Rapport annuel au Parlement 2024-2025 sur l'application de la Loi sur la protection des renseignements personnels
Introduction
Chaque année, conformément à l’article 72 de la Loi sur la protection des renseignements personnels, la personne responsable de chaque institution du gouvernement du Canada établit un rapport sur la façon dont elle a appliqué la Loi et le présente au Parlement.
Ce rapport est présenté au Parlement sous l’autorité du ministre du Revenu national. Il décrit la façon dont l’Agence du revenu du Canada (ARC) a appliqué la Loi sur la protection des renseignements personnels et respecté ses obligations découlant de celle-ci entre le 1er avril 2024 et le 31 mars 2025. De plus, le rapport traite des nouvelles tendances, de l’exécution des programmes et des secteurs d’intérêt pour l’année à venir.
Loi sur la protection des renseignements personnels
La Loi sur la protection des renseignements personnels protège les renseignements personnels des particuliers en énonçant des exigences strictes quant à la façon dont les institutions fédérales recueillent, conservent, utilisent, divulguent et détruisent ces renseignements. De plus, elle donne aux particuliers ou à leurs représentants autorisés le droit d’accéder à leurs renseignements, de demander une correction et d’y ajouter des notes, à quelques exceptions près.
Les particuliers qui ne sont pas satisfaits de la façon dont une institution a traité leurs renseignements personnels ou leur demande en vertu de la Loi sur la protection des renseignements personnels ont le droit de déposer une plainte auprès du commissaire à la protection de la vie privée du Canada.
Les processus officiels de la Loi sur la protection des renseignements personnels ne remplacent pas d’autres méthodes gouvernementales d’obtention de renseignements. L’ARC encourage les particuliers et leurs représentants à obtenir les renseignements des contribuables divulgués de façon proactive au moyen de ses canaux libre-service en ligne, comme Mon dossier et Représenter un client. L’ARC fait également la promotion d’autres canaux informels, comme ses lignes téléphoniques automatisées et gratuites.
Table des matières
À propos de l’Agence du revenu du Canada
Initiatives et projets visant à améliorer la protection des renseignements personnels
Gestion de la protection des renseignements personnels
Résumé des principaux enjeux et des mesures prises à l'égard des plaintes
Annexe A : Sommaires des évaluations des facteurs relatifs à la vie privée effectuées
Annexe B : Arrêté sur la délégation
À propos de l'Agence du revenu du Canada
L’ARC encourage l’observation des lois et des règlements fiscaux au Canada et en assure le respect, tout en jouant un rôle important dans le bien-être économique et social de la population canadienne. Pour ce faire, elle administre des programmes fiscaux pour le gouvernement du Canada et la plupart des provinces et territoires. Elle administre également divers programmes d’incitatifs et de prestations socioéconomiques offerts au moyen du régime fiscal.
De plus, l’ARC a le pouvoir de collaborer avec d’autres ministères fédéraux, les provinces, les territoires et d’autres organismes gouvernementaux pour échanger des renseignements. Elle peut aussi administrer des services à la demande de ces partenaires, moyennant des frais.
Compte tenu de son statut d’organisme ayant des pouvoirs uniques, l’ARC a une structure de gouvernance plus complexe que la plupart des ministères. Comme celle d’autres ministères, cette structure comprend un ministre, un commissaire et premier dirigeant et un commissaire délégué. L’ARC a également un Conseil de direction et un ombudsman des contribuables.
Le ministre du Revenu national doit rendre compte au Parlement de l’ensemble des activités de l’ARC, y compris l’application et l’exécution de la Loi de l’impôt sur le revenu et de la Loi sur la taxe d’accise.
Le Conseil de direction, établi en vertu de la Loi sur l’Agence du revenu du Canada, est composé de 15 administrateurs nommés par le gouverneur en conseil. Chaque province nomme un administrateur, et les territoires nomment à tour de rôle un administrateur. Les quatre autres administrateurs sont le président, le commissaire de l’ARC et deux administrateurs nommés par le gouvernement du Canada.
Le Conseil est responsable de superviser :
- l’organisation et l’administration de l’ARC;
- la gestion des ressources, des services, des biens, du personnel et des contrats de l’ARC.
Cette responsabilité comprend l’élaboration du Plan d’entreprise et l’approbation du Rapport sur les résultats ministériels de l’ARC et de ses états financiers vérifiés.
Dans le cadre de ce mandat, le Conseil :
- apporte une perspective stratégique tournée vers l’avenir à l’administration de l’ARC;
- favorise l’adoption de saines pratiques de gestion;
- s’engage à maintenir une prestation de services efficace et efficiente.
