsi que par des fournisseurs externes.^{Note de bas de page 8}
• Niveau 3 : Les employés doivent suivre un cours avancé obligatoire portant sur les activités liées à l'ISO dans un environnement secret. La RTISO coordonne et offre un cours obligatoire intitulé Utilisation tactique d'Internet. On y trouve également une liste des cours facultatifs pour satisfaire aux exigences relatives aux activités de niveau 3.

Il incombe à l'employé de déterminer la formation sur l'ISO appropriée qu'il doit suivre selon le niveau d'activités qu'il mène. Le tableau de bord indique clairement les exigences en matière de formation pour les activités de niveau 3. Cependant, les exigences en matière de formation pour les activités de niveau 2 ne sont pas claires. Il se peut que les utilisateurs menant des activités de niveau 2 qui n'ont pas suivi de formation recueillent et utilisent l'ISO de façon inappropriée.

L'échantillon de 110 employés composé principalement d'analystes de secteurs spécialisés a été analysé afin de déterminer si ceux-ci ont suivi la formation obligatoire pour le niveau d'activités liées à l'ISO qu'ils menaient. L'analyse a permis de confirmer que 96 % (106 sur 110) des employés faisant partie de l'échantillon avaient suivi la formation appropriée.^{Note de bas de page 9} De nombreux analystes du renseignement ont déclaré qu'ils s'appuient sur leur formation plutôt que sur la politique pour les guider relativement à l'ISO. Certaines personnes interrogées faisant partie des secteurs spécialisés ont affirmé qu'une formation de recyclage plus fréquente serait utile.

La plupart des analystes des groupes spécialisés ont suivi la formation obligatoire pour les activités de leur niveau, mais un grand nombre de membres dans les détachements n'ont suivi aucune formation sur l'ISO. Les chefs de service et leurs représentants ont déclaré que les employés des divisions n'étaient pas au courant qu'ils effectuent des activités de niveau 2; ils ne savaient donc pas non plus que les exigences en matière de formation décrites dans le chapitre 26.5 du MO s'appliquaient à eux. Par conséquent, la plupart des employés n'ont pas suivi de formation sur l'ISO.

Un cadre supérieur de la Division Dépôt a confirmé que le Programme de formation des cadets (PFC) ne traite pas de l'utilisation de l'ISO ou de l'utilisation d'Internet pour mener des activités policières. Toute demande d'ajout de matière au PFC doit être appuyée par une analyse des besoins qui révèle une lacune pour ce qui est des compétences requises par un gendarme des services généraux de première ligne une fois la formation de base terminée. Sachant que le temps accordé au PFC est limité, il faut envisager d'inclure l'ISO dans le programme puisque la majorité des membres l'utilisent dans une certaine mesure pour les services policiers quotidiens.

Les membres ont pu tirer des renseignements d'autres cours opérationnels qui portent sur Internet, mais une formation d'introduction sur les exigences en matière d'ISO est toujours requise. En effet, il faut s'assurer que les activités sont menées de façon appropriée et de façon à favoriser des poursuites fructueuses, à éviter la création de nouvelle jurisprudence, à réduire la responsabilité de la Gendarmerie et à protéger les agents des risques liés à l'attribution, p. ex. si les membres utilisent des appareils personnels pour mener des activités liées à l'ISO. Il est possible d'offrir une formation aux membres réguliers, puisqu'ils font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.

Infrastructure de TI

La politique du chapitre 26.5 du MO définit les exigences en matière d'infrastructure de TI par niveau dans le Tableau de bord des activités en ligne. Un élément clé de ces exigences est le concept d'attribution, qui est ainsi défini dans le chapitre 26.5 du MO : processus consistant à circonscrire divers points communs de données qui peuvent, ensemble, contribuer à révéler d'importants renseignements d'identité. Les différences sont les suivantes pour les niveaux :

• Les activités de niveau 1 sont non déguisées et l'attribution ne constitue pas une préoccupation liée à la TI.
• Les activités de niveau 2 doivent être menées sur des réseaux de faible attribution dont l'adresse du protocole Internet (IP) est difficilement attribuable aux organismes d'application de la loi. L'acquisition de l'infrastructure de TI de niveau 1 et de niveau 2 est conforme aux processus d'acquisition normalisés de la GRC pour le matériel et les logiciels.
• Les activités de niveau 3 doivent être menées sur des réseaux secrets dont l'attribution aux organismes d'application de la loi est expressément dissimulée et protégée au moyen d'activités de couverture divisionnaires et achetés par l'entremise de dépenses de nature délicate.^{Note de bas de page 10}

Les exigences en matière d'infrastructure de TI de niveau 1 et de niveau 3 sont clairement définies et bien comprises; cependant, celles pour l'infrastructure de niveau 2 ne le sont pas. De plus, aucune directive ou solution relative à l'infrastructure de niveau 2 n'a été fournie par la RTISO ou le Programme de GI-TI. Actuellement, il revient à l'utilisateur de comprendre ses besoins particuliers en matière d'infrastructure de TI et d'obtenir la mise en place requise ainsi que d'appliquer les stratégies d'atténuation appropriées afin de réduire les risques liés à l'attribution. Cependant, beaucoup d'utilisateurs n'étaient pas au courant des exigences.

L'équipe de vérification a été informée que lorsque les utilisateurs demandent la mise en place d'une infrastructure de niveau 2, Services partagés Canada (SPC) fournit l'infrastructure de TI, c'est-à-dire un ordinateur autonome qui permet d'avoir accès à l'Internet ouvert, à moins que l'utilisateur ne fournisse des exigences supplémentaires. Les entrevues réalisées avec les analystes du renseignement, les représentants de détachements, les représentants des Services divisionnaires de l'informatique et les dirigeants divisionnaires de l'Informatique (DDI) ont permis de confirmer l'absence de directives pour la mise en place d'infrastructure de TI de niveau 2. Les DDI de la Division E et de la Division H ont déclaré qu'un ordinateur autonome ne serait pas suffisant pour gérer les risques liés à l'attribution puisque les composants matériels et logiciels peuvent contenir des identificateurs associés aux organismes d'application de la loi (p. ex. licence). La RTISO a mentionné qu'un ordinateur autonome peut être suffisant, mais elle précise que cela dépend de la façon dont le service a configuré son réseau ainsi que des composants matériels et logiciels. Elle a aussi précisé que le caractère adéquat de l'infrastructure de TI dépend d'autres facteurs, notamment la nature délicate des renseignements faisant l'objet d'une recherche, le niveau de connaissances de la cible ou de la personne d'intérêt et l'application par les utilisateurs d'ISO d'autres mesures d'atténuation pour les cas à risque élevé (p. ex. l'utilisation de réseaux privés virtuels).

En raison de l'absence d'exigences clairement définies pour l'infrastructure de TI de niveau 2, les employés pourraient utiliser de l'équipement ou des réseaux attribuables à la GRC. De plus, il est important que tous les détachements aient accès à l'équipement de niveau 2 approprié. Pour veiller à ce que les utilisateurs d'ISO aient accès à des renseignements à jour, le centre national de décision devrait ajouter d'autres directives au chapitre 26.5 du MO et préciser les outils et les logiciels recommandés à utiliser pour les activités liées à l'ISO ainsi que les exigences techniques en matière d'infrastructure de TI de niveau 2.

Attribution

La réalisation de vérifications régulières des attributions sur les ordinateurs utilisés pour mener des activités liées à l'ISO constitue une pratique efficace pour s'assurer que les adresses IP ne sont pas directement attribuables aux organismes d'application de la loi. Les analystes étaient au courant des risques liés à l'attribution, mais bon nombre d'entre eux ont signalé qu'ils ne réalisent pas régulièrement des vérifications des attributions. La majorité des employés du détachement ayant été interrogés n'étaient pas au courant de ces risques et ne réalisent pas des vérifications des attributions.

La RTISO a mentionné que diverses couches de protection sont en place pour réduire les risques liés à l'attribution et seule la première couche (c.-à-d. l'adresse IP) peut facilement être analysée afin de déterminer si l'empreinte numérique initiale est associée à la GRC. L'équipe de vérification a mené des analyses de l'attribution sur 46 ordinateurs. Elle a déterminé qu'un seul ordinateur était directement attribuable à la GRC en fonction de son adresse IP et que les autres étaient directement attribuables aux fournisseurs de services Internet; il s'agit du résultat visé. Une seconde analyse a été menée afin de vérifier si les coordonnées de latitude et de longitude des adresses IP permettraient d'établir la proximité à un bureau de la GRC. Le nombre d'ordinateurs potentiellement attribuables à la GRC est passé à six, ce qui signifie que les renseignements de géocartographie pourraient permettre d'identifier la GRC et accroître les risques liés à l'attribution.

Au-delà de la première couche de protection, il y a d'autres couches de protection dont il faut tenir compte (p. ex. l'ensemble des composants matériels et logiciels attribuables), mais la RTISO a signalé qu'il n'est pas possible pour un utilisateur d'analyser celles-ci facilement. De plus, la RTISO a précisé que, même si une infrastructure de TI de niveau 2 appropriée est en place, une faible attribution n'est pas garantie si l'utilisateur est branché à un réseau Internet partagé, et la plupart des personnes interrogées accédaient à Internet au moyen d'un réseau partagé. Sur un réseau partagé, les activités en ligne menées par les autres utilisateurs peuvent accroître par inadvertance les risques liés à l'attribution. En revanche, un accès à Internet par liaison spécialisée offre la meilleure garantie d'une faible attribution, puisqu'il est uniquement utilisé par le spécialiste ou le service qui y est branché.

Les analyses de l'attribution menées par l'équipe de vérification n'ont pas révélé un nombre élevé d'ordinateurs attribuables à la GRC, mais il n'est toujours pas clair si les ordinateurs autonomes fournissent une protection suffisante contre l'attribution. Il faut aussi tenir compte d'autres facteurs au moment de déterminer si les risques sont atténués de façon appropriée pour l'infrastructure de niveau 2, par exemple l'utilisation de réseaux privés virtuels lorsque les ordinateurs à utiliser pour mener des activités liées à l'ISO sont branchés à un réseau Internet partagé.

Solutions de TI pour l'infrastructure de TI de niveau 2

En 2017, le système LANA (Low Attribution Network Access), dont les Opérations techniques des SPS étaient responsables, a été mis hors service. Cela a créé une lacune dans l'infrastructure de TI de niveau 2 de la GRC, parce que les services sont maintenant tenus d'obtenir une infrastructure de réseau de faible attribution auprès de SPC. Deux initiatives sont en cours pour élaborer une infrastructure de TI de niveau 2 discrète pour la GRC.

1. Les Solutions technologiques à l'échelle fédérale (STF) de la PF dirigent un projet visant à examiner une solution infonuagique pour l'infrastructure de niveau 2. Il s'agit du projet Cerebro. Des essais initiaux ont été menés par des utilisateurs partout au Canada; ceux ci se sont connectés au nuage au moyen d'ordinateurs autonomes avec accès à Internet et les essais ont été jugés fructueux. La prochaine phase des essais est en cours. Dans le cadre de celle ci, les utilisateurs accèdent au nuage au moyen d'ordinateurs branchés au Système de bureautique de la GRC.
2. Les Services informatiques de la DG dirigent un projet visant à élaborer un processus normalisé et une image de réseau afin de permettre aux utilisateurs de la DG d'obtenir une infrastructure de niveau 2 traditionnelle (c.-à-d. du matériel physique) par l'entremise de SPC. Le but est de fournir une connexion Internet discrète pour laquelle l'adresse IP est directement attribuable au « gouvernement du Canada ». Cependant, la RTISO a signalé que cela ne serait pas suffisant pour l'infrastructure de niveau 2, parce que l'intention de la politique est de donner l'impression qu'il s'agit d'une personne normale qui accède à Internet et non d'être identifié en tant qu'entité gouvernementale.

Ces initiatives en cours n'ont pas été incluses dans la portée de la vérification, mais le Programme de GI-TI, les STF, la RTISO et les Services informatiques de la DG devraient collaborer afin de maximiser les avantages, de réduire le dédoublement des efforts et d'assurer le respect des exigences en matière d'infrastructure de TI de niveau 2 définies dans le chapitre 26.5 du MO. Toute solution de TI à l'échelle de l'organisation pour les activités de niveau 2 doit prendre en considération ce qui suit : l'utilisation de réseaux partagés et tous les composants attribuables de l'infrastructure de TI, la classification de l'ISO en tant qu'information non classifiée et les risques possibles lorsque l'ISO regroupée devient des RSO classifiés, les exigences en matière de GI (p. ex. stockage et conservation des données et données de sauvegarde) et, enfin, les considérations liées à la protection des renseignements personnels et les répercussions sur celle-ci pour ce qui est de la façon dont les données sont stockées et de l'endroit où elles sont stockées (p. ex. serveurs à l'étranger ou dans le nuage).

Appareils mobiles

Le Tableau de bord des activités en ligne du chapitre 26.5 du MO mentionné à l'annexe B du présent rapport limite l'utilisation d'appareils mobiles pour mener des activités liées à l'ISO. Plus particulièrement, pour les activités de niveau 2, le tableau de bord précise que les « appareils mobiles discrets peuvent uniquement être utilisés pour la validation ou l'authentification de profils virtuels discrets ». Les entrevues ont permis de confirmer l'utilisation répandue par les membres d'appareils mobiles personnels et d'appareils mobiles fournis par l'organisation pour mener des activités liées à l'ISO.

À la suite d'une des recommandations^{Note de bas de page 11} du Rapport MacNeil et selon l'initiative Vision 150 de la GRC, des téléphones intelligents sont remis à tous les membres de première ligne afin d'accroître la connaissance de la situation, d'améliorer les interventions tactiques et de renforcer la sécurité des agents. En septembre 2019, 10 000 appareils avaient été achetés et environ 8 700 avaient été distribués.^{Note de bas de page 12} Des applications ne faisant pas l'objet de moyens de couverture seront installées sur ces appareils. Toutefois, si ces derniers sont utilisés de façon non déguisée pour exercer des fonctions liées à l'ISO qui devraient être exercées de façon discrète ou secrète, cela pourrait entraîner l'attribution à la GRC ou aux employés eux-mêmes et accroître les risques pour la sécurité des agents.

La distribution des téléphones intelligents est en cours, mais aucune directive supplémentaire n'a été fournie au sujet des pratiques d'utilisation acceptables relativement aux activités liées à l'ISO menées sur les appareils mobiles, p. ex. télécharger des applications et utiliser des comptes de médias sociaux personnels ou en créer des faux pour consulter des renseignements accessibles au public. Toute solution de TI à l'échelle de l'organisation pour les activités de niveau 2 doit prendre en considération l'utilisation répandue d'appareils mobiles ainsi que les risques possibles liés à l'attribution, les exigences en matière de GI et les considérations liées à la protection des renseignements personnels.

Conclusion

L'ISO est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la GRC. Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses, comme les enquêtes, la collecte de renseignement, la sensibilisation et la mobilisation du public, l'analyse de l'environnement et la recherche. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête criminelle ou de la fonction de collecte de renseignement.

Dans l'ensemble, la vérification a permis de déterminer que les activités liées à l'ISO menées sur Internet à l'échelle de l'organisation n'étaient pas conformes au chapitre 26.5 du MO. Il est possible d'élaborer un cadre de gouvernance plus solide et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire. Sans une définition claire des rôles et des responsabilités et une supervision et une surveillance adéquates, l'observation des personnes qui mènent des activités liées à l'ISO pourrait être insuffisante. Cela pourrait nuire aux enquêtes et aux poursuites fructueuses et donner lieu à une nouvelle jurisprudence qui limite l'utilisation d'ISO dans les activités policières à l'avenir.

Peu de consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO en 2015 et aucune lors de la mise à jour de la politique en 2019. La vérification a révélé qu'un grand nombre d'employés n'étaient pas au courant de l'existence de la politique ou que celle-ci s'applique aux activités liées à l'ISO qu'ils mènent. De plus, le chapitre 26.5 du MO ne fournit pas assez de renseignements pour orienter les utilisateurs sur la façon de saisir, de stocker et de conserver l'ISO.

Étant donné que l'ISO est largement utilisée par un grand nombre d'employés de la GRC, si les utilisateurs ne sont pas au courant des méthodes appropriées de saisie, de stockage et de conservation de l'ISO, cela pourrait nuire aux enquêtes. Il est possible de communiquer à grande échelle le chapitre 26.5 du MO et d'informer les employés des cas où il s'applique à leurs tâches. Des directives supplémentaires doivent être élaborées et communiquées à l'échelle de la Gendarmerie; celles-ci doivent porter sur la saisie, le stockage et la conservation d'ISO, les pratiques exemplaires, la préparation en vue de témoigner devant les tribunaux et l'infrastructure de niveau 2 acceptable (notamment les logiciels, l'équipement, les systèmes de stockage et les dépôts appropriés).

Enfin, la formation et l'échange de renseignements constituent des investissements précieux qui permettraient de s'assurer que les utilisateurs d'ISO ont accès aux renseignements les plus à jour, y compris la jurisprudence pertinente. Il est possible d'offrir une formation d'introduction relative aux sources ouvertes aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2 et de faciliter l'échange de renseignements à l'échelle de l'organisation.

Recommandations

1. Les sous-commissaires de la PF, des SPS et des SPCA doivent collaborer pour déterminer la meilleure façon d'exercer la fonction de surveillance relativement aux activités liées à l'ISO en tenant compte du fait que l'ISO est utilisée par de multiples secteurs d'activités à l'échelle de la Gendarmerie.
2. À la suite de la décision relative à la recommandation no 1, les responsables opérationnels doivent s'assurer que :
1. Des mécanismes nationaux de surveillance sont en place pour améliorer l'observation des activités liées à l'ISO menées à l'appui des enquêtes et de la collecte de renseignement.
2. La politique nationale est mise à jour en fonction de la responsabilisation convenue.
3. Des directives supplémentaires portant sur la saisie appropriée de l'ISO, les pratiques exemplaires et les outils recommandés, les résumés de jurisprudence pertinents et des conseils sur le témoignage devant les tribunaux pour les pratiques liées à l'ISO sont élaborées et publiées.
4. Des directives supplémentaires sur les exigences en matière de gestion de l'information quant au stockage et à la conservation de l'ISO et des RSO sont élaborées et publiées. Celles-ci doivent préciser les cas où l'on considère que l'ISO et les RSO ont une valeur opérationnelle.
5. Une stratégie de communication pour le chapitre 26.5 du MO est élaborée et mise en œuvre pour informer les employés de l'ensemble de la GRC des exigences relatives aux activités liées à l'ISO et des cas où la politique s'applique à leurs tâches. Cela peut comprendre la poursuite de l'élaboration et la réussite du cours d'introduction à l'ISO sur AGORA. De plus, le Comité national de surveillance de la formation obligatoire peut envisager de rendre le cours obligatoire pour les membres réguliers lorsqu'il sera disponible, puisque ceux-ci font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.
3. Le sous-commissaire des SPS, en collaboration avec les sous-commissaires de la PF et des SPCA, doit envisager la possibilité d'élaborer une solution à l'échelle de l'organisation pour combler la lacune actuelle dans l'infrastructure de TI de niveau 2. Entre-temps, il faut élaborer des directives sur les exigences techniques ou les mesures d'atténuation (p. ex. réseau privé virtuel) relatives à l'infrastructure de niveau 2 et les diffuser aux utilisateurs d'ISO de niveau 2.

Annexe A – Objectifs et critères de la vérification

Annexe B – Chapitre 26.5 du MO – tableau de bord des activités en ligne

Annexe C – Plan d'action de la direction

Audit of Open Source Information

Vetted report

January 2021

Access to Information Assessment

An assessment of this report with respect to provisions in the Access to Information Act produced no exemptions; therefore, this report is presented in its entirety.

Table of contents

1. Acronyms and abbreviations
2. Executive summary
3. Management's response to the audit
4. Background
5. Objective, scope and methodology
   • Objective
   • Scope
   • Methodology
   • Statement of conformance
6. Audit findings
   • Governance
   • Policy
   • Training and IT infrastructure
7. Conclusion
8. Recommendations
9. Appendix A – Audit objective and criteria
10. Appendix B – OM 26.5 online activity dashboard
11. Appendix C – Management Action Plan

Acronyms and abbreviations

C&IP

Contract & Indigenous Policing

CTP

Cadet Training Program

CIO

Chief Information Officer

CROPs

Criminal Operations

DCAS

Division Criminal Analysis Section

DIO

Divisional Informatics Officer

FP

Federal Policing

FTS

Federal Technology Solutions

IAER

Internal Audit, Evaluation & Review

IT

Information Technology

IP

Internet Protocol

NHQ

National Headquarters

OM

Operational Manual

ORMS

Operational Records Management Systems

OSI

Open Source Information

OSINT

Open Source Intelligence

RCMP

Royal Canadian Mounted Police

SME

Subject Matter Expert

SOP

Standard Operating Procedures

SPS

Specialized Policing Services

SSC

Shared Services Canada

TIOS

Tactical Internet Operational Support

ULQA

Unit-Level Quality Assurance

Executive summary

Open source information (OSI) is a key tool that is used organization-wide, across all business lines and within every RCMP division. OSI activities are performed by all categories of employees for a variety of purposes. It is often the first step in policing activities, and is just one component of a criminal investigation or intelligence gathering function. The RCMP Operational Manual (OM), section 26.5, titled Using the Internet for Open Source Intelligence and Criminal Investigations provides a framework for the collection and use of OSI and open source intelligence based on a 3-tier system (Tier 1: overt, Tier 2: discreet, Tier 3: covert).

The objective of the audit was to determine whether internet-related open source activities conducted across the organization were consistent and compliant with policy. The audit scope focused on internet-related open source activities in support of criminal investigations and criminal intelligence gathering at the national and divisional levels from April 1, 2018 to March 31, 2019.

Overall, the audit determined that internet-related open source activities conducted across the organization were not consistent nor compliant with OM 26.5. The audit found that opportunities exist to develop a more robust governance framework and enhance national and divisional oversight of open source activities. Without clear roles and responsibilities, and adequate monitoring and oversight, the Force could be exposed to liability and reputational risk, or criminal prosecutions could be jeopardized and the resulting case law could restrict the future use of open source.

There was limited consultation for the development of OM 26.5 in 2015, and none for the policy update in 2019. The audit found that many employees were not aware that an open source policy existed or that it was applicable to the open source activities that they performed. In addition, OM 26.5 does not provide adequate information to guide users on how to capture, store and retain OSI. There is an opportunity to more broadly communicate OM 26.5 and educate employees on when it applies to their work. Supplementary guidance should be developed and shared across the Force, and should include: how to capture, store and retain OSI, and what constitutes acceptable Tier 2 infrastructure.

