(Québec) Il y a un « manque de rigueur » au ministère des Transports du Québec (MTQ) quant à l’estimation des coûts des travaux, alors qu’une bonne partie des embauches promises il y a plus de sept ans pour améliorer l’expertise interne n’ont toujours pas été faites, dénonce la vérificatrice générale Guylaine Leclerc. Son rapport survient au moment même où le gouvernement Legault veut réduire les étapes préliminaires à la construction d’infrastructures pour relancer l’économie.

Déposé à l’Assemblée nationale mercredi, son rapport relève également des lacunes dans les mesures de sécurité informatique à la Régie de l’assurance maladie du Québec et à Retraite Québec. Les deux organismes « ne contrôlent pas suffisamment les activités du personnel ayant des accès privilégiés » aux données personnelles des Québécois.

Le ministère des Transports a certes apporté des améliorations à sa gestion des contrats à la suite de rapports passés, reconnaît la vérificatrice générale. Néanmoins, « le manque de rigueur persiste dans les estimations réalisées par le personnel du ministère. Nous avons relevé des manquements à l’égard de l’estimation des coûts pour la majorité des contrats vérifiés », peut-on lire dans son rapport.

Ainsi, en 2018-2019 et 2019-2020, le coût estimé de 44 % des 5277 contrats de construction de services professionnels et de services techniques de plus de 25 000 dollars a été surévalué ou, surtout, sous-évalué.

Quelque 1260 contrats dont les coûts avaient été estimés à un total d’un milliard de dollars ont finalement entraîné une facture plus élevée de 251,4 millions. C’est une augmentation de 24 %.

Par ailleurs, un millier de contrats d’une valeur estimée à 712,6 millions ont coûté 145,9 millions moins cher, une différence de 20 %.

Les écarts peuvent s’expliquer par les « conditions du marché », comme la surchauffe dans l’industrie de la construction, mais « pour près des deux tiers des dossiers, les écarts étaient attribuables principalement au manque de rigueur des estimations, par exemple à l’utilisation de coûts moyens historiques inappropriés ou à une sous-évaluation de la complexité d’un projet ».

La VG rappelle qu’« une estimation rigoureuse de coûts des travaux est une étape importante pour s’assurer que les prix soumis par les firmes sont justes et raisonnables et que les dépassements de coûts sont minimisés ».

Par ailleurs, le ministère des Transports continue de confier à des firmes une part importante des travaux de conception, des plans et devis, de surveillance des chantiers et de contrôle de la qualité des matériaux. La valeur de ces contrats a même augmenté, passant de 129,4 millions en 2017-18 à 270,2 millions en 2019-20.

Dans le cas d’estimation des coûts de travaux faits par des firmes, la valeur de 12 de 15 contrats était sous-évaluée en moyenne de 48 %. Dans un cas, on parle même de 210 %. Même en excluant ce cas, la moyenne des dépassements de coûts était de 33 %. La VG note que l’encadrement exercé par le MTQ auprès des firmes est « insuffisant ». « Pour la majorité des contrats vérifiés, la documentation au dossier ne permet pas de conclure que le ministère a révisé de façon rigoureuse les coûts estimés par les firmes », souligne Guylaine Leclerc.

Or, ajoute-t-elle, « le MTQ peine à embaucher le nombre d’ingénieurs et de techniciens des travaux publics prévus dans son plan de renforcement de l’expertise », présenté il y a plus de sept ans. Il n’a toujours pas embauché les 970 personnes promises ; 131 sont toujours vacants (14 % des postes). « Si on considère seulement l’effectif d’ingénieurs et de techniciens des travaux publics, celui-ci a augmenté de 653 (équivalent temps complet), ce qui est grandement inférieur aux 878 déterminés pour ces postes en 2011, soit un écart de 26 %  », souligne le rapport.

Comble de l’ironie, le ministère s’est vu autoriser en 2019 un ajout de 151 postes supplémentaires jusqu’au 31 mars 2023. Ces postes s’ajoutent à ceux qui n’ont toujours pas été comblés.

Dans les directions régionales du ministère, les ressources ont peu augmenté comparativement aux besoins qui avaient été exprimés il y a quatre ans. Elles devaient ajouter 255 personnes, seulement 80 embauches ont été faites. « Il est primordial que ces dernières disposent d’un nombre suffisant de ressources afin d’encadrer adéquatement les contrats, de la planification à la réalisation des travaux », note la VG.

Données vulnérables

Les employés bénéficiant d’accès informatiques privilégiés aux données très sensibles détenues par la Régie de l’assurance maladie du Québec (RAMQ) et Retraite Québec ne sont pas suffisamment contrôlés, a également constaté la VG.

Le téléchargement des données confidentielles apparaît particulièrement problématique.

« Les utilisateurs n’ont pas toujours besoin d’obtenir l’autorisation de leur gestionnaire avant de procéder au téléchargement, et les gestionnaires n’effectuent pas de suivi sur ce qui a été téléchargé », expose la VG. De plus, même lorsque les téléchargements sont consignés dans un registre, ces activités ne sont pas toujours examinées par une personne indépendante.

La vérification des antécédents judiciaires des personnes ayant des accès privilégiés, la révision de ces accès et le suivi des alertes de sécurité doivent aussi être resserrés dans les deux organismes, montre le rapport.

Des lacunes supplémentaires ont été constatées à Retraite Québec, où des identifiants peuvent être créés sans passer par un processus d’autorisation ni déclencher une alerte de sécurité. « Les mesures de contrôle en place à Retraite Québec sont insuffisantes pour qu’elle puisse détecter, en temps opportun, les accès inappropriés qui découleraient de l’utilisation de tels identifiants », signale le rapport.

La vérification a d’ailleurs permis de découvrir deux identifiants qui, bien que ne donnant accès à aucun système, avaient été créés sans autorisation, et dont Retraite Québec ne connaissait pas l’existence.

La gestion des mots de passe de la voûte informatique de l’organisme est « déficiente », note aussi le rapport. Cette voûte sert à assurer la traçabilité des activités. Or, les mots de passe permettant d’y accéder ne sont pas désactivés après avoir été utilisés, « ce qui entraîne le risque qu’ils soient réutilisés par erreur ou à mauvais escient », signale le rapport.

Rappelons que les systèmes informatiques de la RAMQ et de Retraite Québec contiennent des informations hautement confidentielles, dont certaines concernent toute la population québécoise.

La RAMQ détient notamment les numéros d’assurance sociale et d’assurance maladie des citoyens, les médicaments consommés par ceux qui sont assurés auprès du régime public, les prestations versées par la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST) et les salaires des médecins. Retraite Québec, qui gère le Régime des rentes du Québec, les régimes de retraite du secteur public et l’Allocation famille, conserve des informations sur les revenus des ménages, les salaires des travailleurs, les renseignements médicaux associés aux rentes d’invalidité et la situation familiale des citoyens.

Généralement, seul un nombre restreint d’employés, comme des administrateurs de réseau, de bases de données et de sécurité informatique, bénéficie d’accès privilégiés à ces données, mais ces accès leurs donnent de grands pouvoirs, souligne la VG.