À titre de premier dirigeant de l’ARC, le commissaire est responsable de l’application et de l’exécution quotidiennes des lois relatives aux programmes qui relèvent des pouvoirs délégués au ministre du Revenu national. Le commissaire doit rendre des comptes au ministre, l’aider et le conseiller au sujet des pouvoirs prévus par la loi et des fonctions et des responsabilités de son cabinet. Le commissaire est également membre d’office du Conseil et est responsable :
- de l’administration quotidienne de l’ARC;
- de la supervision de ses employés;
- de la mise en œuvre des politiques de gestion.
Le commissaire est appuyé par le commissaire délégué. Ensemble, ils s’assurent que les activités de l'ARC soient orientées par sa vision d’être une administration fiscale et des prestations de calibre mondial qui est fiable, juste et utile.
L’ARC est composée de 14 directions générales fonctionnelles et de 4 bureaux régionaux dans l’ensemble du pays :
Directions générales
- Affaires publiques
- Appels
- Cotisation, prestation et service
- Finances et administration
- Informatique
- Politique législative et affaires réglementaires
- Programme de transformation numérique
- Programmes d’observation
- Recouvrements et vérification
- Ressources humaines
- Sécurité
- Services juridiques
- Service, innovation et intégration
- Vérification, évaluation et risques
Régions
- Atlantique
- Ontario
- Ouest
- Québec
Chef de la protection des renseignements personnels
La sous-commissaire de la Direction générale des affaires publiques est la chef de la protection des renseignements personnels de l’ARC. Cette dernière a un vaste mandat qui consiste à veiller à la protection des renseignements personnels à l’ARC. Pour remplir ce mandat, la chef :
- contrôle les décisions liées à la protection des renseignements personnels, y compris les évaluations des facteurs relatifs à la vie privée;
- agis comme championne des droits relatifs à la protection des renseignements personnels (par exemple, en gérant les atteintes à la vie privée à l’interne) conformément à la loi et aux politiques;
- rends des comptes à la haute direction de l’ARC tous les trimestres sur la gestion de la protection des renseignements personnels à l’ARC.
Conseil exécutif de la sécurité et de la protection des renseignements personnels de l’ARC
Le Conseil exécutif de la sécurité et de la protection des renseignements personnels de l’ARC compte 18 cadres supérieurs clés. La chef de la protection des renseignements personnels et l’agent de sécurité de l’ARC en sont les coprésidents. Au cours de la période visée par le rapport, le Conseil s’est réuni cinq fois.
Le mandat du Conseil consiste à :
- promouvoir une approche horizontale pour superviser les activités de gouvernance, de gestion et d’atténuation des risques liés à la sécurité et à la protection des renseignements personnels à l’ARC;
- fonctionner à titre de comité directeur, en donnant des conseils sur l’orientation des enjeux en matière de protection des renseignements personnels et de sécurité;
- recommander des plans d’action aux régions, aux sections, au Bureau du commissaire et au Conseil de direction.
Comité sur la sécurité et la protection des renseignements personnels des directeurs généraux
Le Comité sur la sécurité et la protection des renseignements personnels des directeurs généraux est un comité au niveau des directeurs généraux coprésidé par la Direction générale des affaires publiques et la Direction générale de la sécurité. Au cours de l’exercice, huit réunions ont eu lieu.
Le mandat du Comité consiste à :
- appuyer le Conseil exécutif de la sécurité et de la protection des renseignements personnels de l’ARC;
- assurer la supervision et l’orientation des risques et des enjeux liés à la sécurité et à la protection des renseignements personnels.