Finally, training and information sharing are valuable investments that would ensure that OSI users have access to current and up-to-date information, including relevant case law. Providing introductory-level training to RCMP employees conducting open source activities at the Tier 2 level would facilitate information sharing across the organization.

The management responses and action plan developed in response to this report demonstrate the commitment from senior management to address the audit findings and recommendations. A detailed management action plan is currently being developed. Once approved, RCMP Internal Audit will monitor the implementation of the management action plan and undertake a follow-up audit if warranted.

Management's response to the audit

Federal Policing (FP), Specialized Policing Services (SPS) and Contract and Indigenous Policing (C&IP) agree with the findings and recommendations of this audit, including the observation that there are areas where the RCMP could improve consistency and compliance with policy, training, infrastructure, and oversight to support open source activities. We recognize that proper training, support, and in particular the organization's approach to governance around this function is critical.

FP's Tactical Internet Operational Support unit was established to support an immediate need to provide tactical open source assistance to operations in the National Security program in the absence of a policy centre. FP, SPS and C&IP agree that all areas using open source information should be considered in the development and implementation of the management action plan (MAP) for this audit. Accordingly, the MAP will incorporate governance requirements to address all of the organization's collection, analysis and use of open source information.

A detailed MAP, which addresses the report recommendations, including specific timelines and milestones, will be developed for review by the Departmental Audit Committee prior to the next Committee meeting.

Deputy Commissioner Michael Duheme
Federal Policing

Deputy Commissioner Stephen White
Specialized Policing Services

Deputy Commissioner Brian Brennan
Contract and Indigenous Policing

Background

Open source information (OSI) is a key tool that is used organization-wide, across all business lines and within every RCMP division. OSI activities are performed by all categories of employees for a variety of purposes, such as investigations, intelligence gathering, outreach and public engagement, environmental scanning, and research. It is often the first step in policing activities, and is just one component of an investigation or intelligence gathering function.

Operational Manual (OM) 26.5 Using the Internet for Open Source Intelligence and Criminal Investigations defines OSI as unclassified, raw data that is derived from a primary source (e.g. the Internet) and can include any type of media in any format. The information is obtained, derived, or recovered lawfully, and is purchased or viewed from open or encrypted publicly available sources (e.g., websites, blogs, social networks, online databases, etc.).

OM 26.5 also defines open source intelligence (OSINT) as the systematic and passive collection of OSI, and its processing, analysis, and dissemination in response to specific law enforcement activities (e.g. criminal intelligence) or investigative requirements. OSINT is used as a valuable form of insight to generate tangible and actionable investigative leads that are complementary to traditional policing methods.

OM 26.5 breaks down the use of OSI into a three-tier structure, as follows (also summarized in Appendix B):

• Tier 1: overt online activities (e.g. research, environmental scanning, inquiry, public engagement, etc.).
• Tier 2: passive online activities for investigations and intelligence performed in a manner that minimizes identification to law enforcement (e.g. discreet, no engagement with a subject of interest).
• Tier 3: covert online activities in a manner that is explicitly concealed and safeguarded to prevent identification to law enforcement (e.g. engagement with a subject of interest is permitted with authority).

The Tactical Internet Operational Support (TIOS) unit, within Federal Policing (FP) Criminal Operations, was created in 2005 to respond to the increasing demand for support in internet-related investigations and is the national policy centre for OM 26.5. TIOS conducts internet research in support of criminal investigations by corroborating information, identifying associates and businesses, identifying a suspect's location and identifying witnesses and potential human sources.

While TIOS is the policy centre and an operational unit conducting its own open source activities, other RCMP stakeholders are inherently involved in open source activities through their respective policing mandates. Specifically:

• Federal Policing (FP) is responsible for a wide range of activities under the Federal mandate, including investigating drugs and organized crime, economic crime, and terrorist criminal activity, enforcing Federal statutes, securing Canada's border, conducting international capacity building, liaison and peacekeeping and ensuring the safety of major events, state officials, dignitaries and foreign missions.^{Footnote 1} This is carried out by various areas, including FP Criminal Operations which provides national oversight and governance of serious and organized crime, cybercrime, financial crime, and border integrity criminal investigations, and provides strategic and tactical operational support, advice, and direction to divisional investigative entities.^{Footnote 2}
• Specialized Policing Services (SPS) is responsible for critical front-line operational support services to the RCMP and partners across the entire Canadian law enforcement and criminal justice communities, as well as for providing assistance to foreign law enforcement partners. Within SPS, Technical Operations provides direct specialized investigative and operational services to frontline police officers by delivering vital policing solutions for the 21st century. In addition, Criminal Intelligence Service Canada (CISC) uses OSI in its delivery of intelligence products and services to help reduce the harm caused by organized crime. Also within SPS, the Chief Information Officer (CIO) is responsible for the RCMP's Information Management and Information Technology (IM/IT) Program, which includes all information necessary to carry out the RCMP's mandate, as well as developing and managing the technology, infrastructure, and systems used to access, communicate, record, share and manage this information.
• Contract and Indigenous Policing (C&IP) is responsible for managing the Contract Policing business line, including Provincial, Territorial, Municipal and Indigenous policing. C&IP has functional oversight over the divisions, who use OSI for investigations, intelligence and research. C&IP is the national policy centre as it pertains to the collection and standardized use and sharing of information across its various business lines.
• Criminal Operations (CROPs) Officers in the divisions are responsible for all intelligence and investigational support within their prescribed territory.

The Commissioner approved the Audit of Open Source Information in the 2018-2023 Risk-based Audit, Evaluation and Data Analytics Plan.

Objective, scope and methodology

Objective

The objective of this audit was to determine whether internet-related open source activities conducted across the organization were consistent and compliant with policy.

Scope

The audit examined internet-related open source activities in support of criminal investigations and criminal intelligence gathering at the national and divisional levels from April 1, 2018 to March 31, 2019.

Specifically, the audit examined how employees gathered publicly available information sources when conducting online queries (e.g., social media, blogs, corporate registries, etc.), and how their findings were captured, stored and retained. The audit assessed existing internal controls (e.g., policies and procedures, training and tools, monitoring and reporting mechanisms, etc.) that supported the use of internet-related open source information. The audit focused on Tier 2 functions as defined in national policy OM 26.5.^{Footnote 3}

The audit scope did not examine how and whether internet-related open source information was subsequently used in law enforcement decisions. (e.g. to follow a lead, included as evidence in court, laying of charges, etc.)

Methodology

Planning for the audit was completed in October 2019. In this phase the audit team conducted interviews, process walkthroughs, and examined relevant legislation, policies and procedures. Sources used to develop audit criteria include OM 26.5 and other relevant policies and guidelines. The audit criteria are available in Appendix A.

The examination phase concluded in December 2019, and was focused on E, H and K Divisions, as well as TIOS at National Headquarters (NHQ). It employed various auditing techniques including interviews, documentation reviews, testing of mandatory forms and training, IT Infrastructure Questionnaires, and attribution testing on a sample of computers used for open source activities.

Specifically:

• The audit team sampled a total of 110 employees to determine if mandatory training was taken, and whether the necessary approvals were obtained to conduct open source activities and to create discreet online identities and accounts, where applicable.
• In addition, attribution testing was done to assess whether 46 sampled computers that are used for open source activities satisfied Tier 2 IT requirements.^{Footnote 4}

Upon completion of the examination phase, the audit team held exit meetings to validate findings with personnel and debriefed senior management of the relevant findings.

Statement of conformance

The audit engagement conforms to the Institute of Internal Auditors' International Professional Practices Framework, and the Treasury Board of Canada Directive on Internal Audit as supported by the results of the quality assurance and improvement program.

Audit findings

Governance

The audit expected to find a sound governance framework for open source activities conducted in support of criminal investigations and criminal intelligence-gathering across the organization, which included clear roles, responsibilities and oversight mechanisms. An effective governance framework would serve to reduce the risk that OSI is inappropriately obtained and used in support of criminal investigations and intelligence-gathering, and promote visibility of all employees conducting open source activities at the Tier 2 level organization-wide.

Roles and responsibilities

The governance structure with respect to OSI is defined in OM 26.5 Using the Internet for Open Source Intelligence and Criminal Investigations. The policy provides a framework for the collection of OSI and OSINT based on a 3-tier system (Tier 1: overt, Tier 2: discreet, and Tier 3: covert), which may be performed by all RCMP employees. TIOS within FP Criminal Operations is the national policy centre.

OM 26.5 was initially published in March 2015 and subsequently updated in July 2019. The audit team was informed that TIOS developed and updated the OM 26.5 policy governing the conduct of investigations on the internet due to a recognized policy gap within the organization. Prior to the development of OM 26.5, RCMP national policy did not exist on this topic and the Treasury Board did not have any policy guidance.

A key revision to OM 26.5 in 2019 included the creation of a roles and responsibilities section, changes to the role and responsibilities of TIOS and unit commanders, and expanded definitions. The 2015 version of OM 26.5 stated that TIOS was "responsible for the oversight of all open source intelligence and online investigational support activities in the RCMP." The 2019 version no longer includes oversight responsibility. It now specifies that TIOS is responsible for:

• providing strategic advice and tactical OSINT operational support,
• conducting risk assessments of specialized OSINT tools, techniques or tradecraft,
• developing, coordinating and delivering advanced OSINT training, and
• providing advice to technical authorities on internet network design, network security, software and desktop applications to support OSINT functions.

The 2019 OM 26.5 delegated oversight responsibility from TIOS to the unit level (e.g. unit commanders and line officers), including the authorization and monitoring of forms required for open source activities. Other examples of responsibilities delegated to unit commanders and/or line officers include:

• maintaining an up-to-date unit-level registry of the authorities granted to employees conducting OSI activities,
• conducting unit-level quality assurance (ULQA) for Form 6449 Online Identity Record submissions, and
• providing authorized practitioners the required IT infrastructure and open source related training.

However, many interviewees ranging from criminal intelligence analysts to detachment commanders across divisions stated that they were not aware of the open source policy and/or roles and responsibilities assigned to their position.

The audit found that roles and responsibilities related to OM 26.5 were not well understood by employees at all levels using OSI. Without clearly established and communicated roles and responsibilities, there is a risk that OSI will be inappropriately obtained and used in support of criminal investigations and criminal intelligence gathering, which can expose the Force to liability and potentially impact prosecutions.

Monitoring and oversight

Oversight and monitoring of the OSI function is needed to ensure that the Force conducts activities appropriately to support investigations and intelligence gathering.

The audit team observed that OM 26.5 no longer identifies responsibility for oversight and monitoring at the national level. Responsibility for oversight, including the authorization and monitoring of forms required for open source activities, was originally included in the 2015 policy but was delegated to the unit level in the 2019 policy revision.

The audit team was informed by TIOS that they did not have the capacity to fulfill their monitoring and oversight responsibilities as a national policy centre.^{Footnote 5} In addition, TIOS did not consider their unit to be a national program as they do not have authority over other business lines and divisions that conduct open source activities organization-wide. Interviews with senior management from FP, SPS and the Strategic Policy and Planning Directorate, as well as a CROPs officer, agreed that other business lines should possibly have a role in the oversight function.

Although TIOS recognized that they cannot fulfill their role as a national policy centre, the absence of national oversight increases the risk that OSI will be gathered and used by employees across the RCMP without the appropriate authorization and without adhering to policy, which could increase the risk of unsuccessful prosecution of court cases due to inadmissibility of evidence.

Authorization to conduct open source activities

As the scope period of the audit was fiscal year 2018-19, audit testing was based on the 2015 OM 26.5. Testing was conducted to determine whether employees from specialized areas or considered subject matter experts (SMEs) had the required authorization for the level of open source activities that they were conducting. These employees were for the most part criminal intelligence analysts.

According to the 2015 OM 26.5, oversight mechanisms included the approval by the Non-Commissioned Officer (NCO) in charge (i/c) of TIOS, of Form 6448 Tier Registration Request to authorize an employee to conduct open source activities at a Tier 2 and Tier 3 level. Authorization is not required for the Tier 1 level. The audit found that TIOS did not approve any of the 110 forms sampled. As a result, the entire sample was considered to be non-compliant with the 2015 policy.

We were informed that TIOS changed their approval requirement on Form 6448 in January 2017 due to their lack of capacity for monitoring and oversight, however OM 26.5 was not updated to reflect this change. The revised Form 6448 advised open source users that only forms for Tier 3 should be sent to TIOS for approval, and that Tier 2 forms should be recommended by the unit commander, approved by the line officer, and retained at the unit level. With this in mind, the audit team assessed whether unit-level authorizations by the unit commander and line officer existed on the forms. Testing results indicated that only 14% (15 of 110) of employees were authorized via Form 6448 to conduct open source activities:

• The majority of the sampled employees (71/110) had not completed Form 6448 because they were not aware of the policy requirement or they did not think that it applied to them.
• Of the 39/110 forms that were completed, most of these were recommended by the unit commander, but only 15/39 were approved by the line officer as required by the form.
• TIOS did not complete Form 6448 for their own employees. TIOS' rationale was that they felt automatically designated as Tier 3 by virtue of their role within the policy centre and the nature of their work in a covert environment. However, no such exemption is indicated in policy.

Authorization to create discreet online identities

An additional oversight mechanism existed within both the 2015 and 2019 versions of OM 26.5 with Form 6449 Online Identity Record that included the approval by a "manager" for the creation, modification and removal of discreet online identities and accounts that are used for Tier 2 and Tier 3 activities (e.g., fake social media accounts). The form did not specify the level of this manager position.

A key purpose for Form 6449 is to facilitate visibility over discreet online identities and accounts and potential deconfliction in law enforcement activities that are conducted on the internet, (e.g., where a subject of interest could potentially be another police officer or law enforcement agent using a fake identity). This could be within the RCMP or with external partners such as the Canadian Security Intelligence Service or the Federal Bureau of Investigation. Other reasons for the form are to provide oversight in a situation where a discreet online identity or account was compromised, so should no longer be used, and to ensure that Tier 3 practitioners do not venture into online undercover operations, which are governed by OM 30.8 Online Undercover Operations.

Audit testing was conducted on the same sample of 110 employees and results indicated that only 6% (7 of 110) had appropriately completed Form 6449:

• The majority of the sample (69/110) had not completed a Form 6449 because they were not aware of the policy requirement or they did not think that it applied to them.
• Of the 41/110 forms that were completed, only 7/41 included the required approvals.
• Instead of completing an individual Form 6449 for its employees, TIOS maintains an electronic database for their unit only. Similarly, H Division Criminal Analysis Section (DCAS) does not require their employees to complete Form 6449 but maintains a master list of discreet online identities that are used within the unit. OM 26.5 does not stipulate any substitute for the completion and approval of Form 6449.

Interviewees across divisions confirmed that no consistent process was in place to remove a discreet online identity when an employee leaves a unit. Discreet online identities were either retained by the practitioner in their new position, kept with the unit for use by a new practitioner, or left dormant and unused. This may create a risk that a discreet online identity could be used inappropriately if an original user maintains it when no longer required, or if a new practitioner assumes the identity without the proper approvals.

The audit did not find evidence that open source activities were being tracked or monitored at the national or divisional levels. In accordance with the 2015 OM 26.5, TIOS was responsible for entering and managing approved designations (Form 6448), as well as maintaining discreet online identities (Form 6449) in a national registry to facilitate visibility over discreet online identities and accounts and mitigate potential deconfliction. Some interviewees stated that when offered, TIOS declined the forms and advised units to retain their completed forms at the unit level. Moreover, a national registry was not established by TIOS as required by the 2015 policy. The national policy centre should assess value and adequacy of Forms 6448 and 6449 as oversight mechanisms to facilitate visibility over individuals performing Tier 2 and Tier 3 open source activities and their online identities.

The audit team was informed that due to TIOS' lack of resources to perform a policy centre role, the 2019 policy revision removed this requirement and currently requires the practitioner to maintain approved forms in a unit-level registry. As many interviewees were not aware that the policy existed, they were also not aware that oversight responsibility had been transferred to them.

Unit-Level Quality Assurance (ULQA)

The 2019 policy includes a new requirement that unit commanders conduct ULQA reviews on Form 6449 submissions as a monitoring mechanism. However, a ULQA guide for this activity has not been developed. Although ULQAs could be a useful tool to monitor policy compliance, it does not substitute for national level oversight which would allow for aggregating and analyzing results and identifying best practices and challenges that users are experiencing across the Force.

There is a risk that the lack of oversight and monitoring by the national policy centre could result in a lack of visibility over those who are conducting open source activities. This could jeopardize criminal prosecutions resulting in case law restricting the use of open source (e.g., if the employee did not have authorization for open source activities, or if information was not appropriately captured). It may also expose the Force to liability or create reputational risk to the organization.

Policy

The audit expected to find that national-level open source policy was established, maintained, communicated and followed. In addition, we expected that this policy would provide adequate guidance for capturing, storing and retaining OSI. Further, it was expected that any divisional level policies were aligned with national policy.

Policy development

Consultation with relevant stakeholders is an important element when developing policy to ensure that policy issues are fully understood and views are considered. The audit did not find documented evidence to demonstrate consultation for the development of OM 26.5.

TIOS informed the audit team that business lines and divisional CROPS officers were consulted during the initial policy development process in 2015 to identify SMEs using the internet for criminal investigations and criminal intelligence gathering. TIOS reported that while the larger divisions identified SMEs, others did not. Further, C&IP did not fully engage and TIOS could not recall whether SPS was consulted. For the 2019 policy update, TIOS informed the audit team that no formal consultation was held with key stakeholders. OM 26.5 is used by many stakeholders across the Force, and compliance depends on stakeholder buy-in, awareness and understanding of the policy. The lack of consultation for the development of OM 26.5 may result in users not recognizing when OM 26.5 applies to the work that they do.

Some interviewees who were not part of specialized units did not believe that OM 26.5 was applicable to their open source work as they were not conducting online undercover operations or engaging with targets or subjects of interest (Tier 3 covert). Employees understood the definition of Tier 1 (overt) and Tier 3 (covert), but there was a lack of clarity regarding Tier 2 (discreet). Although open source is being used for all types of intelligence gathering and investigations (e.g., missing persons, hate crimes, homicides, break and enters, drugs, etc.), many interviewees did not realize that their open source work required Tier 2 approval.

While interviewees indicated that the majority of OSI research was conducted passively (e.g., not engaging or interacting with subjects of interest), some exceptions were reported that were contrary to policy, such as joining closed Facebook groups in a proactive monitoring effort to obtain information on upcoming events such as a protest or demonstration from online discussions, and using personal social media accounts to overtly try to contact a missing person.

There was limited engagement with key stakeholders within business lines and divisions in the development of OM 26.5. The lack of consultation does not ensure that policy issues are fully understood by relevant stakeholders and may prevent buy-in, or understanding of roles and responsibilities from the stakeholders for whom the policy would apply.

Policy communication

One of the responsibilities of a policy centre is to actively communicate and share relevant information to those who need it. This may include notice of new policy, relevant judicial decisions, guidance documents, communication bulletins, and training requirements. The audit team found that there is no information-sharing process in place for employees conducting OSI activities. Information shared by the policy centre is mostly done on an ad-hoc basis or upon request to specialized areas, however, it may not reach all members and the organization at large.

SMEs that were interviewed confirmed that the 2019 policy revision had not been communicated to them. TIOS reported that they have sent updates to CROPs in the past, and that they rely on CROPs officers to disseminate the information to divisional employees that need it. However, none of the CROPs officers from the sampled divisions could recall receiving any communication on OSI, including the 2019 OM 26.5 policy revision.

While OM 26.5 is available in the RCMP Manuals on the Infoweb, its existence may not be obvious because it is listed under Internet Facilitated Crime in the OM, which falls under TIOS within FP Covert Operations as a policy centre. Until the recent 2019 policy update with the inclusion of "open source" in its title, an Infoweb search for "open source" did not include OM 26.5 in the search results. With the exception of some supervisors and criminal intelligence analysts, most interviewees were unaware of the existence of OM 26.5.

As OM 26.5 had not been widely communicated to those involved in open source activities, units in the Force were not aware that they were assigned responsibility and accountability for OSI. Given the lack of awareness, there is a higher risk that open source activities may not be conducted in accordance with policy requirements.

Policy alignment

According to Administration Manual III.4, divisions can develop supplemental operational policies when a directive applies only to their particular area, and when the information is not contained in any national policy. Supplements should not repeat national policy and only local practices unique to a province or territory should be included in divisional policy. Divisional policy must be consistent with and aligned to the RCMP national policy.

Divisional policy supplements from B, D, E, F, G and M Divisions were reviewed. While no major concerns were noted in regard to their alignment with national policy, it would be beneficial to review all divisional policy supplements related to OM 26.5 to ensure compliance and consistency across the Force.

The Internal Audit, Evaluation & Review Branch recently completed the Audit of Policy Management - Phase Two, which identified a gap in there being no requirement for national policy centres to review divisional policy. The absence of a requirement for national policy centres to review divisional policy can increase the risk of misalignment between national and divisional policy, as well as the inconsistent application of policy. This risk is increased with the absence of a national monitoring and oversight function.

Capture, storage and retention

Overall, OM 26.5 does not include specific information on how to capture, store and retain OSI. Instead it refers users to the IM Manual and the Canada Evidence Act. There was no evidence of other national guidance available to assist employees. A judicial decision in British Columbia from 2017 (R. v. Hamdan, 2017 BCSC 867) highlighted improper captures of OSI by the RCMP that resulted in an unsuccessful prosecution and has increased the need for additional prudence. Many interviewees were not aware of this case law. While the 2019 OM 26.5 refers to this case, national guidance was not established on how to properly capture OSI to ensure that court requirements are met.

Currently, the onus is on the user to ensure compliance with relevant policies and to maintain electronic evidence in a way that withstands the scrutiny of the courts. Interviewees confirmed that they needed guidance regarding acceptable methods to capture, store and retain OSI. They also advised that RCMP guidance was not available to assist them in defending their open source processes when required to testify in court.

The audit found that employees used a variety of methods to document OSI activities such as analyst work logs and notebooks, supplemental reports, detailed OSINT reports, simple or partial screen captures, e-mails, and narratives. Most analysts confirmed the use of discreet online identities and accounts to access open source material. In detachments, most members stated that they use personal accounts to access OSI. However, a few detachments noted that some fake accounts were available and shared.

Interviewees stated that they used various tools and practices for the capture of OSI, differing both between and within the divisions. This included taking screen shots, printing to PDF, and using specialized forensic-grade software.