Direction de l’accès à l’information et de la protection des renseignements personnels
La Direction de l’accès à l’information et de la protection des renseignements personnels (AIPRP) aide l’ARC à respecter ses exigences découlant de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels. Pour remplir ce mandat, la Direction de l’AIPRP :
- répond aux demandes faites en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels;
- répond aux demandes de renseignements, et de consultation, aux plaintes et aux demandes de divulgation informelle;
- conseille et oriente les employés de l’ARC concernant la gestion et la protection adéquates des renseignements personnels sous le contrôle de l’ARC;
- examine et, si nécessaire, publie des renseignements à divulguer de façon proactive, y compris les titres des notes d’information et les documents des comités;
- donne des séances de formation et d’information sur l’AIPRP;
- coordonne le processus d’évaluation des facteurs relatifs à la vie privée au sein de l’ARC, notamment en donnant des conseils d’expert aux employés de l’ARC concernant les répercussions sur la protection des renseignements personnels et les façons d’éviter et d’atténuer les risques;
- intervient lors d’atteintes à la vie privée et gère les demandes de renseignements et les plaintes liées à la protection des renseignements personnels;
- élabore des instruments de politique d’entreprise, des procédures et des pratiques liés à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels;
- assure la liaison avec le Secrétariat du Conseil du Trésor du Canada et les commissariats à l’information et à la protection de la vie privée du Canada concernant les plaintes, les enquêtes et les exigences législatives ainsi qu’en matière de politiques;
- respecte les obligations de l’ARC en matière de planification et d’établissement de rapports, comme les rapports annuels de l’ARC au Parlement sur l’application de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels;
- produit de nombreux rapports qui comprennent des statistiques clés sur l’inventaire des demandes d’AIPRP de l’ARC et des indicateurs de rendement clés en matière de protection des renseignements personnels afin d’évaluer, de surveiller et d’améliorer les programmes d’AIPRP de l’ARC.
La directrice générale et chef adjointe de la protection des renseignements personnels de la Direction de l’AIPRP a les pleins pouvoirs délégués par le ministre du Revenu national selon la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels. De plus, elle est responsable :
- de gérer et de coordonner le programme d’AIPRP;
- de diriger les initiatives de planification stratégique et de développement;
- d’appuyer la sous-commissaire de la DGAP et chef de la protection des renseignements personnels de l’ARC dans son rôle de gouvernance de l’AIPRP.
Les employés de la Direction sont principalement situés à Ottawa, à Montréal et à Vancouver. En 2024-2025, un équivalent de 228 employés à temps plein et 9 consultants ont travaillé à appliquer la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels à l’ARC.
L’organigramme suivant illustre la structure de la Direction de l’AIPRP.
Figure 1 : Structure organisationnelle de la Direction de l’AIPRP
Figure 1 : Description de l'image
Première rangée - Sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels
Deuxième rangée - Directeur général de l’accès à l’information et de la protection des renseignements personnels
Les trois domaines de responsabilité du directeur général sont énumérées ci-dessous. Ils sont les suivants :
- la Division des politiques d’accès à l’information et de protection des renseignements personnels;
- la Division de l’accès, des opérations et des analyses;
- la Division de la transformation opérationnelle et du soutien.
Les quatre domaines suivants sont sous la responsabilité de la directrice de La Division des politiques d’accès à l’information et de protection des renseignements personnels:
- la Section de la gestion des risques en matière de vie privée;
- la Section de la politique et de la gouvernance en matière d’accès à l’information;
- la Section de la gestion des atteintes à la vie privée;
- la Section de la politique et de la gouvernance en matière de protection des renseignements personnels.
Les six domaines de responsabilité de la directrice de la Division de l'accès, des opérations et des analyses. Ils sont les suivants :
- la Section des cas corporatifs et des cas complexes;
- la Section des dossiers opérationnels de Vancouver;
- la Section de l'observation stratégique;
- la Section des opérations régionales de Montréal;
- la Section des cas législatifs et opérationnels de l'Administration centrale;
- la Section des plaintes et de la réception.
Les trois domaines de responsabilité du directeur de la division de la transformation opérationnelle et du soutien sont les suivants :
- la Section de la transformation opérationnelle et analytique;
- la Section de l’innovation et soutien au système;
- la Section de soutien aux programmes.
Délégation des responsabilités en vertu de la Loi sur la protection des renseignements personnels
En tant que responsable de l’ARC, le ministre du Revenu national est responsable de la façon dont l’ARC applique la Loi sur la protection des renseignements personnels, le Règlement sur la protection des renseignements personnels et les politiques connexes du Secrétariat du Conseil du Trésor du Canada, et de s’assurer qu’elle s’y conforme. Le paragraphe 73 (1) de la Loi sur la protection des renseignements personnels donne au ministre le pouvoir de désigner un ou plusieurs représentants de l’ARC pour exercer ou exécuter la totalité ou une partie de ses pouvoirs, tâches et fonctions en vertu de la Loi.
Le 5 mars 2025, l’honorable Élisabeth Brière, ministre du Revenu national, a signé l’arrêté sur la délégation de l’ARC qui est actuellement en vigueur pour la Loi sur la protection des renseignements personnels. Le document énonce les dispositions particulières de la Loi et de son règlement selon lesquelles la ministre a délégué ses attributions à divers postes au sein de l’ARC.