In part due to a MacNeil Report recommendation^{Footnote 6}, a joint memo from Assistant Commissioners (A/Commrs) within C&IP, FP and SPS was sent to divisional CROPs officers in February 2018 that promoted the use of Social Studio.^{Footnote 7} However, there has been limited take-up on the use of Social Studio as many at the divisional level felt that it did not meet their needs. While OM 26.5 is not prescriptive with respect to the use of specific tools and software for the collection of OSI, the lack of a standardized approach could result in a risk to investigations and successful prosecutions.

Many analysts reported that their results of open source queries were sent to the primary investigator, or the file coordinator, who decides whether to upload them to the investigation file within existing Operational Records Management Systems (ORMS) such as PROS, SPROS, PRIME-BC, etc. Information stored within an ORMS follows the prescribed information management retention guidelines. Most OSI is stored as an Information File, which may have a relatively short retention period (e.g., two years).

Analysts reported that the OSI gathered is often too large to save to an ORMS, and must therefore be stored in an alternative repository such as personal or shared drives, USBs or external drives. In addition, some analysts retain OSINT indefinitely for future intelligence because the subjects of interest may remain a concern over longer periods of time for certain types of crime (e.g., serious and organized crime, drugs, terrorism, etc.), and previously gathered OSI may no longer be available on the internet. However, information stored still requires the user to determine and apply appropriate retention guidelines. Current practices present a risk that OSI may be retained beyond the retention requirements or deleted too soon. Further, users must consider IT security requirements and potential risks if aggregated OSINT is stored in an under-protected repository.

OSI is widely used by many RCMP employees for day-to-day policing, not just in specialized areas. If users are not aware of the appropriate methods to capture OSI in accordance with existing judicial decisions, there is a risk to investigations and successful prosecution, as well as the creation of new case law that may limit the use of OSI in future policing activities. In addition, inappropriate storage and retention of OSINT could result in possible liability issues related to privacy.

Training and IT infrastructure

The audit expected to find that employees conducting open source activities were provided with the necessary training and IT infrastructure for their tier level.

Mandatory training

OM 26.5 Online Activity Dashboard (Appendix B) identifies training requirements by tier level as follows:

• Tier 1: No mandatory training requirements are identified.
• Tier 2: Employees are required to contact TIOS for recommended introductory-level training on open source. An AGORA course was being developed by TIOS but it was not completed at the time of the audit. Equivalent training programs were recommended by TIOS in the interim and were provided by internal providers, including the RCMP Canadian Police College and the Pacific Region Training Centre, as well as external ones.^{Footnote 8}
• Tier 3: Employees are required to take one mandatory advanced course for conducting open source activities in a covert environment. TIOS coordinates and delivers one mandatory course titled Tactical Use of the Internet. A list of optional courses to satisfy the Tier 3 level is also identified.

The onus is on the employee to identify the appropriate open source related training that they need based on their tier level. The dashboard clearly identifies the training requirements for Tier 3. However, the training requirements for Tier 2 are unclear. There is a risk that Tier 2 users who have not received training may gather and use OSI inappropriately.

Audit testing was performed on the sample of 110 employees who were for the most part analysts in specialized areas to assess whether they received mandatory training for the tier level in which they were conducting open source activities. Testing confirmed that 96% (106 of 110) of employees sampled had completed the appropriate training.^{Footnote 9} Many intelligence analysts indicated that they rely on their training more so than policy for OSI guidance. Some interviewees in specialized areas expressed that more frequent refresher training would be beneficial.

While most analysts in specialized units had completed the mandatory training for their tier level, many members at the detachment level had not received any open source related training. As detachment commanders and their representatives reported that divisional employees were not aware that they were working at the Tier 2 level, they were equally unaware that training requirements prescribed in OM 26.5 applied to them. As such, most had not received open source related training.

A senior official at Depot confirmed that there is no material related to the use of OSI or using the internet for policing activities in the Cadet Training Program (CTP). Any requests to add curriculum to the CTP must be supported by a needs analysis that identifies a gap in the competencies required by a front-line, general duty Constable upon the completion of basic training. Recognizing that the CTP has time constraints, consideration should be given to including open source in the curriculum as the majority of members are using open source in some capacity for day-to-day policing.

Although members may have obtained some information in other operational courses that have an internet element, there is still a need for introductory-level training on open source requirements to ensure that activities are being conducted appropriately to enable successful prosecution, prevent the creation of new case law, mitigate liability to the Force, and ensure officer safety from attribution risks, e.g., if members are using personal devices for OSI work. Opportunities exist to provide training to Regular Members as they are the main category of employee that are unknowingly conducting open source activities at the Tier 2 level.

IT infrastructure

The OM 26.5 policy identified the IT infrastructure requirements by tier level in the Online Activity Dashboard. A key element in the IT requirements is the concept of attribution, which OM 26.5 defines as "the process of identifying various data touchpoints that, together, can reveal identifying information." The differences for the Tiers consist of:

• Tier 1 activities are overt and attribution is not an IT concern.
• Tier 2 activities are required to be conducted on "low attribution networks" where the internet protocol (IP) address is not readily attributed to law enforcement. Procurement for both Tier 1 and 2 IT infrastructure follows the standard RCMP procurement processes for hardware and software.
• Tier 3 activities are required to be conducted on covert networks where attribution to law enforcement is explicitly concealed and safeguarded with the assistance of divisional backstopping activities and procured via sensitive expenditures.^{Footnote 10}

Requirements for Tier 1 and Tier 3 were clearly defined and understood, however, requirements for Tier 2 IT infrastructure were not. Further, no Tier 2 guidance or solution is currently available from TIOS or the IM/IT Program. Currently, the onus is on the user to understand their particular IT infrastructure needs and obtain the required set up, as well as apply appropriate mitigation strategies to minimize attribution risks. However, many users were not aware of the requirements.

The audit team was advised that when users request a Tier 2 set up, Shared Services Canada (SSC) provides the IT infrastructure, which is a stand-alone computer to access the open internet, unless the user specifies additional requirements. Interviews with intelligence analysts, detachment representatives, Divisional Informatics representatives and Divisional Informatics Officers (DIOs) confirmed that there was a lack of guidance for setting up Tier 2 IT infrastructure. The E and H DIOs stated that a stand-alone computer would not be sufficient to manage attribution risks, given that the hardware and software components may have identifiers for law enforcement (e.g., licenses). TIOS stated that a stand-alone computer may be sufficient, but advised that it depends on how the unit has set up their network, as well as the hardware and software components. TIOS also advised that the adequacy of the IT infrastructure was dependent on other factors such as the sensitivity of information being searched, the sophistication of the target or subject of interest, and whether open source users apply additional mitigations for higher risk cases (e.g., using virtual private networks).

The absence of clearly defined requirements for a Tier 2 IT infrastructure may result in employees using equipment or networks that are attributable to the RCMP. In addition, it is important that all detachments have access to appropriate Tier 2 equipment. To ensure that OSI users have access to current and up-to-date information, the national policy centre should supplement OM 26.5 with additional guidance including recommended tools and software to be used for open source, and technical requirements for Tier 2.

Attribution

Conducting regular attribution checks on computers used for open source activities is considered to be a good practice to ensure that IP addresses are not directly attributable to law enforcement. While analysts were aware of attribution risks, many stated that they were not regularly conducting attribution checks. The majority of detachment employees interviewed were not aware of these risks and were not performing attribution checks.

TIOS advised that there are various layers of protection to minimize attribution, and only the first layer (being the IP address) can be easily tested to determine whether the initial digital footprint comes back to the RCMP. The audit team conducted this attribution testing on 46 computers and found that only one was directly attributable based on its IP address and the others were directly attributed to internet service providers, which is the desired outcome. A second test was performed to verify whether the latitude and longitude coordinates for these IP addresses could identify close proximity to an RCMP location. This increased the number of potentially attributable computers to six, suggesting that geo-mapping information could reveal identifying information and increase attribution risks.

Beyond the first layer of protection, there are other layers of protection that should be considered (e.g., all attributable components in the hardware and software) but TIOS advised that there is no way for a user to easily test this. Additionally, TIOS advised that even with an appropriate Tier 2 set up, low attribution cannot be assured if the user is on a shared internet network, and most interviewees were accessing the internet through a shared network. On a shared network, other users' online activity may inadvertently increase the risk of attribution. In contrast, a dedicated internet access provides better assurance of low attribution as it is used solely by the practitioner or the unit that is connected to it.

While the audit team's attribution testing did not reveal a high number of attributable computers, there remains a lack of clarity on whether stand-alone computers provide sufficient protection from attribution. Other factors should also be considered when determining whether risks are being adequately mitigated for Tier 2, for example, using virtual private networks if open source computers are on shared internet networks.

IT solutions for tier 2 IT infrastructure

In 2017, the Low Attribution Network Application (LANA), which was supported by Technical Operations within SPS, was decommissioned. This left a gap in the RCMP's Tier 2 infrastructure as units are now responsible to obtain low attribution network infrastructure through SSC. There are two initiatives underway to develop a discreet Tier 2 infrastructure for the RCMP:

1. Federal Technology Solutions (FTS) within FP is leading a project that is examining a cloud-based solution for Tier 2 called Project Cerebro. Initial testing was conducted by users across the country connecting to the cloud via stand-alone internet computers and was considered successful. The next phase of testing is underway whereby users access the cloud through existing RCMP Office Support System computers.
2. NHQ Informatics Services is leading a project to develop a standardized process and network image for NHQ users to acquire a traditional Tier 2 infrastructure (that being physical hardware) through SSC. The goal is to deliver a discreet internet network connection whereby the IP address would be directly attributable to "the Government of Canada". However, TIOS advised that this would not be sufficient for Tier 2 because the policy intent is to appear as any normal individual accessing the internet, and not to be identified as a government entity.

While these ongoing initiatives were not included in the scope of the audit, the IM/IT Program, FTS, TIOS and NHQ Informatics Services should collaborate to maximize benefits, reduce duplication of effort and ensure that Tier 2 infrastructure requirements defined in OM 26.5 are met. Any enterprise-wide IT solution for Tier 2 work should consider the use of shared networks and all attributable components of the IT infrastructure, classification of OSI as "unclassified" and the potential risks when aggregate OSI becomes "classified" OSINT, IM requirements (e.g., data storage, retention, and backup data), and lastly, privacy considerations and implications on how and where data is stored (e.g., offshore servers and/or in the cloud).

Mobile devices

The OM 26.5 Online Activity Dashboard referred to in Appendix B of this report restricts the use of mobile devices for OSI activities. Notably, for Tier 2, the dashboard states that "discreet mobile devices can only be used for validation/authentication of discreet online profiles." Interviews confirmed that there is widespread use of both personal and organizationally-issued mobile devices for open source activities by members.

Based on one of the MacNeil report recommendations^{Footnote 11} and the RCMP Vision150 initiative, smart phones are being deployed to all front line members to enhance situational awareness, improve tactical responses, and increase officer safety. As of September 2019, 10,000 devices have been purchased, with approximately 8,700 deployed.^{Footnote 12} These devices will have applications that will not be backstopped. However, if these devices are used overtly for OSI functions that should be performed in a discreet or covert manner, this may create a risk of attribution to the RCMP or to employees themselves, possibly increasing the risk to officer safety.

While the roll-out of the smart phones is underway, no additional guidance has been provided regarding acceptable user practices in relation to open source activities on these mobile devices, e.g., downloading applications, using personal social media accounts, or creating fake ones to access publicly-available information. Any enterprise-wide IT solutions for Tier 2 should consider the widespread use of mobile devices in addition to potential attribution risks, IM requirements, and privacy considerations.

Conclusion

OSI is a key tool that is used organization-wide, across all business lines and within every RCMP division. OSI activities are performed by all categories of employees for a variety of purposes, including investigations, intelligence gathering, outreach and public engagement, environmental scanning, and research. It is often the first step in policing activities, and is just one component of a criminal investigation or intelligence gathering function.

Overall, the audit determined that internet-related open source activities conducted across the organization were not consistent nor compliant with OM 26.5. Opportunities exist to develop a more robust governance framework and enhance national and divisional oversight of open source activities. Without clear roles and responsibilities and adequate monitoring and oversight, visibility over those who are conducting open source activities may be lacking. This may create a risk to investigations and successful prosecution, as well as new case law that may limit the use of OSI in future policing activities.

There was limited consultation for the development of OM 26.5 in 2015, and none for the policy update in 2019. The audit found that many employees were not aware that the policy existed or that it was applicable to the open source activities that they performed. In addition, OM 26.5 does not provide adequate information to guide users on how to capture, store and retain OSI.

Given that OSI is widely used by many RCMP employees, there is a risk to investigations if users are not aware of the appropriate methods to capture, store and retain OSI. There is an opportunity to more broadly communicate OM 26.5 and educate employees on when it applies to the work that they do. Supplementary guidance should be developed and shared across the Force, related to the capture, storage and retention of OSI, best practices and preparation for court testimony, and acceptable Tier 2 infrastructure (including suitable software, equipment, storage systems and repositories).

Finally, training and information sharing are valuable investments that would ensure that OSI users have access to current and up-to-date information including relevant case law. There is an opportunity to provide introductory-level open source related training to RCMP employees conducting open source activities at the Tier 2 level and to facilitate information sharing across the organization.

Recommendations

1. The D/Commrs. FP, SPS and C&IP should collaborate to determine how best to fulfill the oversight function for open source activities, recognizing that open source is used by multiple business lines across the Force.
2. Following the decision relating to recommendation #1, the identified business lead(s) should ensure that:
1. National oversight mechanisms are in place to improve visibility over open source activities being conducted in support of investigations and intelligence-gathering activities.
2. The national policy is updated to reflect agreed-upon accountabilities.
3. Supplementary guidance is developed and published related to appropriate capture of OSI, recommended tools and best practices, relevant case law summaries, and advice on court testimony for open source practices.
4. Supplementary guidance is developed and published on the information management requirements for the storage and retention of OSI and OSINT. This guidance should clarify when OSI and OSINT would be considered a record of business value.
5. A communication strategy for OM 26.5 is developed and implemented to educate employees Force-wide about requirements for open source activities and when the policy would be relevant to their duties. This may include the further development and completion of the OSI introductory AGORA course and consideration by the National Mandatory Training and Oversight Committee for making it mandatory for all Regular Members once it is available, as they are the main category of employee unknowingly conducting open source activities at the Tier 2 level.
3. The D/Commr. SPS, in collaboration with D/Commrs. FP and C&IP, should consider the feasibility of developing an enterprise-wide solution to address the current gap in Tier 2 infrastructure. In the interim, guidance for technical requirements and/or any mitigating measures (e.g., virtual private network) for Tier 2 infrastructure should be developed and disseminated to all Tier 2 open source users.

Appendix A – Audit objective and criteria

Appendix B – OM 26.5 online activity dashboard

Appendix C – Management Action Plan

Audit of Policy Management– Phase Two

Final Report

October 2020

Table of contents

• Acronyms and abbreviations
• Executive summary
• Management's response to the audit
• 1. Background
• 2. Objective, scope and methodology
  • 2.1 Objective
  • 2.2 Scope
  • 2.3 Methodology
  • 2.4 Statement of conformance
• 3. Audit findings
  • 3.1 Policy development
  • 3.2 Policy publication
  • 3.3 Monitoring and oversight
• 4. Conclusion
• 5. Recommendations
• Appendix A – Audit objective and criteria
• Appendix B – Management action plan
• Footnotes

Acronyms and abbreviations

AM

Administration Manual

C&IP

Contract and Indigenous Policing

CIO

Chief Information Officer

CROPS

Criminal Operations

FP

Federal Policing

GBA+

Gender-Based Analysis Plus

HR

Human Resources

IAER

Internal Audit, Evaluation and Review

NRS

National Review Services

OM

Operational Manual

OP&C

Operational Policy and Compliance

PPS

Policy and Publications Section

RCMP

Royal Canadian Mounted Police

SEC

Senior Executive Committee

SME

Subject Matter Expert

SMT

Senior Management Team

SPS

Specialized Policing Services

ULQA

Unit Level Quality Assurance

Executive summary

The management of operational and administrative policy is an important function within the Royal Canadian Mounted Police (RCMP) to support effective decision-making, operational performance and officer safety. Accordingly, the Commissioner approved the Audit of Policy Management - Phase Two in the 2018-2023 Risk-based Audit, Evaluation and Data Analytics Plan. The Audit of Policy Management - Phase One was completed in 2018, focussing on strategic policy and planning.

The objective of the audit was to assess whether the processes and practices in place to manage operational and administrative policies are effective and consistent across the RCMP. The scope of the audit focussed on the policy development process in place and examined policies which had been developed or updated by Business Lines between January 2017 to January 2019.

The RCMP Administration Manual, Operational Manual and subsidiary manuals (collectively referred to as the "Manuals") are the official policies that govern and guide the actions of all employees. The audit found that an operational and administrative policy development process was not consistently carried out across the Force, although key elements of a policy development process were carried out to various extents by Business Lines. National training and tools were not available to assist employees responsible for policy development, with the exception of a publication guideline. Policies were not regularly updated by Business Lines and publishing delays were experienced resulting in a publication backlog.

The audit also found that Business Lines had not developed monitoring mechanisms to assess compliance with policies and to mitigate risks. The Unit Level Quality Assurance monitoring tool existed but no unit in the RCMP was assigned responsibility for the management of this tool. In addition, oversight of the Manuals was not assigned to ensure that all Business Lines were using a consistent format and updating policies regularly.

Opportunities exist to strengthen the operational and administrative policy development process and to assign oversight for the Manuals. Policy development would benefit from developing national training and guidance tools, establishing service standards for publishing national policy, updating policies in the Manuals on a periodic basis, and developing monitoring mechanisms to assess compliance with policy.

The RCMP Policy Renewal initiative for the Manuals has the potential to play a significant role in the RCMP's modernization efforts. The assignment of formal accountability for this initiative will help ensure that all policy centres participate fully in the modernization of the Manuals.

The management response and action plan developed in response to this report demonstrate the commitment from senior management to address the audit findings and recommendations. The RCMP Internal Audit will monitor the implementation of the management action plan and undertake a follow-up audit if warranted.

Management's response to the audit

Federal Policing

Overall, Federal Policing agrees with the findings and recommendations in the Audit of Policy Management Phase Two report and support the areas identified for improvement. A detailed action plan which addresses the report recommendations, including specific timelines and milestones, will be developed for review by the Departmental Audit Committee prior to the next Committee meeting.

Deputy Commissioner Michael Duheme, Federal Policing

Specialized Policing Services

Overall, SPS agrees with the findings and recommendations in the Audit of Policy Management Phase Two report. While acknowledging differing resources available within SPS Programs dedicated to policy update and maintenance, the audit provides a generalized overview of the work needed to improve operational policy management across the organization.

A detailed action plan which addresses the report recommendations, including specific timelines and milestones, will be developed for review by the Departmental Audit Committee prior to the next Committee meeting.

Deputy Commissioner Stephen White, Specialized Policing Services

Contract and Indigenous Policing

Overall, C&IP agrees with the findings and recommendations of the audit. C&IP is committed to the Commissioner's long term vision for modernizing the RCMP, and delivering quality police services at the highest standards.

The September 2019, Audit of Policy Management – Phase Two is a timely, valuable, and instructive resource on how C&IP maintains operational policy.

It provides great focus on the role and importance of policy, and the significance of maintaining well-informed policies to guide the effective actions of employees and front-line police personnel.

C&IP managers and their functional specialists will benefit from the content, structure, principles, findings and keen insights provided at this stage of the Audit. While some successes have been noted, it is acknowledged that there are areas that C&IP can improve upon. C&IP's Operational Policy & Compliance (OP&C) unit will be reviewing and discussing details of this Audit Report over the next four weekly unit meetings.

In addition, C&IP initiated the development of an Operational Policy Compliance Framework, earlier in 2019. While the full details of this initiative are still being defined, virtually all of the intended activities identified thus far will address observations noted in this Audit Report on the subject of policy monitoring and compliance. The narrative from the Audit Report can be used in advancing the compliance agenda, and the strategy will be revised to incorporate aspects of the audit.

C&IP is also in the process of re-aligning resources to improve policy management capacity and oversight, establishing key performance indicators and compliance monitoring processes for operational policies in higher risk activities such as prisoner handling, missing persons, and crimes against persons.

Deputy Commissioner Brian Brennan, Contract and Indigenous Policing

Human Resources

Overall, HR agrees with the findings and recommendations included in the report and supports the three key areas identified for improvement. A national policy framework should include the development and periodic updating of policies, timely publishing and communication as well as mechanisms to support the ongoing monitoring, oversight and adherence to policy.

Chief Human Resources Officer, Gail Johnson

1. Background

The management of operational and administrative policy is an important function within the Royal Canadian Mounted Police (RCMP) to support effective decision-making, operational performance and officer safety.

The RCMP Administration Manual (AM), Operational Manual (OM) and subsidiary manuals (collectively referred to as the "Manuals") contain policies that govern the RCMP's programs and policing services and constitute advance official approval of the actions that employees are to take under stated circumstances.^{Footnote 1} Operational policies provide support for the RCMP to judiciously exercise lawful authorities in managing and fulfilling its priorities.^{Footnote 2} Administrative policies ensure departmental accountability for RCMP allocated resources. Policies are used to achieve the guidance standards, principles of policing, and priorities of the organization.^{Footnote 3}

Policy development includes developing new operational and administrative policy, as well as updating existing policy to ensure they remain current over time. The policy development process refers to a continuum in which management sets policy direction; staff develop policies through the conduct of research, analysis, consultation and policy options; policies are then approved and implemented; and periodically monitored for compliance to assess if intended results are being achieved.

The RCMP employs a decentralized policy model, where operational policy functions are performed by all Business Lines and Divisions. Business Lines serve as the national policy centre for their respective areas of responsibility and address policy issues that fall within their mandate. Divisions perform operational policy development functions to address unique divisional differences as a result of inquiries, jurisprudence or provincial legislation. The Policy and Publications Section (PPS) within Specialized Policing Services (SPS) is responsible to review, edit and publish all national policy for the Manuals. Divisional Supplements are published by the Division's Forms and Directives unit.

Internal Audit, Evaluation and Review (IAER) conducted an Audit of Policy Management - Phase One in 2018. This audit focused on the strategic policy and planning capacity within the RCMP. Upon completion of the Phase One audit, the Audit of Policy Management - Phase Two was initiated with a focus on operational and administrative policy in the RCMP.

The 2018-2023 Risk-based Audit, Evaluation and Data Analytics Plan approved by the Commissioner included the Audit of Policy Management - Phase Two.

2. Objective, scope and methodology

2.1 Objective

The objective of the audit was to assess whether the processes and practices in place to manage operational and administrative policies are effective and consistent across the RCMP.

2.2 Scope

The scope of the audit included all RCMP policies in the Administration and Operational Manuals.

The audit focused on the process and mechanisms in place for operational policy development, approval, publication, and monitoring at the national and divisional levels.