Le ministre a accordé des délégations à la directrice générale, aux directeurs, aux directeurs adjoints, aux gestionnaires, aux analystes et aux analystes principaux de la Direction de l’AIPRP pour exercer certains de ses pouvoirs et fonctions en vertu des dispositions de la Loi et des règlements connexes énoncés à l’annexe de l’arrêté sur la délégation.
Pour consulter l’arrêté sur la délégation, allez à la section « Annexe B – Arrêté sur la délégation ».
Rendement
Remarque : Les chiffres étant arrondis, certains totaux peuvent être supérieurs à 100 %.
Environnement opérationnel
En tant qu’administrateur en chef des lois fiscales fédérales, provinciales et territoriales, l’ARC possède l’un des plus grands dépôts de renseignements personnels de la fonction publique du Canada. De plus, elle recueille et gère les renseignements personnels de ses effectifs, qui comptent plus de 50 000 personnes. Les Canadiennes et Canadiens font confiance à l’ARC en lui confiant leurs renseignements personnels et l’ARC prend très au sérieux la protection de ces renseignements.
La Direction de l’AIPRP traite l’un des volumes de pages et de demandes les plus élevés de toutes les institutions fédérales. Selon les dernières statistiques du Secrétariat du Conseil du Trésor du Canada, en 2023-2024, l’ARC a traité le quatrième plus grand nombre de demandes et le cinquième plus grand volume de pages de toutes les institutions fédérales qui répondent à des demandes en vertu de la Loi sur la protection des renseignements personnels.
L’ARC a reçu 20 % de moins de demandes en vertu de la Loi sur la protection des renseignements personnels en 2024-2025 (10 027) qu’en 2023-2024 (12 502). Le nombre de demandes traitées (10 728) était inférieur de 12 % à celui de 2023-2024 (12 194). Cette diminution du nombre de demandes reçues et traitées est probablement attribuable au lancement du projet de réacheminement accéléré en 2024-2025, qui a redirigé les demandes d’information de niveau 1 plus simples vers le service en ligne sécurisé Mon dossier de l’ARC. Par conséquent, les demandes restantes de l’ARC étaient plus complexes et prenaient plus de temps à traiter.
La Direction a aussi redirigé 593 demandes reçues officiellement vers d’autres canaux. Ces demandes ont été comptées comme des demandes informelles. De plus, d’autres pressions ont probablement été exercées par la transition vers le nouveau système de traitement des cas de la Direction, ATIPXpress. Pour en savoir plus sur le projet de réacheminement accéléré et les autres initiatives qui ont eu un impact sur notre environnement opérationnel au cours de l’exercice, consultez la section « Initiatives et projets visant à améliorer la protection des renseignements personnels ».
Le graphique ci-dessous montre la tendance des demandes reçues, des demandes traitées et des pages traitées en vertu de la Loi sur la protection des renseignements personnels au cours des cinq dernières années.
Figure 2 : Tendance des demandes en vertu de la Loi sur la protection des renseignements personnels
Figure 2 : Description de l'image
Le graphique ci-dessous montre la tendance des demandes reçues, des demandes traitées et des pages traitées en vertu de la Loi sur la protection des renseignements personnels au cours des cinq dernières années.
En 2020–2021, 4 120 demandes ont été reçues, 4 023 demandes ont été complétées, 653 853 pages ont été traitées
En 2021–2022, 8 763 demandes ont été reçues, 8 558 demandes ont été complétées, 951 414 pages ont été traitées
En 2022–2023, 11 572 demandes ont été reçues, 10 960 demandes ont été complétées, 888 080 pages ont été traitées
En 2023–2024, 12 502 demandes ont été reçues, 12 194 demandes ont été complétées, 1 019 583 pages ont été traitées
En 2024-2025, 10 027 demandes ont été reçues, 10 728 demandes ont étés complétées, 941 896 pages ont étés traitées.
Conformité et délais de traitement
Sur les 10 728 demandes traitées en 2024–2025, la Direction de l’AIPRP a traité 9 646 (90 %) demandes dans les délais prévus par la loi, c’est-à-dire dans un délai de 30 jours civils ou dans un délai prolongé. Cela représente une diminution de 4 % par rapport à 2023-2024. Le graphique suivant présente les délais de traitement des 10 728 demandes traitées en 2024-2025.
Figure 3 : Délai de traitement des demandes en vertu de la Loi sur la protection des renseignements personnels
Figure 3 : Description de l'image
Le graphique suivant présente les délais de traitement des 10 728 demandes traitées en 2024-2025.