Audit testing included a sample of policies developed or updated between January 2017 and January 2019 within the responsibility of SPS, Contract & Indigenous Policing (C&IP), Federal Policing (FP) and Human Resources (HR).

2.3 Methodology

Planning for the audit was completed in April 2019. In this phase, the audit team conducted interviews, process walkthroughs and examined relevant policies, procedures and results of previous audit work performed.

The examination phase, which concluded in August 2019, employed various auditing techniques including interviews, documentation reviews and data analysis.

A file review was conducted on a sample of policies to test whether various key steps in the policy development process had been carried out. In order to capture a variety of policies across SPS, C&IP, FP and HR, the audit team selected 25 national policies out of a population of 183 policies that had been updated between January 2017 and January 2019.

While the file testing did not include divisional policies, divisional Criminal Operations (CROPS) officers were consulted in all divisions, with the exception of National Division and Depot, on their respective policy development processes and challenges.

Upon completion of the examination phase, the audit team held meetings to validate findings with personnel and debriefed senior management on the relevant findings.

The audit's findings are based on the review of operational and administrative policies during the two-year audit scope period ending in January 2019. However, the audit team is aware that during the scope of the audit, efforts to change the structure and format of the RCMP Manuals were underway with PPS leading the RCMP Policy Renewal initiative. A working group entitled the "RCMP Policy Working Group" was established in December 2017, with policy representatives from various policy centres within the Business Lines and Divisions to work on a collaborative basis to renew the Manuals. PPS has estimated that the policy renewal initiative to modernize the Manuals will be completed in 2023. As the initiative is in progress, it was not subject to the audit. However, the audit team has identified impacts to findings when relevant.

2.4 Statement of conformance

The audit engagement conforms to the Institute of Internal Auditor's International Professional Practices Framework and the Treasury Board of Canada Directive on Internal Audit, as supported by the results of the quality assurance and improvement program.

3. Audit findings

A sound operational and administrative policy framework, that includes the development and periodic updating of policies, timely publishing, communication of changes to employees, and ongoing monitoring and oversight, is critical to ensure that policy is adhered to and guides the actions of employees to achieve organizational objectives.

Accordingly, in regards to the operational and administrative policy development process, we expected to find:

• a well-established and consistent policy development and approval process across the Force
• policies and amendments published in a timely manner and well-communicated across the Force
• policy monitoring mechanisms in place to support compliance and oversight of the Manuals to ensure that a cohesive operational policy framework is maintained

3.1 Policy development

Policy development and approval

The development of operational and administrative policy is an important function within the RCMP to provide the standards of conduct, regulatory requirements, and expectations under stated circumstances to support operational performance and officer safety. Key elements of the policy development process include: developing and approving policy in a structured manner; providing policy direction; conducting research and consultations with key stakeholders; considering Gender-Based Analysis Plus (GBA+) principles; and aligning national policy and divisional supplements. A policy development process for operational and administrative policy was not documented for the RCMP.

The audit found that each Business Line had a distinct approach to developing operational and administrative policy. As identified and reported in the Audit of Policy Management - Phase One, we found that the RCMP employed a decentralized policy development model to manage operational and administrative policy, with reliance on subject matter experts (SMEs) who have the operational expertise to contribute to policy development. Each Business Line had a different approach for the Manuals policy development process.

Within C&IP, the Operational Policy and Compliance (OP&C) Unit within the National Criminal Operations initiates, co-ordinates and is responsible for operational policy that directly impacts police operations. The OP&C unit formalized the policy development process and created a checklist of key activities to be completed. The OP&C acts as a resource for other policy centres within the Business Line.

Within FP, the Operational Policy Unit within the FP Strategic Direction is responsible for coordinating the operational policy development process through to publication, including editing policy. Upon request, the Unit provides guidance to policy centre SMEs within the Business Line who are required to write policy. Within SPS, each policy centre is responsible to develop their own approach for policy development. Program areas included in the audit generally had dedicated policy specialists to assist with operational policy development and alignment of content to publishing standards. The program area policy resources engaged SME's as needed to develop operational policy.

Within HR, each policy centre is responsible to develop their own approach for operational and administrative policy development, with most relying on SMEs to develop their policies.

While no evidence of a formalized policy development process was identified across Business Lines, all Business Lines were found to follow the same process for approval of national policy. The AM ch.III.4 states that approvals for routine administrative or operational program changes should be approved by the Assistant Commissioner, Director General or Director responsible for the respective program or service. Audit testing was conducted to assess if policies complied with the approval requirement.

File testing identified that 21 out of 25 files included evidence of approvals compliant with the AM requirement. The remaining four files did not retain any documentation related to the policy development process. While no documentation was available for these files, the responsible policy centres noted during interviews that approval had been obtained. As the policy publication process for the national Manuals includes confirmation of approval by PPS prior to publication, the audit team believes there is limited risk that a policy would not be approved in compliance with the AM. Results of the audit testing by Business Line are in the table below.

At the divisional level, the CROPS office is generally responsible for policy development for their Division, and policy supplements are approved by the Division's Commanding Officer or their delegate. SMEs within the Division contribute their operational knowledge and expertise to support the policy function.

The audit did not find evidence of a formalized policy development process that was consistently applied across the Divisions. Only two Divisions provided evidence of a formal policy development process as noted in the table below. As the audit's scope did not include testing of divisional policy supplements, the approval of divisional files was not assessed.

The lack of a documented process across all Business Lines and Divisions increases the risk that policy will be developed without appropriate consideration of key elements in the policy development process. This could result in inconsistent policies across the organization, which can impact operational performance, acceptable standards of conduct, and exposure to liability.

Policy direction

As the organization's strategic direction and priorities change, it is important that the organization's policies align with these changes. In addition, external factors such as changes to legislation and regulations can give rise to the need to modify policy.

Interviews with policy centres in each of the Business Lines identified that policy direction was provided by RCMP management. Changes to policy may result from feedback from policy users, as well as changes to legislation, court decisions, or technical and scientific standards.

Policy direction can also arise based on changes to departmental strategy and priorities from senior management. Where a policy centre determines that an operational or administrative policy is of national significance they may seek senior management approval. For example, during the audit scope period the Senior Executive Committee (SEC) reviewed draft policy amendments to provide direction on the Investigation and Resolution of Harassment Complaints (AM ch.XII.8) and the RCMP Member Long Service Awards (AM ch.22.4).

Interviewees in all Business Lines stated that policy direction had been provided when developing operational or administrative policy. Testing found evidence of policy direction provided in 19 of 25 files examined. Documentation was not maintained for the remaining 6 policy files. Results of the audit testing by Business Line are in the table below.

Overall, policy direction was provided based on requirements and priorities within the organization, however, documented evidence of policy direction was not consistently retained. Policy direction serves to ensure that policy appropriately addresses the needs and emerging issues of the RCMP.

Research and consultation

Research and consultation with stakeholders are important steps in the policy development process to ensure policy issues are fully understood and buy-in is obtained.

Interviewees in all Business Lines stated that they conducted research and consulted stakeholders when developing operational or administrative policy. The audit found evidence that research was conducted in 17 of 25 policy files examined and consultations were conducted in 20 of 25 files. Research was not documented in 8 policy files and consultation was not documented in 5 files. Results of the audit testing by Business Line are in the table below.

Although research and consultation are important steps in the policy development process, the audit recognized that the extent to which they should be conducted varies depending on the policy. For example, policy development associated with the legalization of Cannabis included substantial research and horizontal consultation across Business Lines and also included consultation with other police forces. In contrast, policy development for the National Economic Profiling Service (OM ch.3.10) included minor changes to the policy and required minimal research and consultation.

As operational and administrative policy is intended to be followed by all employees of the RCMP, we expected that divisional consultation would be conducted to obtain input and assess any operational impacts. We found that divisional consultation was left to the discretion of the policy centre within a Business Line. Only C&IP included a requirement in their policy checklist to conduct divisional consultation.

Of the 25 files tested, 6 of 7 C&IP and 1 of 5 HR policy files included evidence of divisional consultation. The remaining files tested did not have evidence of divisional consultation and the files did not contain sufficient documentation to assess whether divisional consultation would have been necessary.

In addition, the audit team contacted Divisions to determine whether they were consulted by national policy centres during the policy development process. The table on the following page indicates which Divisions stated that they were generally consulted during the national policy development process.^{Footnote 4}

As research and consultations were not consistently documented for operational and administrative policy development, relevant stakeholders may have been omitted from the policy development process. This risk is increased for policy issues of a horizontal nature. Maintaining the results of research and consultations is essential as research supports evidence-based decision making and consultation validates that relevant stakeholder views were considered during policy development.

Alignment of National Policy and Divisional Supplements

According to the AM ch.III.4, Divisions can develop supplemental operational and administrative policies when a directive applies only to their particular area, and when the information is not contained in any national policy. Supplements should not repeat national policy and only local practices unique to a province should be included in divisional supplements. Divisional supplements must be consistent with and aligned to the RCMP national policy.

Divisions can create policy supplements without the involvement of national policy centres. The audit team found examples where divisional supplements did not reference the national policy. For example, seven Divisions (B, D, E, F, H, K, and M) had divisional supplements on Diving Operations but two divisional supplements (K and F) did not reference the national policy (OM ch.52.5). As a result, there is a risk that employees may not be aware that a national policy exists on this topic.

Due to the Force's decentralized model, there is an enhanced risk that policies developed separately at the Business Line and Division level may not be in alignment. The development of divisional supplements without the involvement of national policy centres increases the risk of policy duplication, inconsistencies and negative impacts to officer safety. Alignment between national policy and divisional supplements is key to avoid confusion for employees and to ensure that the Force responds to circumstances in a consistent and appropriate fashion.

Consideration of GBA+

GBA+ is an analytical process used to assess how diverse groups of women, men and non-binary people may experience policies, programs and initiatives.^{Footnote 5} GBA+ also considers many other identity factors, such as race, ethnicity, religion, age, and mental or physical disability. Implementing GBA+ is a Government of Canada commitment and as such the Force has a responsibility to determine whether there are potential impacts on diverse groups of employees within proposed policies. Where such impacts are identified, the Force is expected to undertake a thorough and complete GBA+ assessment.^{Footnote 6}

During interviews all Business Lines stated that they review policy to ensure the use of gender neutral language. However, interviewees could not identify any further specific analysis that had been conducted related to GBA+ considerations (such as age, culture, education, ethnicity, race, ability, geography, etc.). Interviewees informed us that they were aware of GBA+ principles and that employees had completed the RCMP mandatory GBA+ training. C&IP updated their policy checklist in 2018 to include a requirement to assess whether there were GBA+ considerations during policy development. Other Business Lines did not have policy checklists or other formal tools to help identify GBA+ considerations.

The audit found evidence of consideration of GBA+ principles when developing policies in only 3 of 25 files examined. The audit recognizes that some policies may have minimal GBA+ considerations. However, testing indicated that most policy files lacked documentation to confirm if any analysis had been conducted to identify whether a policy had the potential to impact diverse groups of people differently. Results of the audit testing by Business Line are in the table below.

Interviews with officials in the GBA+ Unit identified that the Unit is available to provide guidance to employees to assist them in considering GBA+ principles when developing policy, although there is no formal requirement to consult them during the policy development process within the RCMP.

Lack of consideration of GBA+ principles in the policy development process may indicate that the impacts of policy on diverse groups are not consistently examined, increasing the risk that policy may have unintended consequences and impacts on diverse groups of employees.

Training and tools

Business Lines use different approaches to develop operational and administrative policy and rely on SMEs with operational expertise to contribute to policy development. As the development of policy is an infrequent duty for SMEs, it was expected that employees involved in the policy development process would have access to training, tools and guidance necessary to successfully carry out the policy development process.

The audit team found no evidence of national guidance for the policy development process or training available to assist employees to develop operational and administrative policies, with the exception of a publication guideline developed by PPS, a unit within SPS. PPS has a Policy Writing Guide on the RCMP Infoweb that is available to all employees across the RCMP to assist them with preparing a policy for publication. In addition, PPS has developed a checklist for editors to use for their revisions to policy. C&IP has created a checklist of key activities to be completed when developing policy.

In the absence of national tools and training on how to develop operational and administrative policy, two Divisions (E and H) developed a formal policy checklist to support policy development. There is an opportunity to leverage tools created by Business Lines or Divisions to develop national guidance to be used across the Force.

Interviews with policy centres within C&IP, FP, SPS and HR tasked with developing policy identified that training was primarily on-the-job and employees developed expertise through trial and error. In addition, interviewees in all Business Lines identified that it was challenging for SMEs to develop operational and administrative policy without training and guidance to help them through the process.

A lack of tools, training and guidance related to operational and administrative policy development increases the risk that policy centres may not incorporate key elements of the policy development process. This may result in inconsistent policy development or policy which does not effectively support operations. The development of national guidance tools and training would help ensure that all employees have a common understanding of the process.

3.2 Policy publication

Publication timeliness

The AM ch.III.4 states that all RCMP policy must be published in the AM, OM, and their corresponding subsidiary manuals, and policy centres must use the RCMP Manuals to disseminate policy. Failing to publish policies in the Manuals can cause confusion for employees and can result in legal consequences where actions are taken that do not align with published policy.

PPS is the publishing authority within the RCMP and is responsible for the publication of national policies in the Manuals. PPS had developed a process to prioritize the publishing of the operational and administrative policies. PPS, in consultation with the relevant policy centre, assigned a priority level (1=high, 2=medium, 3=low) to policies they received for publication based on operational urgency, departmental priorities and consideration of officer safety. The audit team noted that PPS had not established service level standards with the expected length of time for the publication of operational and administrative polices.

As of January 2019, PPS had a backlog of 41 policies in a queue waiting to be published. Almost half of the policies in the queue were identified as high priority (16 of 41). Policies in the publication queue experienced delays of an average of 167 days (approximately six months). Some of these policies related directly to officer safety, such as Seizure of Drugs (OM ch.6.8), Explosives Disposal (OM ch.33.3), and Immediate Action Rapid Deployment (OM ch.16.10). The Audit of Policy Management - Phase One identified that PPS had a backlog of 135 policies waiting to be published as of April 2018. PPS identified that they experienced resource constraints to maintain all national policies for the RCMP. While improvements had been made to reduce the backlog of policies awaiting publication, the average length of time for publication indicated there were still challenges in publishing policy in a timely fashion. As a result, there is a risk that members will not have access to the policies they need in order to carry out operational policing activities.

The audit team reviewed 20 policies in the publication queue that were the most outdated (20/41) to determine the reason for publishing delays. When policies are submitted by a policy centre for publication, PPS reviews the policy to ensure it is correctly formatted and aligns with publication standards for the RCMP Manuals. The length of time to complete this depends on the size and complexity of the policy and availability of resources. The audit found that approximately half of the policies (9 of 20) awaiting publication had not yet been processed by PPS, and 5 of the 9 policies were assigned high priority.

For the remaining half of the policies (11 of 20), PPS was awaiting a response from the policy centre as a result of the PPS review. Five of the 11 policies were assigned high priority. PPS may request that the policy centre revise the policy due to formatting and editing issues or a lack of appropriate approvals, resulting in the file waiting in the queue until the issue is addressed by the policy centre. As such, delays can arise when a policy centre does not respond in a timely manner.

Interviewees from eight policy centres across Business Lines identified that operational priorities limit the time they spend on policy development, particularly when relying on SMEs for the policy revisions. This may impact how quickly a policy centre can address PPS' feedback and resubmit a policy for publication.

Interviewees also informed us that they may informally communicate a revised policy to employees before it has been formally published in the RCMP Manuals if there are delays. The delays in the publication process present a risk to the RCMP if members act on revised policy that is not formally approved and may be in conflict with the formal documented policy, particularly for high-risk programs. This risk was previously mitigated by the publication of bulletins. Bulletins were used to communicate changes to a policy if circumstances prevented timely publication in the Manuals. The bulletins were intended to communicate immediate changes while the policy was in the process of being updated. A bulletin was intended to be retained for a maximum of three months, after which it would be incorporated into the official policy or removed. However, bulletins were discontinued by PPS in spring of 2018 for policies in the Manuals to avoid policy centres issuing bulletins but not incorporating them in their policies in a timely manner. In addition, some bulletins remained active even though a policy had been updated, which led to confusion for employees.

The backlog of policies awaiting publication increases the risk that high priority policies are not being published in a timely manner, which could impact officer safety.

Communication of policy

For policy to effectively assist its end users, new policies and amendments need to be effectively communicated across the organization. The audit found that Business Lines used a variety of methods to communicate national policy amendments depending on the significance and impact on operations. Audit testing of policy files indicated that these methods included emails to divisional CROPS from national policy centres, news broadcasts, internal newsletters, RCMP Infoweb updates, and teleconferences. More than one method may be used, depending on the importance of the policy and audience to be reached.

We found that in Divisions, CROPS communicated divisional supplement updates throughout the divisional chain of command with the use of directives, divisional intranet sites or emails.

The results of the audit file testing for the communication of new policy, or updates, indicated that 25 of 25 of the policies had been communicated by Business Lines to employees as indicated in the table on the following page. The method to communicate the policies was primarily through the RCMP Infoweb.

Availability of historical policy

The RCMP historical collection of operational and administrative policies is maintained by the Historical Directives Unit within PPS. The PPS is responsible for retaining policies and sending holdings to the Library and Archives Canada for proper preservation based on retention schedules. Maintaining an historical archive of previous versions of policy is important for the RCMP to provide evidence of policy decisions where the RCMP is challenged to explain its practices during court proceedings.

Interviews with Historical Directives employees and a walkthrough by the audit team of the process to search and retrieve historical policies indicated that previous versions of policies are stored and are available upon request. However, the audit team noted that the Historical Unit experienced challenges with the system used to store policies. For example, the system did not have a search capability, requiring employees to manually search their records to find policies. This can be time consuming and impact the efficiency of searching for archived policies when needed.

The RCMP Policy Renewal led by PPS proposed to the Senior Management Team (SMT) the development of a web portal to make historical versions available and to facilitate a search capability by policy users in a self-serve format. While this initiative was endorsed by the SMT it is still in its preliminary phase and formal authorities and approvals have not yet been obtained.

3.3 Monitoring and oversight

Oversight

The Commissioner's Foreword in the AM states that the Chief Information Officer (CIO) is responsible for the management of the RCMP Manual System. It was expected that an oversight function would be in place to ensure that policies in the Manuals were consistent in format, clear and concise, complied with a Force-wide policy development framework, and that deficiencies would be addressed in a timely manner.

In practice, the audit found that the CIO's responsibility extended to publishing national policies on the Infoweb. The audit team did not find evidence of management oversight assigned within the RCMP to provide governance for the entire policy development process for the Manuals. Policy owners within Business Lines and Divisions were responsible to manage and provide management oversight for their respective policies. The decentralization of responsibility has contributed to inconsistent policy formats in the Manuals, resulting in a voluminous policy suite that may be difficult for employees to navigate. Oversight of operational and administrative policy is needed to ensure that the RCMP has a relevant operational policy framework for the Manuals.

The RCMP Policy Renewal initiative has been launched by PPS to address the deficiencies in the Manuals, such as inconsistent formats and policies not being updated in a timely fashion. The audit team was informed that PPS's vision is to become the hub for operational and administrative policy renewal to ensure consistent policy standards, support policy centres, enforce periodic review of policies RCMP-wide, and maintain accountability for the entire policy life cycle for the Manuals framework. However, PPS stated that they did not currently have formal oversight authority to implement their vision.While outside the audit scope period, the audit noted that PPS presented their vision for policy renewal to the National Integrated Operations Council in May 2019, and to the SMT in June 2019 where they received endorsement for the initiative. The RCMP Policy Renewal initiative was also formally supported by Vision 150 under the "Our Stewardship" pillar.

While the RCMP Policy Renewal initiative may play a significant role in the RCMP's policy modernization efforts, formal accountability and oversight have not been assigned to ensure that all policy centres and Divisions comply with the requirements. Modernization of the Manuals will depend on the cooperation and effort of all policy owners within Business Lines and Divisions and their commitment to meet timelines. Without formal assignment of oversight, there is a risk that policy centres may not dedicate the effort needed and PPS may not have the accountability and authority to implement the activities needed and secure appropriate funding for the success of the Renewal initiative. Oversight of the Manuals would also ensure that modernization will provide a coherent policy framework for the Manuals, including consistency in policy format and user accessibility.

Periodic policy updates

As the RCMP operates in an environment of constant change, there are a variety of internal and external factors that result in the need to update policy, including changes in organizational priorities, changes in legislation, and issues identified during daily operations. It was expected that policy centres within all Business Lines would update policy on a periodic basis to assist the RCMP in ensuring that its policies are current and relevant.

The audit team was informed by national policy centres that they updated their policies on an ad hoc basis in response to factors such as a change in legislation, regulatory or legislative changes, results of a court case, or feedback from members.

The audit performed an analysis of the current inventory of RCMP policies within the Manuals as of March 2019. The analysis revealed that 360 of 904 (40%) policies had been updated within the last 5 years. The remaining 60% of the policies had not been updated in more than 5 years. The results of the analysis by Business Line are in the table below.

Policy centre interviewees from all Business Lines informed the audit team that competing operational priorities, reliance on SMEs who have limited availability, and insufficient dedicated policy resources may have prevented the periodic update of policies, resulting in many outdated policies.

Updating policies on an ad hoc basis increases the risk that policies remain outdated for long periods of time. As changes occur in the operational environment or in legislation, current policy may no longer be factually correct and may not be compliant with laws and regulations. Outdated policies also present a risk of increased exposure to member safety if members respond to changes in the environment with actions that may be in conflict with the formal documented policy, particularly for high-risk programs. A systematic process where Business Lines adhered to a schedule to update all policies on a periodic basis would ensure the integrity of the Manuals.

Monitoring for compliance

Policies are an important component of the RCMP as they provide guidance on health and safety, appropriate conduct, and regulatory requirements. As such, it is important to monitor compliance with policy to ensure that members and employees follow guidance and make consistent decisions. It is also essential to monitor policy in order to assess whether changes to policy are required.

Interviewees with all Business Lines informed the audit team that they had not established a monitoring process to ensure that employees complied with policies, but relied on day-to-day management activities as a method to informally assess if policies were being followed. While this information can provide indicators of potential issues with policies, it cannot replace information gathered through a formal process to assess whether policies are being adhered to, particularly for high-risk programs. It was noted that C&IP was in the process of developing a National Operational Policy Compliance Framework which was in draft stage during the audit.

Divisions also relied on day-to-day management activities as a method to informally assess if policies were being followed. Four Divisions identified formal mechanisms to monitor compliance with divisional policy supplements as indicated in the table below, which included Unit Level Quality Assurance (ULQA) tracking and high-risk reviews.