8 873 30 jours ou moins
1 122 en 31 à 60 jours
399 en 61 à 120 jours
334 en 121 jours et plus
Disposition des demandes traitées
Le tableau ci-dessous montre la disposition des 10 728 demandes traitées en vertu de la Loi sur la protection des renseignements personnels.
| Disposition des demandes | Nombre de demandes | Pourcentages des demandes |
|---|---|---|
| Divulgation totale | 5 764 | 54 % |
| Divulgation partielle | 1 107 | 10 % |
| Exception totale | 2 | 0.01 % |
| Exclusion totale | 0 | 0 % |
| Aucun document n’existe | 241 | 2 % |
| Demande abandonnée par le demandeur | 3 609 | 34 % |
| Ni confirmée ni infirmée | 5 | 0.04 % |
Demandes ouvertes et plaintes liées aux périodes de rapport précédentes
À la fin de l’exercice financier, l’ARC avait 1 385 demandes en vertu de la Loi sur la protection des renseignements personnels en suspens. De ces demandes, 586 ont été traitées dans les délais prévus par la loi, tandis que 799 ont été traitées au-delà de ceux-ci. L’ARC a reçu 28 % de ces demandes avant 2024-2025, et bon nombre d’entre elles seront traitées dans le cadre de son plan d’élimination de l’arriéré. Le tableau ci-dessous indique le nombre de demandes reportées par l’ARC à la prochaine période de rapport.
| Exercice au cours duquel les demandes ont été reçues |
Demandes traitées dans les délais prévus par la loi en date du 31 mars 2025 |
Demandes traitées au- delà des délais prévus par la loi en date du 31 mars 2025 |
Total |
|---|---|---|---|
| 2024-2025 | 458 | 546 | 1 004 |
| 2023-2024 | 128 | 201 | 329 |
| 2022-2023 | 0 | 52 | 52 |
| Total | 586 | 799 | 1 385 |
À la fin de l’exercice, l’ARC avait 77 plaintes ouvertes auprès du Commissariat à la protection de la vie privée du Canada. Le tableau ci-dessous présente le nombre de plaintes reportées par l’ARC au prochain exercice. L’ARC continue d’entretenir une relation très collaborative avec le Commissariat à la protection de la vie privée du Canada et a soumis ses observations concernant les plaintes les plus anciennes présentées dans le tableau.
| Exercice au cours duquel les plaintes ont été reçues | Nombre de plaintes actives en date du 31 mars 2025 |
|---|---|
| 2024-2025 | 30 |
| 2023-2024 | 9 |
| 2022-2023 | 6 |
| 2021-2022 | 5 |
| 2020-2021 | 9 |
| 2019-2020 | 8 |
| 2018-2019 | 5 |
| 2017-2018 | 2 |
| 2016-2017 | 0 |
| 2015-2016 ou avant | 3 |
| Total | 77 |
Pour en savoir plus sur les plaintes, consultez la section « Résumé des principaux enjeux et des mesures prises à l’égard des plaintes ».
Motifs des prolongations
La Loi sur la protection des renseignements personnels établit les délais pour répondre aux demandes de renseignements personnels. La Loi permet des prolongations de délai dans les circonstances suivantes :
- le respect du délai initial interférerait avec les activités de l’ARC;
- l’ARC doit consulter une institution fédérale ou un tiers;
- l’ARC doit faire traduire les documents ou les convertir dans un autre format.
Des 10 728 demandes traitées en 2024-2025, l’ARC a eu recours à des prolongations pour 1 188 (11 %) d’entre elles. Dans 98 % (1 166) de ces cas, les prolongations étaient liées à la charge de travail et au fait que le respect du délai initial de 30 jours aurait nui de façon déraisonnable aux activités de l’ARC. L’ARC a prolongé le délai de traitement des 22 autres demandes pour faire traduire des documents ou les convertir en d’autres formats.
Consultations réalisées pour d’autres institutions
En 2024-2025, la Direction de l’AIPRP a reçu et traité six demandes de consultation provenant d’autres organisations du gouvernement du Canada. Pour ce faire, elle a examiné 356 pages. Le tableau ci-dessous indique le nombre de jours qu’il a fallu à l’ARC pour achever ces consultations.
| Jours requis pour traiter les demandes de consultation |
Demandes de consultation |
|---|---|
| 0 à 15 jours | 2 |
| 16 à 30 jours | 2 |
| 31 à 60 jours | 2 |
| 61 à 120 jours | 0 |
| 121 à 180 jours | 0 |
| 181 à 365 jours | 0 |
| Plus de 365 jours | 0 |
Consultations internes
En 2024-2025, l’ARC a traité 341 demandes de consultation interne sur la protection des renseignements personnels, ce qui représente une augmentation de 29 % par rapport à la période de rapport précédente. Pour répondre à ces demandes, la Direction a examiné 5 829 pages. Ces examens internes sont considérés comme informels et ne relèvent pas de la Loi sur la protection des renseignements personnels.