ULQAs are a tool designed to assess compliance with operational, financial, administrative, and program responsibilities, focusing on high-risk activities. They are used by Detachment and Unit Commanders to assess the level of adherence with specific policies by their employees. ULQAs are incorporated into the Detachment Performance Plan and the Unit Performance Plan as per divisional requirements. Units conduct ULQAs based on their assessment of risk in certain areas, which includes assessing compliance, determining why deficiencies have occurred and noting good practices. When deficiencies are identified, proper corrective action must be taken and monitored.

In 2009, the ULQA Handbook was developed by National Review Services (NRS) to provide information for the implementation and maintenance of the ULQA process. However, the Handbook has not been updated since 2009 and the NRS group was dissolved in 2011 based on a decision by the SEC.

Business Lines and policy owners are responsible for developing, updating and sending ULQAs to the RCMP repository. Currently, IAER holds the repository of ULQAs. However, IAER is not responsible for maintaining the repository, nor managing the implementation of ULQAs as per the 2011 SEC decision.

The audit team conducted an analysis of the frequency of access of the ULQA repository to assess if it was being used for policy compliance. The analysis indicated that ULQAs were requested approximately 208 times from March 2018 to February 2019. However, the analysis could not inform the audit whether the ULQA guides were used to monitor policy or whether they were requested for another reason. The analysis found that one ULQA guide was updated in 2018, two guides were updated in 2017, and there were no updates sent to the repository in 2016 and 2015.

ULQAs could be a useful tool to monitor policy compliance at the organization level if results were aggregated and forwarded to responsible Business Lines for analysis. ULQAs could be used to identify policy issues and changes that may be needed. Monitoring compliance with policy by Business Lines and Divisions would ensure that policies are understood and followed. In order to be effective as a policy monitoring mechanism, the use and maintenance of ULQAs should be reviewed, with the intent to identify an appropriate owner in the organization to maintain the repository and manage the use of ULQAs.

4. Conclusion

The management of operational and administrative policy is an important function within the RCMP to support effective decision-making, operational performance and officer safety. In order to maintain an effective operational and administrative policy Manuals framework, a strong policy development process needs to be in place to ensure that policies provide clear direction to employees across the RCMP.

The audit concluded that the operational and administrative policy development process could be strengthened to ensure that policies are developed in a consistent manner across the Force. This includes conducting key elements of the policy development process, such as evidence-based research, adequate stakeholder consultation, and consideration of GBA+ implications.

Areas for improvement include assigning oversight for the Manuals framework along with clearly establishing policy owner responsibilities, providing national guidance tools and training to employees who are responsible to develop policy, and establishing service level standards for publishing policy. In addition, updating policies on a periodic basis is needed to maintain a relevant operational policy suite, as well as creating policy monitoring mechanisms to ensure compliance with policy. Further improvement opportunities exist to assign responsibility for the management of ULQAs as they may be a useful tool in monitoring policy compliance and mitigating risks.

The RCMP Policy Renewal initiative led by PPS has the potential to play a significant role in the RCMP's operational and administrative policy modernization efforts. However, formal accountability has not been assigned to ensure that all policy centres dedicate resources and participate in this initiative to meet the timeline for modernization of the Manuals.

5. Recommendations

1. The Deputy Commissioner SPS, Deputy Commissioner FP, Deputy Commissioner C&IP, and the Chief Human Resource Officer should identify a central unit that will be responsible to create a centre of policy development expertise for the RCMP Operational and Administration Manuals. The unit should develop:
   1. A policy development process to be used Force-wide‎, which includes consideration of GBA+ principles.
   2. Common policy development, compliance monitoring, and file documentation tools to provide guidance to policy centres and Divisions.
   3. A schedule to update policies in the Manuals on a periodic basis, along with an approval mechanism and annual reporting to ensure policy centres within Business Lines and Divisions adhere to updating the Manuals.
2. The Deputy Commissioner SPS, Deputy Commissioner FP, Deputy Commissioner C&IP, and the Chief Human Resource Officer should assign responsibility for the management of ULQAs to the appropriate unit, including reviewing and updating the ULQA Handbook
3. The Deputy Commissioner SPS, Deputy Commissioner FP, Deputy Commissioner C&IP, and the Chief Human Resource Officer should implement the Force-wide policy development process within their respective Business Line that includes:
   1. Updating policies on a periodic basis in compliance with a central schedule.
   2. Developing monitoring mechanisms for policy compliance to ensure policies are adhered to and risks are mitigated by policy centres. Monitoring should include the analysis of aggregate ULQA results, if relevant, or other tools used for monitoring.
4. The Deputy Commissioner SPS should establish formal service standards for the publication process to ensure policies awaiting publication are managed effectively and timely.

Appendix A – Audit objective and criteria

Appendix B – Management action plan

Footnotes

Vérification de la gestion des politiques – Phase 2

Rapport final

octobre 2020

Table des matières

• Sigles et abréviations
• Résumé
• Réponse de la direction aux résultats de la vérification
• 1. Contexte
• 2. Objectif, portée et méthodologie
  • 2.1 Objectif
  • 2.2 Portée
  • 2.3 Méthodologie
  • 2.4 Énoncé de conformité
• 3. Constatations de la vérification
  • 3.1 Élaboration des politiques
  • 3.2 Publication des politiques
  • 3.3 Surveillance et supervision
• 4. Conclusion
• 5. Recommandations
• Annexe A – Objectif et critères de la vérification
• Annexe B – Plan d'action de la direction
• Notes de bas de page

Sigles et abréviations

ACS+

Analyse comparative entre les sexes plus

AQSS

Assurance de la qualité au sein d'un service

DPI

Dirigeant principal de l'Information

EC

Enquêtes criminelles

EGS

Équipe de gestion supérieure

EM

Expert en la matière

EMS

État-major supérieur

GRC

Gendarmerie royale du Canada

MA

Manuel d'administration

MO

Manuel des opérations

PF

Police fédérale

RH

Ressources humaines

SNE

Services nationaux d'examen

SPCA

Services de police contractuels et autochtones

SPOC

Section des politiques opérationnelles et de la conformité

SPP

Section des politiques et des publications

SPS

Services de police spécialisés

VIEE

Vérification interne, Évaluation et Examen

Résumé

La gestion des politiques opérationnelles et administratives est une fonction importante à la Gendarmerie royale du Canada (GRC) qui appuie la prise de décisions efficaces, le rendement opérationnel et la sécurité des agents. Par conséquent, la commissaire a approuvé la phase II de la Vérification de la gestion des politiques dans le Plan de vérification axé sur les risques, d'évaluation et d'analyse des données de 2018-2023. La phase I de la Vérification de la gestion des politiques, qui mettait l'accent sur la planification et les politiques stratégiques, a pris fin en 2018.

La vérification a été réalisée pour évaluer si les processus et les pratiques qui existent pour gérer les politiques opérationnelles et administratives sont efficaces et uniformes à l'échelle de la GRC. La vérification a porté sur le processus d'élaboration des politiques en place et a permis d'examiner les politiques élaborées ou mises à jour par les secteurs d'activité entre janvier 2017 et janvier 2019.

Le Manuel d'administration, le Manuel des opérations et les manuels auxiliaires de la GRC (ci après collectivement nommés les « manuels ») sont les politiques officielles qui régissent et guident les mesures que doivent prendre les employés. La vérification a permis de constater qu'aucun processus d'élaboration des politiques opérationnelles et administratives n'était effectué de façon uniforme à l'échelle de la Gendarmerie, mais que les principaux éléments d'un processus d'élaboration des politiques étaient exécutés dans diverses mesures par les secteurs d'activité. Une formation et des outils nationaux n'avaient pas été fournis pour aider les employés chargés de l'élaboration des politiques, à l'exception de directives sur la publication. Les secteurs d'activité n'avaient pas mis à jour les politiques de façon régulière, et des délais de publication étaient survenus, ce qui avait causé une accumulation de publications en retard.

De plus, la vérification a révélé que les secteurs d'activité n'avaient pas mis au point des mécanismes de surveillance pour évaluer la conformité aux politiques et atténuer les risques. L'outil de surveillance d'assurance de la qualité au sein d'un service existait, mais aucun groupe de la GRC n'était responsable de le gérer. En outre, la fonction de surveillance des manuels pour veiller à ce que tous les secteurs d'activité utilisent une structure uniforme et mettent régulièrement à jour les politiques n'avait pas été attribuée.

Il est possible de renforcer le processus d'élaboration des politiques opérationnelles et administratives et d'attribuer la responsabilité de surveillance des manuels. L'élaboration des politiques tirerait profit de la mise au point d'une formation et d'outils d'orientation nationaux, de l'établissement de normes de service pour la publication des politiques nationales, de la mise à jour périodique des politiques figurant dans les manuels et de la mise au point de mécanismes de surveillance pour évaluer la conformité aux politiques.

L'initiative de renouvellement des politiques de la GRC relativement aux manuels pourrait jouer un rôle déterminant dans les efforts de modernisation de la GRC. L'attribution des responsabilités officielles pour cette initiative garantira que tous les centres de décision participent pleinement à la modernisation des manuels.

La réponse et le plan d'action de la direction élaborés en réponse au présent rapport démontrent l'engagement de la haute direction à donner suite aux constatations et aux recommandations de la vérification. La Vérification interne de la GRC surveillera la mise en œuvre du plan d'action de la direction et entreprendra une vérification de suivi, au besoin.

Réponse de la direction aux résultats de la vérification

Police fédérale

Dans l'ensemble, la Police fédérale accepte les constatations et les recommandations du rapport sur la phase II de la Vérification de la gestion des politiques et appuie les secteurs cités aux fins d'amélioration. Un plan d'action détaillé qui donne suite aux recommandations du rapport et qui fournit des échéances et des jalons précis sera élaboré aux fins d'examen par le Comité ministériel de vérification avant la prochaine réunion du Comité.

Sous-commissaire Michael Duheme, Police fédérale

Services de police spécialisés

Dans l'ensemble, les SPS acceptent les constatations et les recommandations du rapport sur la phase II de la Vérification de la gestion des politiques. Tout en tenant compte des différentes ressources disponibles dans le cadre des programmes des SPS et affectées à la mise à jour et à la tenue à jour des politiques, la vérification donne un aperçu général des travaux requis pour améliorer la gestion des politiques opérationnelles à l'échelle de l'organisation.

Un plan d'action détaillé qui donne suite aux recommandations du rapport et qui fournit des échéances et des jalons précis sera élaboré aux fins d'examen par le Comité ministériel de vérification avant la prochaine réunion du Comité.

Sous-commissaire Stephen White, Services de police spécialisés

Services de police contractuels et autochtones

Dans l'ensemble, les SPCA acceptent les constatations et les recommandations de la vérification. Les SPCA ont à cœur la vision à long terme de la commissaire pour la modernisation de la GRC et ils s'engagent à offrir des services de police de grande qualité conformément aux normes les plus élevées.

La phase II de la Vérification de la gestion des politiques réalisée en septembre 2019 est une ressource opportune, précieuse et informative sur la façon dont les SPCA assurent la tenue à jour des politiques opérationnelles.

Elle met beaucoup l'accent sur le rôle et l'importance des politiques ainsi que sur l'importance de tenir à jour des politiques judicieuses afin de guider l'efficacité des mesures prises par les employés et les policiers de première ligne.

Les gestionnaires des SPCA et leurs spécialistes fonctionnels tireront profit du contenu, de la structure, des principes, des constatations et des réflexions pertinentes fournies à cette étape de la vérification. Des cas de réussite ont été constatés, mais on reconnaît que les SPCA peuvent améliorer certains secteurs. Lors de ses quatre prochaines réunions hebdomadaires, la Section des politiques opérationnelles et de la conformité (SPOC) des SPCA examinera et discutera des détails du présent rapport de vérification.

De plus, les SPCA ont commencé à élaborer un cadre de conformité aux politiques opérationnelles au début de 2019. Les détails de cette initiative sont encore à déterminer, mais presque toutes les activités prévues cernées jusqu'à maintenant donnent suite aux observations soulignées dans le présent rapport de vérification qui portent sur la surveillance des politiques et la conformité aux politiques. Le contenu du rapport de vérification peut servir à faire progresser le programme de conformité et la stratégie sera modifiée afin d'incorporer des éléments de la vérification.

À l'heure actuelle, les SPCA assurent une réaffectation de leurs ressources dans le but d'améliorer la capacité de gestion des politiques et la surveillance connexe, établissent des indicateurs de rendement clés et des processus de surveillance de la conformité pour les politiques opérationnelles relatives aux activités à risque élevé, comme le traitement des prisonniers, les personnes disparues et les crimes contre les personnes.

Sous-commissaire Brian Brennan, Services de police contractuels et autochtones

Ressources humaines

Dans l'ensemble, les RH acceptent les constatations et les recommandations du rapport et appuient les trois secteurs cités aux fins d'amélioration. Un cadre stratégique national doit comprendre l'élaboration et la mise à jour périodique des politiques, la publication en temps opportun et la communication ainsi que des mécanismes pour appuyer la surveillance, la supervision et le respect continus des politiques.

Dirigeante principale des Ressources humaines, Gail Johnson

1. Contexte

La gestion des politiques opérationnelles et administratives est une fonction importante à la Gendarmerie royale du Canada (GRC) qui appuie la prise de décisions efficaces, le rendement opérationnel et la sécurité des agents.

Le Manuel d'administration (MA), le Manuel des opérations (MO) et les manuels auxiliaires de la GRC (ci après collectivement nommés les « manuels ») contiennent les politiques qui régissent les programmes et les services policiers de la GRC et constituent l'approbation officielle préalable des mesures que les employés doivent prendre dans certaines circonstances.^{Note de bas de page 1} Les politiques opérationnelles permettent à la GRC d'exercer judicieusement ses pouvoirs légaux pour gérer et respecter ses priorités.^{Note de bas de page 2} Les politiques administratives assurent la reddition de comptes ministérielle des ressources affectées par la GRC. Les politiques servent à respecter les normes d'orientation, les principes des services policiers et les priorités de l'organisation.^{Note de bas de page 3}

L'élaboration des politiques comprend la rédaction de nouvelles politiques opérationnelles et administratives, ainsi que la mise à jour des politiques existantes afin de veiller à ce qu'elles demeurent à jour. Le processus d'élaboration des politiques renvoie au continuum suivant : la direction établit l'orientation en matière de politiques; le personnel élabore les politiques en effectuant des recherches, des analyses et des consultations ainsi qu'en examinant les options stratégiques; les politiques sont ensuite approuvées et mises en œuvre; et leur conformité fait l'objet d'un suivi périodique afin d'évaluer si les résultats attendus sont atteints.

La GRC utilise un modèle de politique décentralisée, c'est-à-dire que les fonctions liées aux politiques opérationnelles sont effectuées par l'ensemble des secteurs d'activité et des divisions. Les secteurs d'activité agissent à titre de centre de décision national dans leurs secteurs de responsabilités respectifs et abordent les questions de politique qui s'inscrivent dans leur mandat. Les divisions effectuent les fonctions d'élaboration des politiques opérationnelles pour gérer les différences propres aux divisions à la suite de demandes de renseignements ou compte tenu de la jurisprudence ou des lois provinciales. La Section des politiques et des publications (SPP) des SPS est chargée d'examiner, de modifier et de publier toutes les politiques nationales figurant dans les manuels. Les suppléments divisionnaires sont publiés par le Groupe des formules et directives de la division.

En 2018, Vérification interne, Évaluation et Examen (VIEE) a mené la phase I de la Vérification de la gestion des politiques. La vérification a porté sur la capacité de planification et d'élaboration des politiques stratégiques à la GRC. Une fois la phase I de la vérification terminée, la phase II de la Vérification de la gestion des politiques a été entreprise; celle-ci a mis l'accent sur les politiques opérationnelles et administratives de la GRC.

Le Plan de vérification axé sur les risques, d'évaluation et d'analyse des données de 2018-2023 approuvé par la commissaire comprenait la phase II de la Vérification de la gestion des politiques.

2. Objectif, portée et méthodologie

2.1 Objectif

La vérification a été réalisée afin d'évaluer si les processus et les pratiques qui existent pour gérer les politiques opérationnelles et administratives sont efficaces et uniformes à l'échelle de la GRC.

2.2 Portée

Responsabilités du président du GTPAG : SPS : responsable de l'élaboration du PAG pour le CMV; DPRH : responsable de l'exécution de la 1ere étape; PF : responsable de l'exécution de la 2e étape; SPCA : responsable de l'exécution de la 3e étape.

La vérification a mis l'accent sur les processus et les mécanismes en place pour l'élaboration, l'approbation, la publication et la surveillance, à l'échelle nationale et divisionnaire, des politiques opérationnelles.

Dans le cadre de la vérification, on a effectué le contrôle d'un échantillon des politiques élaborées ou mises à jour entre janvier 2017 et janvier 2019 dont la responsabilité incombait aux SPS, aux SPCA, à la PF et aux RH.

2.3 Méthodologie

La planification de la vérification s'est terminée en avril 2019. Au cours de cette étape, l'équipe de vérification a mené des entrevues, passé en revue les processus et examiné les politiques et les procédures pertinentes ainsi que les résultats de vérifications antérieures.

L'étape de l'examen, qui s'est terminée en août 2019, a fait appel à diverses techniques de vérification, notamment des entrevues, l'examen de documents et l'analyse de données.

Un examen des dossiers a été mené sur un échantillon des politiques afin de déterminer si diverses principales étapes du processus d'élaboration des politiques avaient été effectuées. Afin d'obtenir un échantillon de politiques diverses des SPS, des SPCA, de la PF et des RH, l'équipe de vérification a choisi 25 politiques nationales parmi les 183 politiques qui avaient été mises à jour entre janvier 2017 et janvier 2019.

La vérification des dossiers n'a pas porté sur les politiques divisionnaires, mais on a consulté des officiers responsables des enquêtes criminelles (OREC) de toutes les divisions, sauf de la Division nationale et de la Division Dépôt, concernant leurs propres processus d'élaboration des politiques et les défis connexes.

À la fin de l'étape de l'examen, l'équipe de vérification a tenu des réunions pour valider les constatations auprès du personnel et faire part à la haute direction des constatations pertinentes.

Les constatations de la vérification se fondent sur l'examen des politiques opérationnelles et administratives effectué pendant la période de deux ans visée par la vérification qui a pris fin en janvier 2019. Cependant, l'équipe de vérification est consciente que, pendant la période visée par la vérification, des efforts étaient déployés pour modifier la structure et le format des manuels de la GRC et la SPP dirigeait l'initiative de renouvellement des politiques de la GRC. Le Groupe de travail sur les politiques de la GRC a été mis sur pied en décembre 2017. Il est composé de représentants des politiques de divers centres de décision des secteurs d'activité et des divisions, qui collaboreront pour renouveler les manuels. La SPP estime que l'initiative de renouvellement des politiques visant la modernisation des manuels prendra fin en 2023. Puisque l'initiative est en cours, elle n'a pas fait l'objet d'une vérification. Toutefois, l'équipe de vérification a relevé les répercussions sur les constatations, le cas échéant.

2.4 Énoncé de conformité

La mission de vérification est conforme au Cadre de référence international des pratiques professionnelles de l'Institut des auditeurs internes et à la Directive sur l'audit interne du Conseil du Trésor du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatations de la vérification

Un cadre des politiques opérationnelles et administratives solide qui comprend l'élaboration et la mise à jour périodique des politiques, la publication en temps opportun, la communication des modifications aux employés ainsi que la surveillance et la supervision est essentiel pour veiller à ce que les politiques soient respectées et guident les mesures que doivent prendre les employés pour atteindre les objectifs de l'organisation.

Par conséquent, en ce qui concerne le processus d'élaboration des politiques opérationnelles et administratives, l'équipe s'attendait à constater ce qui suit :

• Un processus d'élaboration et d'approbation des politiques bien établi et uniforme à l'échelle de la Gendarmerie;
• La publication en temps opportun des politiques et des modifications ainsi que la communication appropriée à l'échelle de la Gendarmerie;
• Des mécanismes de surveillance des politiques en place pour appuyer la conformité et la supervision des manuels afin d'assurer le maintien d'un cadre des politiques opérationnelles cohérent.

3.1 Élaboration des politiques

Élaboration et approbation des politiques

L'élaboration des politiques opérationnelles et administratives est une fonction importante à la GRC qui fournit les normes de conduite, les exigences réglementaires et les attentes dans certaines circonstances à l'appui du rendement opérationnel et de la sécurité des agents. Voici les principaux éléments du processus d'élaboration des politiques : l'élaboration et l'approbation des politiques d'une manière structurée; la prestation d'une orientation stratégique; la réalisation de recherches et de consultations auprès des principaux intervenants; l'examen des principes de l'analyse comparative entre les sexes plus (ACS+); et l'harmonisation des suppléments nationaux et divisionnaires aux politiques. Un processus d'élaboration des politiques opérationnelles et administratives n'était pas documenté pour la GRC.

La vérification a permis de constater que chaque secteur d'activité adoptait une approche distincte quant à l'élaboration des politiques opérationnelles et administratives. Comme il a été déterminé et signalé pendant la phase I de la Vérification de la gestion des politiques, l'équipe a constaté que la GRC utilise un modèle d'élaboration des politiques décentralisé pour gérer les politiques opérationnelles et administratives et qu'elle a recours à des experts en la matière (EM) qui possèdent l'expertise opérationnelle pour contribuer à l'élaboration des politiques. Chaque secteur d'activité adoptait une approche différente quant au processus d'élaboration des politiques figurant dans les manuels.

Aux SPCA, la SPOC du Service national de la police criminelle met en place et coordonne les politiques opérationnelles qui se rapportent directement aux activités policières, et elle en assume la responsabilité. Elle a officialisé le processus d'établissement des politiques et a créé une liste de vérification des activités clés à réaliser. Celle-ci agit à titre de ressource pour les autres centres de décision du secteur d'activité.

À la PF, le Groupe des politiques opérationnelles des Orientations stratégiques de la PF est chargé de coordonner le processus d'élaboration des politiques opérationnelles jusqu'à la publication, y compris la modification des politiques. Sur demande, le Groupe fournit une orientation aux experts en la matière des centres de décision du secteur d'activité qui sont tenus de rédiger les politiques.

Aux SPS, chaque centre de décision est chargé d'établir sa propre approche pour élaborer des politiques. En général, les secteurs de programmes visés par la vérification avaient recours à des spécialistes des politiques pour les aider avec l'élaboration des politiques opérationnelles et l'harmonisation du contenu avec les normes de publication. Les ressources en matière de politiques du secteur de programme faisaient appel aux experts en la matière au besoin pour élaborer les politiques opérationnelles.

Aux RH, chaque centre de décision est chargé d'établir sa propre approche pour élaborer des politiques opérationnelles et administratives, et la plupart se fient aux experts en la matière pour élaborer les politiques.

Rien ne semblait indiquer qu'il existait un processus officiel d'élaboration des politiques à l'échelle des secteurs d'activité, mais on a constaté que les secteurs d'activité suivaient tous le même processus pour l'approbation des politiques nationales. Selon le chapitre III.4 du MA, les modifications apportées aux programmes administratifs ou opérationnels doivent être approuvées par le commissaire adjoint, le directeur général ou le directeur responsable du programme ou service respectif. Dans le cadre de la vérification, on a évalué la conformité des politiques à l'exigence relative à l'approbation.

La vérification des dossiers a permis de déterminer que 21 dossiers sur 25 comportaient des éléments de preuve démontrant que les approbations étaient conformes à l'exigence figurant dans le MA. Les quatre autres dossiers ne contenaient aucun document se rapportant au processus d'élaboration des politiques. Il n'y avait aucun document à ce sujet dans ces dossiers, mais les centres de décision concernés avaient noté pendant des entrevues que l'approbation avait été obtenue. Puisque le processus de publication des politiques pour les manuels nationaux inclut la confirmation de l'approbation par la SPP avant la publication, l'équipe de vérification estime qu'il est peu probable qu'une politique ne soit pas approuvée conformément au MA. Les résultats de la vérification par secteur d'activité se trouvent dans le tableau ci-dessous.

Dans les divisions, les bureaux des Enquêtes criminelles (EC) assument la responsabilité générale de l'élaboration des politiques pour leur division, et les suppléments aux politiques sont approuvés par le commandant de la division ou son délégué. Les experts en la matière de la division font part de leurs connaissances et de leur expertise opérationnelles afin d'appuyer la fonction liée aux politiques.

La vérification n'a pas révélé qu'un processus officiel d'élaboration des politiques était appliqué de façon uniforme à l'échelle des divisions. Seules deux divisions ont présenté des éléments de preuve relativement à un processus officiel d'élaboration des politiques, comme l'indique le tableau ci dessous. Puisque la portée de la vérification n'englobait pas le contrôle des suppléments divisionnaires aux politiques, l'approbation des dossiers divisionnaires n'a pas été évaluée.

L'absence d'un processus documenté dans l'ensemble des secteurs d'activité et des divisions accroît le risque que des politiques soient élaborées sans que l'on tienne compte des principaux éléments dans le cadre du processus d'élaboration des politiques. Cela pourrait donner lieu à des politiques incohérentes à l'échelle de l'organisation, ce qui aurait des répercussions sur le rendement opérationnel, les normes de conduite acceptables et le risque sur le plan de la responsabilité.

Orientation stratégique

L'orientation stratégique et les priorités de l'organisation changent; il est donc important que les politiques de l'organisation tiennent compte de ces changements. De plus, il peut être nécessaire de modifier les politiques en raison de facteurs externes, comme la modification des dispositions législatives et des règlements.

Les entrevues menées avec les centres de décision de chaque secteur d'activité ont permis de constater qu'une orientation stratégique était fournie par la direction de la GRC. Des modifications peuvent être apportées aux politiques en fonction des commentaires reçus de la part des utilisateurs des politiques ainsi qu'en raison de modifications aux lois, de décisions des tribunaux ou de normes techniques ou scientifiques.

L'orientation stratégique peut également être établie en fonction des modifications apportées à la stratégie et aux priorités ministérielles par la haute direction. Lorsqu'un centre de décision détermine qu'une politique opérationnelle ou administrative est d'importance nationale, il peut demander l'approbation de la haute direction. Par exemple, pendant la période visée par la vérification, l'État-major supérieur (EMS) a examiné les modifications provisoires apportées aux politiques pour fournir une orientation sur le processus d'enquête et de règlement des plaintes de harcèlement (chap. XII.8 du MA) et les décorations d'ancienneté pour les membres de la GRC (chap. 22.4 du MA).

Des personnes interrogées de tous les secteurs d'activité ont mentionné qu'elles avaient reçu une orientation stratégique au moment d'élaborer des politiques opérationnelles ou administratives. La vérification a permis de déterminer qu'une orientation stratégique avait été fournie pour 19 des 25 dossiers examinés. Des documents n'avaient pas été conservés pour les 6 autres dossiers de politique. Voici les résultats de la vérification par secteur d'activité :

Dans l'ensemble, une orientation stratégique était fournie en fonction des exigences et des priorités de l'organisation; cependant, des preuves documentées de l'orientation stratégique n'ont pas été conservées de façon constante. L'orientation stratégique permet de s'assurer que les politiques répondent de manière appropriée aux nouveaux enjeux et aux besoins actuels de la GRC.

Recherche et consultation

La recherche et la consultation auprès des intervenants sont des étapes importantes du processus d'élaboration des politiques afin de s'assurer que les questions liées aux politiques sont bien comprises et que l'approbation des politiques est obtenue.

Des personnes interrogées de tous les secteurs d'activité ont mentionné qu'elles avaient mené des recherches et consulté des intervenants au moment d'élaborer des politiques opérationnelles ou administratives. La vérification a permis de déterminer que des recherches avaient été menées pour 17 des 25 dossiers de politique examinés et que des consultations ont été réalisées pour 19 des 25 dossiers. Les recherches n'avaient pas été documentées dans 8 dossiers de politique et les consultations n'avaient pas été documentées dans 5 dossiers. Voici les résultats de la vérification par secteur d'activité :

La recherche et les consultations sont des étapes importantes du processus d'élaboration des politiques, mais la vérification a révélé que la mesure dans laquelle celles-ci devraient être menées varie selon la politique. Par exemple, l'élaboration des politiques liées à la légalisation du cannabis a inclus des recherches approfondies et des consultations horizontales dans l'ensemble des secteurs d'activité ainsi que des consultations auprès d'autres services de police. Par contre, l'élaboration des politiques pour le Service national du profilage économique (chap. 3.10 du MO) a inclus des modifications mineures aux politiques et très peu de recherches et de consultations.

Les politiques opérationnelles et administratives devraient être respectées par tous les employés de la GRC; par conséquent, l'équipe de vérification s'attendait à ce que des consultations soient menées dans les divisions afin d'obtenir des commentaires et évaluer les répercussions opérationnelles. Elle a constaté que les consultations divisionnaires étaient laissées à la discrétion du centre de décision des secteurs d'activité. Seuls les SPCA avaient inclus, dans leur liste de vérification des politiques, une exigence concernant la réalisation de consultations divisionnaires.

Parmi les 25 dossiers vérifiés, 6 des 7 dossiers de politique des SPCA et 1 des 5 dossiers de politique des RH comportaient des éléments de preuve démontrant que des consultations divisionnaires avaient été menées. Les autres dossiers vérifiés ne contenaient pas de preuve de consultation divisionnaire ni suffisamment de documents pour déterminer si des consultations divisionnaires auraient été nécessaires.

En outre, l'équipe de vérification a communiqué avec les divisions afin de déterminer si les centres de décision nationaux les ont consultées pendant le processus d'élaboration des politiques. Le tableau ci-dessous indique les divisions qui ont mentionné avoir été généralement consultées pendant le processus d'élaboration des politiques nationales.^{Note de bas de page 4}

Puisque la recherche et les consultations n'ont pas été documentées de façon constante pour l'élaboration des politiques opérationnelles et administratives, des intervenants pertinents peuvent avoir été omis dans le processus d'élaboration des politiques. Ce risque est accru pour les enjeux stratégiques de nature horizontale. Il est essentiel de tenir à jour les résultats de la recherche et des consultations, car la recherche appuie la prise de décisions fondée sur des données probantes et la consultation permet de valider que les points de vue des intervenants pertinents ont été pris en considération à l'étape de l'élaboration des politiques.

Harmonisation des suppléments nationaux et divisionnaires aux politiques

Selon le chapitre III.4 du MA, les divisions peuvent élaborer des politiques opérationnelles et administratives supplémentaires lorsqu'une directive s'applique uniquement à leur propre secteur et lorsque les renseignements ne figurent pas dans une politique nationale. Les suppléments ne doivent pas répéter les renseignements figurant dans les politiques nationales et seules les pratiques locales propres à une province doivent figurer dans les suppléments divisionnaires. Ceux ci doivent être conformes aux politiques nationales de la GRC et harmonisés avec celles-ci.

Les divisions peuvent créer des suppléments aux politiques sans la participation des centres de décision nationaux. L'équipe de vérification a relevé des cas où les suppléments divisionnaires ne faisaient pas référence aux politiques nationales. Par exemple, sept divisions (B, D, E, F, H, K et M) avaient des suppléments divisionnaires sur les activités de plongée, mais deux suppléments divisionnaires (K et F) ne faisaient pas référence à la politique nationale (chap. 52.5 du MO). Par conséquent, il se peut que les employés ne soient pas au courant qu'une politique nationale portant sur ce sujet existe.

En raison du modèle décentralisé de la Gendarmerie, il y a un risque accru que les politiques élaborées séparément à l'échelle des secteurs d'activité et des divisions ne soient pas harmonisées. L'élaboration de suppléments divisionnaires sans la participation des centres de décision nationaux accroît le risque de chevauchement des politiques, d'incohérences et de répercussions négatives sur la sécurité des agents. L'harmonisation entre les politiques nationales et les suppléments divisionnaires est essentielle afin d'éviter toute confusion pour les employés et de veiller à ce que la Gendarmerie réagisse aux circonstances d'une manière uniforme et convenable.

Prise en considération de l'ACS+

L'ACS+ est un processus analytique qui sert à évaluer les répercussions potentielles des politiques, des programmes ou des initiatives sur divers groupes de femmes, d'hommes et de personnes non binaires.^{Note de bas de page 5} L'ACS+ tient également compte de l'interaction de nombreux autres facteurs identitaires, comme la race, l'ethnicité, la religion, l'âge et la déficience mentale ou physique. Le gouvernement s'est engagé à mettre en œuvre l'ACS+; par conséquent, il incombe à la Gendarmerie de déterminer si les politiques proposées pourraient avoir des répercussions sur divers groupes d'employés. Si des répercussions sont décelées, la Gendarmerie doit effectuer une évaluation de l'ACS+ approfondie et complète.^{Note de bas de page 6}

Pendant les entrevues, tous les secteurs d'activité ont mentionné qu'ils examinent les politiques pour s'assurer d'utiliser un langage neutre. Toutefois, les personnes interrogées n'avaient pu préciser aucune autre analyse particulière effectuée relativement aux considérations liées à l'ACS+ (comme l'âge, la culture, la scolarité, l'ethnicité, la race, le handicap, le lieu de résidence, etc.). Elles ont dit connaître les principes de l'ACS+ et ont mentionné que les employés avaient suivi la formation obligatoire sur l'ACS+ de la GRC. Les SPCA ont modifié leur liste de vérification des politiques en 2018 afin d'inclure une exigence concernant l'évaluation des considérations liées à l'ACS+ pendant l'élaboration des politiques. D'autres secteurs d'activité n'avaient pas établi de liste de vérification des politiques ou d'autres outils officiels pour aider à cerner les considérations liées à l'ACS+.

La vérification a permis de constater que les principes de l'ACS+ avaient été pris en considération au moment d'élaborer des politiques pour 3 des 25 dossiers examinés seulement. L'équipe de vérification reconnaît que certaines politiques peuvent comprendre très peu de considérations liées à l'ACS+. Cependant, selon les contrôles effectués, la documentation était insuffisante dans la plupart des dossiers de politique pour confirmer si une analyse avait été faite dans le but de déterminer si une politique pourrait avoir des répercussions différentes sur divers groupes de personnes. Voici les résultats de la vérification par secteur d'activité :

Les entrevues avec les représentants du Groupe de l'ACS+ ont permis de constater que le Groupe peut fournir des conseils aux employés afin de les aider à tenir compte des principes de l'ACS+ au moment d'élaborer des politiques, mais il n'est pas obligatoire de le consulter pendant le processus d'élaboration des politiques à la GRC.

Si les principes de l'ACS+ ne sont pas pris en considération au moment d'élaborer des politiques, cela pourrait vouloir dire que les répercussions des politiques sur divers groupes ne sont pas examinées systématiquement, ce qui augmenterait le risque que les politiques aient des conséquences et des répercussions inattendues sur divers groupes d'employés.

Formation et outils

Les secteurs d'activité utilisent différentes approches pour élaborer des politiques opérationnelles et administratives et se fient aux experts en la matière qui possèdent l'expertise opérationnelle pour contribuer à l'élaboration des politiques. L'élaboration des politiques étant une tâche peu fréquente pour les experts en la matière, on s'attendait à ce que les employés participant au processus d'élaboration des politiques aient accès à la formation, aux outils et à l'orientation nécessaires pour mener à bien le processus d'élaboration des politiques.

L'équipe de vérification n'a observé aucune preuve de la prestation d'une orientation nationale relativement au processus d'élaboration des politiques ou à d'une formation offerte pour aider les employés à élaborer des politiques opérationnelles et administratives, sauf des lignes directrices en matière de publication élaborées par la SPP, un groupe des SPS. La SPP a publié un guide de rédaction des politiques sur l'InfoWeb de la GRC que tous les employés de la GRC peuvent consulter pour les aider à préparer une politique aux fins de publication. De plus, la SPP a créé une liste de vérification que les réviseurs peuvent utiliser lorsqu'ils révisent les politiques. Les SPCA ont créé une liste de vérification des principales activités à réaliser au moment d'élaborer des politiques

Puisqu'il n'existe pas de formation et d'outils nationaux sur la façon d'élaborer des politiques opérationnelles et administratives, deux divisions (E et H) ont élaboré une liste de vérification des politiques officielle à l'appui de l'élaboration des politiques. Il est possible de tirer profit des outils créés par les secteurs d'activité pour élaborer une orientation nationale à appliquer à l'échelle de la Gendarmerie.

Pendant les entrevues avec les centres de décision des SPCA, de la PF, des SPS et des RH chargés d'élaborer des politiques, on a constaté que la formation était principalement obtenue en cours d'emploi et que les employés avaient acquis une expertise en faisant des essais et des erreurs. De plus, des personnes interrogées de tous les secteurs d'activité ont mentionné qu'il était difficile pour les experts en la matière d'élaborer des politiques opérationnelles et administratives sans suivre de formation et obtenir d'orientation pour les aider pendant le processus.

En raison du manque d'outils, de formation et d'orientation relativement à l'élaboration des politiques opérationnelles et administratives, les centres de décision sont plus susceptibles de ne pas incorporer les principaux éléments du processus d'élaboration des politiques. Cela pourrait donner lieu à un manque de cohérence dans l'élaboration des politiques ou à des politiques qui n'appuient pas efficacement les activités. La mise au point d'une formation et d'outils d'orientation nationaux permettrait de veiller à ce que tous les employés aient une compréhension commune du processus.

3.2 Publication des politiques

Rapidité de la publication

Selon le chapitre III.4 du MA, toutes les politiques de la GRC doivent être publiées dans le MA, le MO et leurs manuels auxiliaires correspondants, et les centres de décision doivent utiliser les manuels de la GRC pour publier les politiques. L'omission de publier les politiques dans les manuels peut créer de la confusion pour les employés et donner lieu à des conséquences juridiques lorsque les mesures qui sont prises ne respectent pas les politiques publiées.

La SPP est l'autorité en matière de publication à la GRC et elle est responsable de publier les politiques nationales dans les manuels. Elle avait élaboré un processus pour établir l'ordre de priorité de la publication des politiques opérationnelles et administratives. En consultation avec le centre de décision pertinent, la SPP avait attribué un niveau de priorité (1 = élevé, 2 = moyen et 3 = faible) aux politiques reçues aux fins de publication en fonction de l'urgence opérationnelle, des priorités ministérielles et de la prise en considération de la sécurité des agents. L'équipe de vérification a constaté que la SPP n'avait pas établi de normes de niveau de service relativement au temps prévu pour la publication des politiques opérationnelles et administratives.

En janvier 2019, il y avait 41 politiques en attente de publication. Près de la moitié des politiques dans la file d'attente avaient été désignées comme hautement prioritaires (16 sur 41). Les politiques dans la file d'attente de publication connaissaient des retards de 167 jours en moyenne (environ six mois). Certaines de ces politiques étaient directement liées à la sécurité des agents, comme la saisie de drogues (chap. 6.8 du MO), l'enlèvement des explosifs (chap. 33.3 du MO) et le déploiement rapide pour action immédiate (chap. 16.10 du MO). La phase I de la Vérification de la gestion des politiques a révélé qu'en avril 2018, il y avait 135 politiques en attente de publication. La SPP avait mentionné qu'elle manquait de ressources pour tenir à jour l'ensemble des politiques nationales de la GRC. Des améliorations ont été apportées pour réduire le nombre de politiques en attente de publication, mais le temps moyen pour la publication a démontré qu'il est encore difficile de publier les politiques en temps opportun. Par conséquent, il se peut que les membres n'aient pas accès aux politiques dont ils ont besoin pour mener les activités policières opérationnelles.

L'équipe de vérification a examiné les 20 politiques dans la file d'attente de publication qui étaient les plus désuètes (20 sur 41) afin de déterminer la raison des retards de publication. Lorsque les politiques sont présentées par un centre de décision aux fins de publication, la SPP examine la politique afin de s'assurer que sa mise en page est convenable et qu'elle respecte les normes de publication des manuels de la GRC. Le temps nécessaire pour effectuer cet examen dépend de la taille et de la complexité de la politique ainsi que de la disponibilité des ressources. La vérification a permis de constater qu'environ la moitié des politiques (9 sur 20) en attente de publication n'avaient pas encore été traitées par la SPP et que 5 des 9 politiques avaient désignées comme hautement prioritaires.

Pour ce qui est de l'autre moitié des politiques (11 sur 20), la SPP attendait une réponse du centre de décision à la suite de son examen. En tout, 5 des 11 politiques avaient été désignées comme hautement prioritaires. La SPP peut demander au centre de décision de modifier la politique pour régler des problèmes de mise en page et de rédaction ou pour obtenir l'approbation appropriée, ce qui signifie que le dossier est dans la file d'attente jusqu'à ce que le problème soit résolu par le centre de décision. Par conséquent, des retards peuvent survenir lorsqu'un centre de décision ne répond pas en temps opportun.

Des personnes interrogées de huit centres de décisions des secteurs d'activité ont mentionné que les priorités opérationnelles limitent le temps consacré à l'élaboration des politiques, en particulier lorsqu'on se fie aux experts en la matière pour réviser les politiques. Cela pourrait avoir une incidence sur la rapidité à laquelle un centre de décision peut traiter les commentaires de la SPP et présenter de nouveau une politique aux fins de publication.

Les personnes interrogées ont également mentionné que, s'il y a des retards, elles peuvent communiquer une politique modifiée de façon informelle aux employés avant qu'elle ne soit publiée officiellement dans les manuels de la GRC. Les retards dans le processus de publication présentent un risque pour la GRC si les membres prennent des mesures en fonction d'une politique modifiée qui n'est pas approuvée officiellement et qui peut être incompatible avec la politique officielle documentée, en particulier pour les programmes à risque élevé. Auparavant, le risque était atténué par la publication de bulletins. Ceux-ci étaient utilisés pour communiquer les modifications apportées à une politique si la publication dans les manuels ne pouvait être effectuée en temps opportun. Les bulletins avaient pour but de communiquer les modifications immédiates pendant que la mise à jour de la politique était en cours. Un bulletin devait être conservé pendant un maximum de trois mois, après quoi il était intégré à la politique officielle ou supprimé. Cependant, la SPP a abandonné les bulletins au printemps 2018 pour ce qui est des politiques dans les manuels afin d'éviter que les centres de décision publient des bulletins sans les intégrer aux politiques en temps opportun. En outre, certains bulletins demeuraient en vigueur même lorsque la politique avait été mise à jour, ce qui créait de la confusion pour les employés.

Le nombre de politiques en attente de publication accroît le risque que les politiques désignées comme hautement prioritaires ne soient pas publiées en temps opportun, ce qui pourrait avoir une incidence sur la sécurité des agents.

Communication des politiques

Pour que les politiques puissent aider efficacement les utilisateurs finaux, les nouvelles politiques et les modifications doivent être bien communiquées à l'échelle de l'organisation. La vérification a permis de constater que les secteurs d'activité utilisaient diverses méthodes pour communiquer les modifications apportées aux politiques nationales selon leur importance et leur incidence sur les activités. Selon les contrôles des dossiers de politique effectués, ces méthodes comprennent l'envoi de courriels par les centres de décision nationaux aux OREC divisionnaires, les bulletins de nouvelles, les bulletins internes, les mises à jour dans l'InfoWeb de la GRC et les conférences téléphoniques. Plus d'une méthode était utilisée selon le public cible et l'importance de la politique.

L'équipe de vérification a constaté que, dans les divisons, l'OREC communiquait les mises à jour apportées aux suppléments divisionnaires à l'ensemble de la chaîne de commandement divisionnaire au moyen de directives, de sites intranet de la division ou de courriels.

Selon les résultats des contrôles des dossiers concernant la communication des nouvelles politiques ou des mises à jour, 25 des 25 politiques avaient été communiquées par les secteurs d'activité aux employés, comme l'indique le tableau ci-dessous. La méthode de communication des politiques était principalement par l'entremise de l'InfoWeb de la GRC.

Disponibilité des politiques historiques

La collection de politiques opérationnelles et administratives historiques de la GRC est gérée par le Groupe des directives historiques de la SPP. La SPP est responsable de conserver les politiques et d'envoyer les fonds documentaires à Bibliothèque et Archives Canada aux fins de conservation appropriée en fonction des délais de conservation. Il est important pour la GRC de gérer des archives historiques des versions précédentes des politiques afin d'être en mesure de fournir des preuves de décisions stratégiques lorsqu'on lui demande d'expliquer ses pratiques lors de procédures judiciaires.

Les entrevues avec les employés du Groupe des directives historiques et la revue par l'équipe de vérification du processus pour chercher et extraire des politiques historiques ont permis de constater que les versions précédentes des politiques sont stockées et sont disponibles sur demande. Cependant, l'équipe a noté que le Groupe des directives historiques avait éprouvé des difficultés avec le système utilisé pour stocker les politiques. Par exemple, le système n'avait pas de fonction de recherche; les employés devaient donc effectuer manuellement une recherche dans les dossiers pour trouver les politiques. Cela peut prendre du temps et avoir une incidence sur l'efficacité de la recherche de politiques archivées au besoin.

L'initiative de renouvellement des politiques de la GRC dirigée par la SPP a proposé à l'Équipe de gestion supérieure (EGS) l'élaboration d'un portail Web permettant de consulter les versions historiques et de faciliter la capacité de recherche par les utilisateurs des politiques dans un format libre service. Cette initiative a été approuvée par l'EGS, mais elle en est encore à l'étape préliminaire et les autorisations et les approbations officielles n'ont pas encore été obtenues.

3.3 Surveillance et supervision

Supervision

Selon l'avant-propos de la commissaire dans le MA, le dirigeant principal de l'Information (DPI) est chargé de gérer le système manuel de la GRC. On s'attendait à ce qu'une fonction de supervision soit en place pour veiller à ce que les politiques figurant dans les manuels aient la même mise en page, soient claires et concises et respectent le cadre d'élaboration des politiques en place à l'échelle de la Gendarmerie et à ce que les lacunes soient corrigées rapidement.

Dans la pratique, la vérification a permis de constater que les responsabilités du DPI englobaient la publication des politiques nationales sur l'InfoWeb. L'équipe de vérification n'a observé aucune preuve de l'attribution de la fonction de supervision de la gestion à la GRC afin de fournir une gouvernance pour l'ensemble du processus d'élaboration des politiques figurant dans les manuels. Les responsables des politiques des secteurs d'activité et des divisions étaient chargés de gérer leurs politiques respectives et d'assurer la supervision de la gestion connexe. La décentralisation de la responsabilité a contribué à des mises en page incohérentes des politiques dans les manuels, ce qui a donné lieu à un ensemble de politiques volumineux qui peut être difficile à consulter. La supervision des politiques opérationnelles et administratives est requise pour s'assurer que le cadre des politiques opérationnelles de la GRC est pertinent pour ce qui est des manuels.

L'initiative de renouvellement des politiques de la GRC a été lancée par la SPP pour combler les lacunes dans les manuels, comme des mises en page incohérentes et le fait que les politiques ne sont pas mises à jour en temps opportun. L'équipe de vérification a appris que la vision de la SPP est de devenir le bureau central du renouvellement des politiques opérationnelles et administratives afin de garantir la cohérence des normes en matière de politiques, d'appuyer les centres de décision, d'exécuter des examens périodiques des politiques à l'échelle de la GRC et de conserver la responsabilité tout au long du cycle de vie des politiques pour le cadre de travail lié aux manuels. Cependant, la SPP a mentionné qu'elle ne possède pas actuellement l'autorité de supervision officielle requise pour réaliser sa vision. Bien que cela soit en dehors de la période visée par la vérification, on a constaté que la SPP a présenté sa vision de renouvellement des politiques au Conseil national des opérations intégrées en mai 2019 et à l'EGS en juin 2019, et l'initiative a été approuvée. De plus, l'initiative de renouvellement des politiques de la GRC est appuyée officiellement par la Vision 150, sous le pilier « Notre intendance ».

L'initiative de renouvellement des politiques de la GRC joue un rôle important dans les efforts de modernisation des politiques de la GRC, mais les responsabilités officielles et la supervision n'ont pas été attribuées en vue de s'assurer que les centres de décision et les divisions respectent les exigences. La modernisation des manuels dépendra de la collaboration et des efforts des responsables des politiques des secteurs d'activité et des divisions ainsi que de leur engagement à respecter les échéances. Sans attribution officielle de la fonction de supervision, il se peut que les centres de décision ne déploient pas les efforts nécessaires, et la SPP pourrait ne pas avoir la responsabilité et l'autorité de mettre en œuvre les activités requises et d'obtenir les fonds nécessaires pour assurer le succès de l'initiative de renouvellement. La supervision des manuels permettrait aussi de veiller à ce que la modernisation fournisse un cadre des politiques cohérent pour les manuels, notamment en assurant l'uniformité de la mise en page des politiques et de l'accessibilité pour les utilisateurs.

Mises à jour périodiques des politiques

Le milieu dans lequel la GRC fonctionne évolue constamment; les politiques doivent donc être mises à jour en raison de divers facteurs internes et externes, notamment les changements dans les priorités organisationnelles, les modifications législatives et les enjeux signalés pendant les activités quotidiennes. On s'attendait à ce que les centres de décision des secteurs d'activité mettent à jour les politiques de façon périodique afin d'aider la GRC à s'assurer que ses politiques sont à jour et pertinentes.

Les centres de décision nationaux ont informé l'équipe de vérification qu'ils mettent à jour leurs politiques de façon ponctuelle en fonction de facteurs comme une modification apportée à une loi, des modifications réglementaires ou législatives, la décision d'un tribunal ou les commentaires des membres.

La vérification a analysé le répertoire actuel des politiques de la GRC figurant dans les manuels en mars 2019. L'analyse a révélé que 360 des 904 politiques (40 %) avaient été mises à jour au cours des cinq dernières années. Le reste (60 %) des politiques n'avait pas été mis à jour depuis plus de cinq ans. Voici les résultats de l'analyse par secteur d'activité :

Des personnes interrogées des centres de décision de tous les secteurs d'activité ont informé l'équipe de vérification que les priorités opérationnelles concurrentes, le recours aux experts en la matière dont la disponibilité est limitée et le nombre insuffisant de ressources stratégiques spécialisées ont possiblement empêché la mise à jour périodique des politiques, ce qui a donné lieu à un grand nombre de politiques désuètes.

La mise à jour ponctuelle des politiques accroît le risque que les politiques demeurent désuètes pendant de longues périodes. Lorsque des changements surviennent dans le milieu opérationnel ou que des modifications sont apportées aux lois, les politiques existantes pourraient ne plus présenter les faits correctement et ne plus respecter les lois et les règlements. De plus, les politiques désuètes présentent un risque d'exposition accru relativement à la sécurité des agents si ces derniers réagissent aux changements survenus dans le milieu en prenant des mesures qui peuvent être incompatible avec la politique officielle documentée, en particulier pour les programmes à risque élevé. Un processus systématique selon lequel les secteurs d'activité respectent un calendrier de mise à jour périodique des politiques permettrait d'assurer l'intégrité des manuels.

Surveillance de la conformité

Les politiques constituent un élément important de la GRC, car elles fournissent une orientation sur la santé et la sécurité, le comportement à adopter et les exigences réglementaires. Par conséquent, il est important de surveiller la conformité aux politiques afin de s'assurer que les membres et les employés suivent l'orientation et prennent des décisions cohérentes. Il est également essentiel de surveiller les politiques afin de déterminer s'il faut les modifier.

Des personnes interrogées de tous les secteurs d'activité ont informé l'équipe de vérification qu'elles n'avaient pas établi un processus de surveillance pour s'assurer que les employés respectent les politiques, mais qu'elles utilisaient des activités quotidiennes de gestion pour évaluer de manière informelle le respect des politiques. Ces renseignements peuvent fournir des indicateurs de problèmes potentiels relativement aux politiques, mais ils ne peuvent pas remplacer les renseignements recueillis dans le cadre d'un processus officiel pour déterminer le respect des politiques, en particulier pour les programmes à risque élevé. On a noté que les SPCA avaient entrepris d'élaborer un cadre national de conformité aux politiques opérationnelles, dont la rédaction était en cours pendant la vérification.

Les divisions utilisaient également des activités quotidiennes de gestion pour évaluer de manière informelle le respect des politiques. Quatre divisions avaient déterminé des mécanismes officiels pour surveiller la conformité aux suppléments divisionnaires aux politiques, comme l'indique le tableau ci-dessous, et cela comprenait le suivi de l'assurance de la qualité au sein d'un service (AQSS) et les examens à risque élevé.

Les AQSS sont un outil conçu pour évaluer la conformité aux responsabilités opérationnelles, financières, administratives et liées aux programmes qui met l'accent sur les activités à risque élevé. Les chefs de détachement et de service les utilisent pour évaluer à quel point les employés respectent des politiques particulières. Les AQSS sont intégrées au Plan de rendement du détachement et au Plan de rendement du service, conformément aux exigences divisionnaires. Les services effectuent des AQSS selon leur évaluation du risque dans certains secteurs, ce qui comprend l'évaluation de la conformité, la détermination des causes des lacunes et la consignation des pratiques exemplaires. Lorsque des lacunes sont relevées, des mesures correctives appropriées doivent être prises et faire l'objet d'une surveillance.

En 2009, le Manuel sur l'AQSS a été rédigé par les Services nationaux d'examen (SNE) afin de fournir des renseignements sur la mise en œuvre et le maintien du processus d'AQSS. Cependant, le manuel n'a pas été mis à jour depuis 2009 et le groupe des SNE a été dissous en 2011 en raison de la décision de l'EMS.

Les secteurs d'activité et les responsables des politiques sont chargés d'élaborer, de mettre à jour et d'envoyer les AQSS au répertoire de la GRC. À l'heure actuelle, VIEE conserve le répertoire d'AQSS. Cependant, VIEE n'est pas responsable de la tenue à jour du répertoire ni de la gestion de la mise en œuvre des AQSS, conformément à la décision de l'EMS prise en 2011.

L'équipe de vérification a mené une analyse de la fréquence d'accès au répertoire d'AQSS afin d'évaluer s'il servait à la conformité aux politiques. D'après l'analyse, des AQSS ont été demandées environ 208 fois entre mars 2018 et février 2019. Toutefois, l'analyse ne permettait pas de savoir si les guides sur l'AQSS étaient utilisés pour surveiller les politiques ou si on les avait demandés pour une autre raison. L'analyse a permis de constater ce qui suit : un guide sur l'AQSS a été mis à jour en 2018, deux guides ont été mis à jour en 2017 et aucune mise à jour n'a été envoyée au répertoire en 2016 et 2015.

Les AQSS pourraient constituer un outil pratique pour surveiller la conformité aux politiques à l'échelle de l'organisation si les résultats étaient regroupés et transmis aux secteurs d'activité responsables aux fins d'analyse. Elles pourraient être utilisées pour déterminer les enjeux stratégiques et les modifications à apporter. La surveillance de la conformité aux politiques par les secteurs d'activité et les divisions garantirait que les politiques sont comprises et respectées. Pour assurer l'efficacité du mécanisme de surveillance des politiques, il faut examiner l'utilisation et la tenue à jour des AQSS en vue de désigner un responsable approprié, au sein de l'organisation, pour tenir à jour le répertoire et gérer l'utilisation des AQSS.

4. Conclusion

La gestion des politiques opérationnelles et administratives est une fonction importante à la GRC qui appuie la prise de décisions efficaces, le rendement opérationnel et la sécurité des agents. Afin de maintenir l'efficacité du cadre des politiques opérationnelles et administratives figurant dans les manuels, il faut mettre en place un processus solide d'élaboration des politiques pour veiller à ce que les politiques donnent une orientation claire aux employés à l'échelle de la GRC.

La vérification a permis de conclure qu'il est possible de renforcer le processus d'élaboration des politiques opérationnelles et administratives pour assurer l'uniformité des politiques élaborées à l'échelle de la Gendarmerie. Cela comprend l'exécution des principaux éléments du processus d'élaboration des politiques, comme la recherche fondée sur des éléments probants, la consultation adéquate des intervenants et la prise en considération des répercussions relatives à l'ACS+.

Les secteurs à améliorer comprennent ce qui suit : attribuer la surveillance du cadre de travail lié aux manuels, établir clairement les responsabilités du responsable des politiques, fournir une formation et des outils d'orientation nationaux aux employés chargés de l'élaboration des politiques et établir des normes de niveau de service pour la publication des politiques. De plus, il faut mettre à jour les politiques de façon périodique pour tenir à jour un ensemble de politiques pertinent et créer des mécanismes de surveillance des politiques en vue d'assurer la conformité aux politiques. D'autres possibilités d'amélioration existent quant à l'attribution de la responsabilité de la gestion des AQSS, car celles-ci pourraient constituer un outil pratique pour surveiller la conformité aux politiques et atténuer les risques.

L'initiative de renouvellement des politiques de la GRC, qui est dirigée par la SPP, pourrait jouer un rôle déterminant dans les efforts de modernisation des politiques opérationnelles et administratives de la GRC. Cependant, les responsabilités officielles n'ont pas été attribuées en vue de s'assurer que tous les centres de décision affectent des ressources et participent à cette initiative afin de respecter l'échéancier de la modernisation des manuels.

5. Recommandations

1. Le sous-commissaire des SPS, le sous-commissaire de la PF, le sous-commissaire des SPCA et la dirigeante principale des Ressources humaines doivent désigner un groupe central qui sera chargé de créer un centre d'expertise en élaboration des politiques pour le Manuel des opérations et le Manuel d'administration de la GRC. Le groupe doit élaborer ce qui suit :
   1. Un processus d'élaboration des politiques à utiliser à l'échelle de la Gendarmerie qui prend en considération les principes de l'ACS+.
   2. Des outils d'élaboration des politiques communes, de surveillance de la conformité et de documentation des dossiers pour fournir une orientation aux centres de décision et aux divisions.
   3. Un calendrier de mise à jour périodique des politiques figurant dans les manuels ainsi qu'un mécanisme d'approbation et de production de rapports annuels pour veiller à ce que les centres de décision des secteurs d'activité et des divisions mettent à jour les manuels.
2. Le sous-commissaire des SPS, le sous-commissaire de la PF, le sous-commissaire des SPCA et la dirigeante principale des Ressources humaines doivent attribuer la responsabilité de la gestion des AQSS au groupe compétent, ce qui comprend l'examen et la mise à jour du Manuel sur l'AQSS.
3. Le sous-commissaire des SPS, le sous-commissaire de la PF, le sous-commissaire des SPCA et la dirigeante principale des Ressources humaines doivent mettre en œuvre le processus d'élaboration des politiques à utiliser à l'échelle de la Gendarmerie dans leurs secteurs d'activité respectifs. Cela comprend ce qui suit :
   1. La mise à jour périodique des politiques conformément au calendrier central.
   2. L'élaboration de mécanismes de surveillance pour évaluer la conformité aux politiques afin de garantir que les centres de décision respectent les politiques et atténuent les risques. La surveillance doit comprendre l'analyse des résultats des AQSS regroupés, s'ils sont pertinents, ou d'autres outils utilisés aux fins de surveillance.
4. Le sous-commissaire des SPS doit établir des normes de service officielles en matière de publication afin d'assurer la gestion efficace et rapide des politiques en attente de publication.

Annexe A – Objectif et critères de la vérification

Annexe B – Plan d'action de la direction

Notes de bas de page

Évaluation horizontale de L’Arrangement sur la police civile au Canada et programme d’opérations policières internationales et de maintien de la paix (2015-2020) - Sommaire

Au sujet du programme ^{Note de fin de texte 1}

L'Arrangement sur la police civile au Canada (APCC) est le fruit d'un partenariat entre Affaires mondiales Canada (AMC), Sécurité publique Canada et la Gendarmerie royale du Canada (GRC). Dans le cadre du Programme des missions internationales des policiers affectés au maintien de la paix de l'APCC, des agents de divers corps policiers au pays prennent part aux efforts de stabilisation dans le monde. La police canadienne, en collaboration avec des partenaires comme les Nations Unies et l'Union européenne, ou dans le cadre d'un accord bilatéral avec un pays d'accueil, appuie le rétablissement de l'État de droit, les réformes institutionnelles et la professionnalisation de services de police étrangers.

Objet de l'évaluation

L'évaluation a porté sur le rendement (efficacité et efficience) de l'APCC-PMIPMP durant les exercices 2015-2016 à 2019-2020, ce qui comprend les activités de l'ensemble des services partenaires. De nombreuses sources de données ont été analysées pour servir d'assise aux constatations et aux recommandations énoncées dans le rapport.

Constats

• Les policiers canadiens étaient respectés en mission pour leurs compétences personnelles et professionnelles. Ils ont favorisé la primauté du droit dans la durée, principalement en renforçant les capacités des services de police locaux.
• Des améliorations sont possibles; il s'agit notamment d'améliorer la planification stratégique à long terme et la mesure des résultats, et d'envisager des déploiements plus ciblés et un engagement plus large du système de justice pénale.
• Les policiers ont acquis des compétences professionnelles au cours de leur mission. Il y aurait lieu de mieux documenter ces compétences à leur retour au Canada afin d'en tirer parti.
• Le Canada a fait preuve de leadership dans la promotion du rôle des femmes dans la réforme de la police internationale en procédant à un recrutement ciblé notamment pour assumer des rôles de direction, et en mettant l'accent sur l'égalité hommes-femmes dans les missions.
• L'augmentation des missions bilatérales et dangereuses a conduit à la nécessité d'adapter l'approche actuelle de l'exécution des programmes de l'APCC et du PMIPMP ainsi que le volume des effectifs.
• Les relations entre les partenaires de l'APCC sont bien établies et la coordination des programmes continue d'évoluer. À ce chapitre, on citera la nécessité d'avoir une approche plus cohérente et organisée du partage de l'information, un plan proactif et coordonné de communication externe, mais aussi d'améliorer la collecte, l'analyse, la communication et l'exploitation des données à tous les niveaux.
• Les policiers canadiens se sont activement employés à faire en sorte que leurs efforts soient cohérents avec ceux d'autres acteurs internationaux engagés dans la réforme de la police. Travailler aux côtés de professionnels de la police d'autres pays a permis de dégager de meilleures pratiques en matière d'approche du maintien de la paix par la police dans des contextes internationaux.

Recommandations

Les recommandations suivantes ont été formulées à la lumière des constatations ressorties de l'évaluation :

Pour de plus amples renseignements ou pour consulter l'intégralité du rapport, rendez-vous sur notre site Web.

Horizontal Evaluation of the Canadian Police Arrangement - International Police Peacekeeping and Peace Operations Program (2015-2020) - Summary

About the program ^{Endnote 1}

The Canadian Police Arrangement (CPA) is a partnership between Global Affairs Canada (GAC), Public Safety Canada and the Royal Canadian Mounted Police (RCMP). Under the CPA's International Police Peacekeeping and Peace Operations (IPP) program, Canadian police officers from domestic police services are deployed to stabilization efforts around the world. Canadian police, in cooperation with partners such as the United Nations and the European Union, or bilaterally with a host country, support sustainable rule of law, institutional reform and the professionalization of foreign police services.

What we examined

The evaluation assessed the performance (effectiveness and efficiency) of the CPA-IPP program during fiscal years 2015-16 to 2019-20. Activities of all partner departments were included. Multiple lines of evidence were analyzed to support the findings and recommendations.

What we found

• Canadian police officers were respected in mission for their personal and professional competencies. They promoted sustainable rule of law primarily through building the capacity of local police services.
• Opportunities for improvement in missions include the need to improve long-term strategic planning and results measurement, and consider more targeted deployments and broader criminal justice system engagement.
• Police officers gained professional competencies while in mission. There are opportunities to better track/leverage these competencies when they return to Canada.
• Canada demonstrated leadership in prioritizing and valuing the role of women in international police reform through targeted recruitment and leadership roles, and advancing a gender focus in missions.
• More bilateral and hazardous missions have led to a need to adapt the current CPA and IPP program delivery approach and staff complement.
• CPA partner relationships are well established and program coordination continues to evolve. Opportunities for improved coordination include the need for a more consistent and organized approach to information sharing, a proactive and coordinated plan for external communication, and enhanced data collection, analysis, reporting and leveraging at all levels.
• Canadian police officers actively sought coherence with the police reform efforts of other international stakeholders. Working alongside police professionals from other nations offered best practices for approaches to police peacekeeping in international contexts.

What we recommend

Based on the findings of the evaluation, the following recommendations were made:

For more information or to view the full report, please visit our website.

Quarterly Financial Report for the period ending December 31, 2020

Statement outlining results, risks and significant changes in operations, personnel and program

1. Introduction

This quarterly financial report (QFR) has been prepared by management as required by section 65.1 of the Financial Administration Act and in the form and manner prescribed by the Treasury Board. The report should be read in conjunction with the Main Estimates for 2020-21. The quarterly report has not been subject to an external audit or review.

1.1 Mandate

The Minister of Public Safety and Emergency Preparedness is the minister responsible for the Royal Canadian Mounted Police (RCMP). The responsibilities of the RCMP are set out in section 18 of the Royal Canadian Mounted Police Act. The RCMP's mandate is multi-faceted, it includes preventing and investigating crime; maintaining peace and order; enforcing laws; contributing to national security; ensuring safety of state officials, visiting dignitaries and foreign missions; and providing vital operational support services to other police and law enforcement agencies within Canada and abroad.

Further information on the mandate, roles, responsibilities and programs of the RCMP can be found in the Part II of the Main Estimates.

1.2 Basis of presentation

This quarterly report has been prepared by management using an expenditure basis of accounting. The accompanying Statement of Authorities includes the RCMP's spending authorities granted by Parliament and those used by the department consistent with the Main Estimates and Supplementary Estimates "A" and "B". This quarterly report has been prepared using a special purpose financial reporting framework designed to meet financial information needs with respect to the use of spending authorities.

The authority of Parliament is required before money can be spent by the Government. Approvals are given in the form of annually approved limits through appropriation acts, or through legislation in the form of statutory spending authority for specific purposes.

The RCMP uses the full accrual method of accounting to prepare and present its annual departmental financial statements that are part of the departmental results reporting process. However, the spending authorities voted by Parliament remain on a cash expenditure basis.

2. Highlights of the fiscal quarter and fiscal year-to-date (YTD) results

For the period ending December 31, 2020, the RCMP had $3,934.0 million in total authorities available for use, which represents a decrease of $40.1 million or (1%) when compared at the same quarter in the previous year. The RCMP's authorities have decreased within the Capital (Vote 5), Grant and Contributions (Vote 10) and within Statutory authorities for a total of $42.8 million. These decreases are offset by an increase of $2.7 million in Operating (Vote 1).

The RCMP's expenditures were $2,770.1 million at the end of the third quarter of the year, representing a decrease of $82.8 million or 3% from the same period in the previous year. Decreases in Operating, Capital and Grants and Contribution expenditures totalled $106.1 million offset by an increase of $23.3 million in Statutory expenditures, as shown in Table 1.

2.1 Statement of authorities

Comparison of Total Budgetary Authorities as of December 31, 2019 and December 31, 2020 (in thousands of dollars)

For the period ending December 31, 2020, the RCMP has $3,934.0 million in total authorities available for use. This amount includes the Main Estimates, Supplementary Estimates (A), Supplementary Estimates (B), Operating Budget Carry Forward, Capital Budget Carry Forward, in-year statutory adjustments and proceeds collected from the disposal of Crown assets.

Total authorities have decreased by $40.1 million, when compared to the previous years. The decrease is made up of a year-over-year decrease of $30.0 million in Vote 5 – Capital, a $9.6 million decrease in Vote 10 – Grants and Contributions, and a $3.2 million decrease in Budgetary statutory authorities. These decreases are partially offset by an increase of $2.7 million in Vote 1 – Operating expenditures.

These changes in authorities are related to decreases in the RCMP's 2020-21 Main Estimates, Operating and Capital Budget Carry Forwards, paylist requirements, compensation adjustments, and other in-year adjustments. These decreases are partially offset by increases in the Supplementary Estimates, 2019 Budget Implementation Vote adjustments and in the proceeds collected from disposal of Crown Assets. A change in the Supplementary Estimates process resulted in two Supplementary Estimates being included by the end of the third quarter authorities in 2020-21, as opposed to only one in the same period last year.

For more information on the authority changes that affect the RCMP, we would direct the reader to the RCMP's 2020-21 Main Estimates.

2.1.1 Variance to the Net Operating Vote

The Net Operating Vote is relatively unchanged from the same period last year. There was an increase of $2.7 million (or 0%).

2.1.2 Variance to the Capital Vote

The Capital Vote is $30.0 million (or 9%) lower than the same period last year. This decrease is mainly due to a decrease of $13.4 million from the Capital Budget Carry Forward, and a decrease of $14.5 million from the Supplementary Estimates (A) and (B). The decreases relate to a number of projects which are at various stages of completion including, the National Operations Centre, National Cybercrime Coordination Centre, and the indoor range and integrated training centre at the RCMP's training academy (DEPOT).

2.1.3 Variance to the Grants and Contributions Vote

The Grants and Contributions Vote is $9.6 million (or 2%) lower than the same period last year, which is related to the decreased funding to compensate members of the RCMP for injuries received in the performance of their duties. In 2019-20, the RCMP had sought additional funding to support Veterans Affairs Canada measures to accelerate the reduction of RCMP backlogged cases.

2.2 Statement of departmental budgetary expenditures by standard object

Net Expenditures by standard object at the end of the third quarter 2020-21 were $82.8 million (or 3%) lower than the previous year. This variance is the result of decreased gross budgetary expenditures of $139.5 million largely the result of timing of transfer payments incurred under the Grant to Compensate Members Injured in the Performance of Their Duties. Additionally, Transportation and communications costs have decreased as result of reduced operational travel, employee relocations and training due to measures implemented to contain the spread of COVID-19. These costs were partially offset by a decrease in vote netted revenues of $56.7 million (or 5%) lower when compared to the previous year. The changes in revenue are mainly driven by timing differences in Vote Netted Revenues collected for Contract Policing activities. A detailed review by standard object emphasizes some significant variances described below and displayed in Annex B.

2.2.1 Variance by Personnel

Personnel costs increased by $17.1 million (or 1%) over the same period last year. This increase is mainly attributed to increases to the RCMP's Public Service Employees and Member Employee Benefit Plan costs.

2.2.2 Variance by Transportation and communications

Transportation and communications expenditures have decreased by $60.3 million (or 33%) over the same period last year. This decrease is mainly attributed to the temporary reduction in travel and relocations, in addition to delayed training as measures were implemented to contain the spread of COVID-19.

2.2.3 Variance by Information

Information increased by $0.2 million (or 14%) over the same period last year. This was mainly related to the RCMP providing firearm license holders information regarding the announcement by the Government of Canada banning models and variants of assault-style firearms.

2.2.4 Variance by Purchased Repair and Maintenance

Purchase Repair and Maintenance decreased by $6.8 million (or 10%) compared to 2019-20. This is mainly attributed to lower lifecycle expenditures and repairs for buildings within the Contract Policing program in comparison to 2019-20.

2.2.5 Variance by Acquisition of land, buildings and works

Acquisitions of Land, Buildings and Works expenditures have decreased by $12.9 million (or 25%) when compared to the same period in 2019-20. This decrease primarily relates to projects completed in the prior year that did not occur in the same period in this fiscal year such as the indoor range and integrated training centre in the RCMP's training academy (DEPOT), as well as the construction of the National Operations Centre. The decrease is partially offset by the increased construction activities for the Rocky Harbour, Pelican Narrows and Norway House detachments.

2.2.6 Variance by Acquisition of Machinery and Equipment

Acquisitions of Machinery and Equipment have increased by $13.5 million (or 11%) in comparison to the same period last year, primarily as a result of the timing of bulk purchases, such as computer equipment and software. In addition, there was an increase in expenses related to office equipment, furniture and fixtures to support measures taken to limit the spread of COVID-19.

2.2.7 Variance by Transfer payments

Transfer payments have decreased by $68.7 million (or 25%) when compared to 2019-20. This decrease is primarily related to timing differences of Veterans Affairs Canada charging the RCMP for expenses incurred under the Grant to Compensate Members Injured in the Performance of Their Duties.

2.2.8 Variance by Other subsidies and payments

Other subsidies and payments have decreased by $11.6 million (or 12%) when compared to 2019-20. This is primarily due a decrease in claim payments related to the completed Merlo Davidson Class Action Settlement in comparison to the same period in 2019-20.

2.2.9 Variance by Revenues and other reductions

Vote netted revenues collected in the third quarter of 2020-21 decreased by $56.7 million (or 5%) compared to the same period last fiscal year. The decrease is related primarily to timing differences in revenue collections related to Contract Policing. In addition, the RCMP's Canadian Police College revenues have decreased due to the current environment of physical distancing and limited group settings, impacting the number of courses which can be offered.

3. Risks and uncertainties

The Departmental QFR reflects the results of the current fiscal period in relation to Interim Supply of the Main Estimates, Operational Budget and Capital Budget Carry Forwards and the Supplementary Estimates "A" and "B".

The RCMP is funded through annual appropriations and are, therefore, impacted by any changes in funding approved through Parliament. In addition, it receives a significant portion of funding through vote netted revenue (VNR) from the provision of policing services to provinces, territories, municipalities and first nations communities, as well as from cost sharing agreements with provinces and territories for the provision of DNA analysis by the RCMP. The RCMP also receives VNR authorities to bill Parliamentary Protective Service (PPS) for the provision of security services throughout the Parliamentary precinct and the grounds of Parliament Hill.

On October 6, 2016, the RCMP announced that a settlement agreement had been reached between the RCMP and the plaintiffs in the Merlo and Davidson lawsuits filed on behalf of current and former female regular members, civilian members and public service employees. The settlement agreement was approved by the Federal Court and includes an independent claims process with compensation for women working, or having worked, at the RCMP who experienced harassment, bullying or discrimination based on their gender or sexual orientation during their employment from September 16, 1974 until May 30, 2017. The assessment of claims is the responsibility of an Independent Assessor appointed by the Federal Court. The window in which class members could file claims ran from August 12, 2017 to May 22, 2018. According to statistics posted on the Independent Assessor's website, a total of 3,086 claims were filed. All claims have now been assessed and compensation awards have been paid to meritorious claimants in accordance with the terms of the settlement.

In recent years, the RCMP's reference levels have been constrained by government-wide spending reduction exercises which have resulted in significant financial pressures. Announcements in Budget 2019 and the Economic and Fiscal Snapshot 2020 identified funding to support and enhance RCMP operations and will help address key resourcing issues.

4. Significant changes in relation to operations, personnel and programs

4.1 Operations

In comparison to the end of the third quarter of 2019-20, certain activities continue to be delayed as a result of the impacts of COVID-19. The RCMP continues to assess the evolving circumstances of COVID-19 and is adjusting its operations accordingly.

4.2 Personnel

Subsequent to the end of the third quarter, there have not been any changes to the senior ranks of the department.

4.3 Programs

There has been no significant change in relation to programs in the third quarter of 2020-21.

Approved by senior officials

Approved by:

Annex A: Statement of authorities (unaudited)

Annex B: Budgetary expenditures by standard object (unaudited)

Rapport financier trimestriel pour le trimestre se terminant le 31 décembre 2020

Exposé sur les résultats, les risques et les changements importants dans les activités, le personnel et les programmes

1. Introduction

Le présent rapport financier trimestriel a été préparé par la direction, comme l'exige l'article 65.1 de la Loi sur la gestion des finances publiques et suivant la forme et la manière prescrites par le Conseil du Trésor. Le rapport doit être lu en corrélation avec le Budget principal des dépenses pour l'exercice 2020‑2021. Ce rapport trimestriel n'a pas fait l'objet d'une vérification ou d'un examen externe.

1.1 Mandat

Le ministre de la Sécurité publique et de la Protection civile est responsable de la Gendarmerie royale du Canada (GRC). Les responsabilités ministérielles sont énoncées à l'article 18 de la Loi sur la Gendarmerie royale du Canada. Le mandat de la GRC comporte plusieurs volets, notamment prévenir la criminalité et mener des enquêtes, maintenir la paix et l'ordre, faire respecter les lois, contribuer à la sécurité nationale, veiller à la sécurité des représentants de l'État, des dignitaires en visite et des membres de missions étrangères et fournir des services de soutien opérationnel vitaux à d'autres organismes de police et d'exécution de la loi au Canada et à l'étranger.

Pour obtenir un complément d'information sur le mandat, les rôles, les responsabilités et les programmes de la GRC, consulter la Partie II – Budget principal des dépenses.

1.2 Méthode de présentation

La direction a établi le présent rapport trimestriel suivant une comptabilité axée sur les dépenses. L'état des autorisations ci-joint comprend les autorisations de dépenser de la GRC qui lui sont accordées par le Parlement et celles qui sont utilisées par le ministère en conformité avec le Budget principal des dépenses et les Budget supplémentaire des dépenses (A) et (B). Le présent rapport trimestriel a été établi à l'aide d'un référentiel à usage particulier conçu pour répondre aux besoins de données financières à l'égard de l'utilisation des autorisations de dépenser.

Le gouvernement ne peut pas dépenser sans l'autorisation préalable du Parlement. Les autorisations sont accordées par la voie de lois portant affectation de crédits, sous forme de limites annuelles, ou par la voie de lois accordant des pouvoirs de dépenser à des fins déterminées.

La GRC utilise la méthode de la comptabilité d'exercice intégrale pour l'établissement de ses états financiers annuels, qui font partie du processus de rapport sur le rendement ministériel. Toutefois, les autorisations de dépenser votées par le Parlement sont encore établies en fonction d'une comptabilité axée sur les décaissements.

2. Faits saillants des résultats financiers trimestriels et cumulatifs

Pour la période se terminant le 31 décembre 2020, le total des autorisations pouvant être utilisées par la GRC s'élevait à 3 934,0 millions de dollars, ce qui représente une réduction de 40,1 millions de dollars (1 %) par rapport au même trimestre de l'exercice précédent. Il y a eu une réduction des autorisations de la GRC totalisant 42,8 millions de dollars au chapitre des dépenses en capital (crédit 5), des subventions et contributions (crédit 10) et des autorisations législatives budgétaires. Ces réductions sont compensées par une augmentation de 2,7 millions de dollars au chapitre des dépenses de fonctionnement (crédit 1).

Les dépenses de la GRC s'élevaient à 2 770,1 millions de dollars au troisième trimestre, ce qui représente une diminution de 82,8 millions de dollars (3 %) par rapport à la même période de l'exercice précédent. Des réductions totalisant 106,1 millions de dollars au chapitre des dépenses de fonctionnement, des dépenses en capital et des subventions et contributions sont compensées par une augmentation de 23,3 millions de dollars des dépenses législatives (voir le Tableau 1).

2.1 État des autorisations

Comparaison des autorisations budgétaires totales au 31 décembre 2019 et au 31 décembre 2020 (en milliers de dollars)

Pour la période se terminant le 31 décembre 2020, le total des autorisations pouvant être utilisées par la GRC s'élevait à 3 934,0 millions de dollars. Ce montant comprend le Budget principal des dépenses, le Budget supplémentaire des dépenses (A), le Budget supplémentaire des dépenses (B), le report du budget de fonctionnement, le report du budget des dépenses en capital, les redressements législatifs en cours d'exercice et les produits de la vente de biens de l'État.

Par rapport à l'exercice précédent, les autorisations totales ont diminué de 40,1 millions de dollars, ce qui comprend une diminution sur douze mois de 30,0 millions de dollars du crédit 5 – Dépenses en capital, d'une diminution de 9,6 millions de dollars du crédit 10 – Subventions et contributions, et d'une diminution de 3,2 millions de dollars des autorisations législatives budgétaires. Ces diminutions sont partiellement compensées par une augmentation de 2,7 millions de dollars du crédit 1 – Dépenses de fonctionnement.

Ces changements dans les autorisations sont attribuables à des diminutions du Budget principal des dépenses, des reports du budget des dépenses de fonctionnement et en capital, des besoins en matière de rémunération, des rajustements à la rémunération et des ajustements en cours d'exercice de 2020‑2021 de la GRC. Ces diminutions sont partiellement compensées par des augmentations dans le Budget supplémentaire des dépenses, dans les rajustements du crédit d'exécution du Budget de 2019 et dans les produits de la vente de biens de l'État. En raison d'un changement apporté au processus du Budget supplémentaire des dépenses, deux budgets supplémentaires des dépenses avaient été inclus aux autorisations de la fin du troisième trimestre de 2020‑2021 plutôt qu'un seul, comme cela avait été le cas à la même période de l'exercice précédent.

Pour obtenir de plus amples renseignements sur les changements touchant la GRC, consulter le Budget principal des dépenses 2020‑2021 de la GRC.

2.1.1 Écart au titre du crédit 1 – Dépenses nettes de fonctionnement

Le crédit pour dépenses nettes de fonctionnement est demeuré sensiblement le même par rapport à la même période de l'exercice précédent. Il y a eu une augmentation de 2,7 millions de dollars (0 %).

2.1.2 Écart au titre du crédit 5 – Dépenses en capital

Le crédit pour dépenses en capital est inférieur de 30,0 millions de dollars (9 %) par rapport à la même période de l'exercice précédent. Cette baisse est principalement attribuable à une diminution de 13,4 millions de dollars du report du budget des dépenses en capital et de 14,5 millions de dollars des budgets supplémentaires des dépenses A et B. Ces diminutions sont dues à un certain nombre de projets qui en sont à diverses étapes d'achèvement, comme le Centre national des opérations, le Centre national de coordination de la lutte contre la cybercriminalité, et la salle de tir intérieure et le centre de formation intégré à l'École de la GRC (Division Dépôt).

2.1.3 Écart au titre du crédit 10 – Subventions et contributions

Le crédit pour subventions et contributions est inférieur de 9,6 millions de dollars (2 %) par rapport à la même période de l'exercice précédent, et cette baisse est attribuable à la diminution du financement servant à indemniser les membres de la GRC pour des blessures subies dans l'exercice de leurs fonctions. En 2019‑2020, la GRC a demandé des fonds supplémentaires pour appuyer les mesures d'Anciens Combattants Canada en vue d'accélérer la réduction de l'arriéré des dossiers de la GRC.

2.2 État des dépenses ministérielles budgétaires par article courant

Les dépenses nettes par article courant à la fin du troisième trimestre de l'exercice 2020‑2021 sont inférieures de 82,8 millions de dollars (3 %) par rapport à l'an dernier. Cet écart est attribuable à une diminution des dépenses budgétaires brutes de l'ordre de 139,5 millions de dollars, qui est principalement due au résultat et au calendrier des paiements de transfert effectués au titre de la subvention pour indemniser les membres blessés dans l'exercice de leurs fonctions. De plus, la diminution des déplacements opérationnels, des réinstallations et des formations des employés attribuable aux mesures prises pour contenir la propagation de la COVID‑19 a également entraîné une diminution des coûts relatifs aux transports et aux communications. Ces coûts sont partiellement compensés par une diminution des recettes nettes en vertu d'un crédit de 56,7 millions de dollars (5 %) plus bas qu'à l'exercice précédent. La réduction résulte principalement de différences entre les dates de perception des recettes nettes en vertu d'un crédit pour les activités de la Police contractuelle. Un examen détaillé par article courant illustre certains des écarts importants énoncés plus bas et montrés à l'annexe B.

2.2.1 Personnel

Les coûts relatifs au personnel ont augmenté de 17,1 millions de dollars (1 %) par rapport à la même période de l'exercice précédent. Cette hausse s'explique principalement par l'augmentation des coûts du régime d'avantages sociaux des employés de la fonction publique et des membres de la GRC.

2.2.2 Écart au titre des transports et des communications

Les dépenses au chapitre des transports et des communications ont diminué de 60,3 millions de dollars (33 %) par rapport à l'exercice précédent. Cette baisse est attribuable principalement au nombre réduit de réinstallations et de déplacements et au report de diverses formations dans le cadre de mesures prises pour contenir la propagation de la COVID‑19.

2.2.3 Écart au titre de l'information

Les dépenses en matière d'information ont augmenté de 0,2 million de dollars (14 %) par rapport à celles de la même période l'an dernier. Cette hausse s'explique principalement par la communication de renseignements par la GRC aux titulaires de permis d'armes à feu concernant l'annonce par le gouvernement du Canada sur l'interdiction de certains types d'armes à feu et leurs variantes.

2.2.4 Écart au titre des services de réparation et d'entretien

Les dépenses relatives aux services de réparation et d'entretien ont diminué de 6,8 millions de dollars (10 %) par rapport à celles de 2019‑2020, surtout en raison de coûts moins élevés des dépenses d'entretien et des réparations de bâtiments dans le cadre du programme de la police contractuelle comparativement à 2019‑2020.

2.2.5 Écart au titre de l'acquisition de terrains, de bâtiments et d'ouvrages

Les dépenses au titre de l'acquisition de terrains, de bâtiments et d'ouvrages ont diminué de 12,9 millions de dollars (25 %) par rapport à la même période en 2019‑2020, notamment parce que les projets effectués l'an dernier n'ont pas eu lieu pendant la même période que cet exercice, comme la salle de tir intérieure et le centre de formation intégré à l'École de la GRC (Division Dépôt) et la construction du Centre national des opérations. Cette diminution est partiellement compensée par l'augmentation des activités de construction aux détachements de Rocky Harbour, de Pelican Narrows et de Norway House.

2.2.6 Écart au titre de l'acquisition de machines et de matériel

Les dépenses au titre de l'acquisition de machines et de matériel ont augmenté de 13,5 millions de dollars (11 %) par rapport à la même période l'an dernier, principalement en raison du calendrier d'achats en lot, comme de l'équipement informatique et des logiciels. De plus, il y a eu une augmentation des dépenses liées à l'achat d'équipement de bureau, de mobilier et d'appareils fixes pour donner suite aux mesures prises pour contenir la propagation de la COVID‑19.

2.2.7 Écart au titre des paiements de transfert

Les paiements de transfert ont diminué de 68,7 millions de dollars (25 %) par rapport à 2019‑2020, en raison surtout des différences avec le moment de la facturation par Anciens Combattants Canada auprès de la GRC de dépenses engagées en vertu de la subvention pour indemniser les membres blessés dans l'exercice de leurs fonctions.

2.2.8 Écart au titre d'autres subventions et paiements

Les dépenses au titre d'autres subventions et paiements ont diminué de 11,6 millions de dollars (12 %) par rapport à 2019‑2020, principalement en raison de la diminution des indemnités versées en vertu de l'accord de règlement Merlo‑Davidson par comparaison à la même période l'an dernier.

2.2.9 Écart au titre des revenus et autres réductions

Les recettes nettes en vertu d'un crédit perçues au troisième trimestre de 2020‑2021 ont diminué de 56,7 millions de dollars (5 %) par rapport à la même période l'an dernier. La baisse est attribuable principalement aux différences entre les dates de perception des recettes dans le cadre du programme de la police contractuelle. De plus, étant donné les consignes actuelles en matière d'éloignement physique et les restrictions imposées en matière de rassemblements, le Collège canadien de police a offert moins de cours que l'an dernier, entraînant une réduction des recettes.

3. Risques et incertitudes

Le rapport financier trimestriel du ministère fait état des résultats de la période comptable en cours par rapport au Budget principal des dépenses et au Budget supplémentaire des dépenses (A) et (B).

Puisque la GRC est financée au moyen de crédits annuels, toute modification des fonds approuvés par le Parlement influe sur son fonctionnement. La GRC reçoit par ailleurs une partie importante de son financement en recettes nettes en vertu d'un crédit (RNC) via la prestation de services de police aux provinces, aux territoires, aux municipalités et aux communautés des Premières nations et des ententes de partage des coûts conclues avec les provinces et les territoires pour les analyses génétiques effectuées par la GRC. De plus, la GRC détient une autorisation relative aux RNC lui permettant de facturer le Service de protection parlementaire (SPP) pour les services de sécurité qu'elle assure à la cité parlementaire et sur la colline du Parlement.

Le 6 octobre 2016, la GRC a annoncé avoir conclu un accord de règlement avec les demanderesses de deux recours collectifs, Merlo et Davidson, déposés au nom d'actuelles et d'anciennes membres régulières, membres civiles et employées de la fonction publique. L'accord a été approuvé par la Cour fédérale et comprend un processus indépendant de réclamation avec indemnisation pour les femmes qui travaillent ou qui ont travaillé à la GRC et qui ont fait l'objet d'une discrimination fondée sur le sexe ou l'orientation sexuelle, ou encore d'intimidation ou de harcèlement au cours de leur emploi, du 16 septembre 1974 au 30 mai 2017. L'évaluation des réclamations a été confiée à un évaluateur indépendant nommé par la Cour fédérale. Les demanderesses ont pu présenter leurs dossiers de réclamation du 12 août 2017 au 22 mai 2018. Selon les données affichées sur le site Web de l'évaluateur indépendant, un total de 3 086 réclamations ont été déposées. Toutes les réclamations ont été examinées et les indemnités ont été versées aux demanderesses dont le dossier a été accueilli, suivant les conditions prévues dans le règlement.

Ces dernières années, la GRC a fait face à des compressions de ses niveaux de référence par suite des exercices de réduction des dépenses à l'échelle gouvernementale, entraînant d'importantes pressions financières pour l'organisation. Selon ce qui a été annoncé dans le Budget de 2019 et le Portrait économique et budgétaire 2020, des fonds ont été dégagés pour appuyer et renforcer les opérations de la GRC, et ainsi aider à résoudre les principaux problèmes d'affectation des ressources.

4. Changements importants touchant le fonctionnement, le personnel et les programmes

4.1 Fonctionnement

Comparativement au troisième trimestre de 2019‑2020, certaines activités ont été retardées en raison des répercussions de la COVID‑19. La GRC suit de près la situation et adapte ses opérations à l'évolution des circonstances.

4.2 Personnel

Aucun changement important n'a été effectué au niveau des échelons supérieurs du ministère.

4.3 Programmes

Aucun changement important n'a été observé au chapitre des programmes au cours du troisième trimestre de 2020‑2021.

Approbation des cadres supérieurs

Approuvé par :

Annexe A : État des autorisations (non-vérifié)

Annexe B : Dépenses ministérielles budgétaires par article courant (non vérifiées)

Date de modification :

1969-12-31