Le graphique ci-dessous présente les tendances relatives aux demandes de consultation interne sur la protection des renseignements personnels reçues au cours des cinq dernières années.
Figure 4 : Tendances du nombre de demandes de consultation interne sur la protection des renseignements personnels
Figure 4 : Description de l'image
Le graphique ci-dessous présente les tendances relatives aux demandes de consultation interne sur la protection des renseignements personnels reçues au cours des cinq dernières années.
En 2020–2021, 105 demandes de consultation interne sur la protection des renseignements personnels ont été reçues, 5 824 pages ont été traitées.
En 2021–2022, 180 demandes de consultation interne sur la protection des renseignements personnels ont été reçues, 2 288 pages ont été traitées.
En 2022–2023, 252 demandes de consultation interne sur la protection des renseignements personnels ont été reçues, 4 564 pages ont été traitées.
En 2023–2024, 264 demandes de consultation interne sur la protection des renseignements personnels ont été reçues, 4 331 pages ont été traitées.
En 2024-2025, 341 demandes de consultation interne sur la protection des renseignements personnels ont été reçues, 5 829 pages ont été traitées.
Initiatives et projets visant à améliorer la protection des renseignements personnels
Projet pilote de réacheminement accéléré
La Direction de l’AIPRP a mis en œuvre un plan visant à rediriger les demandes vers le service en ligne sécurisé Mon dossier de l’ARC lorsque des demandeurs cherchent les renseignements suivants :
- des preuves de revenu des dix dernières années pour lesquelles l’ARC a établi une cotisation;
- des avis de cotisation;
- des renseignements sur les prestations.
Ce faisant, l’ARC a pu rediriger plus de 1 000 demandes vers Mon dossier, améliorer son efficacité et réduire les délais de traitement, améliorant ainsi le service aux demandeurs. L’ARC continuera de rediriger ces types de demandes en 2025-2026 et cherchera d’autres possibilités de divulgation proactive par l’intermédiaire de canaux de service informels.
Plan d’élimination de l’arriéré
Dans le cadre du plan d’élimination de l’arriéré de l’AIPRP de l’ARC, celle-ci a travaillé avec diligence pour réduire son inventaire des arriérés de l’AIPRP.
Depuis le lancement du plan en 2021-2022, l’ARC :
- a clos 762 dossiers en retard de l’arriéré;
- a réduit le retard moyen des dossiers en retard de 429 jours à 311 jours.
Modernisation du système de gestion des cas d’AIPRP
Au cours de la période visée par le rapport, l’ARC a lancé un nouveau système de gestion des cas d’AIPRP, ATIPXpress. Le nouveau système :
- permettra à l’ARC de continuer à traiter les demandes d’AIPRP lorsque son ancien système ne sera plus utilisable;
- réduit les délais de traitement et le travail administratif à l’aide de fonctions d’automatisation (y compris l’intelligence artificielle);
- facilite la communication et la collaboration entre les bureaux de première responsabilité et la Direction de l’AIPRP par l’intermédiaire du portail de collaboration ATIPXpress.
L’ARC a élaboré et a mis en place un plan de gestion de projet solide pour déployer le système de façon progressive. L’intégration s’est déroulée graduellement tout au long de l’exercice, à partir de juin 2024. Ce processus a fait appel à des communications stratégiques, à de la formation, à des stratégies de gestion du changement et à l’engagement collaboratif des utilisateurs du système dans l’ensemble de l’ARC.
Ce nouveau système est semblable à ceux d’autres ministères et améliorera le rendement au cours des prochaines années, lorsque ses avantages seront pleinement réalisés.
Plan stratégique de la Direction de l’AIPRP de 2024-2027
Le plan stratégique de la Direction de l’AIPRP de 2024-2027 décrit les principes directeurs et les priorités stratégiques de la Direction.
Les quatre priorités décrites sont les suivantes :
- continuer à respecter les obligations législatives établies par la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels en matière de demandes d’information grâce à une productivité accrue;
- améliorer le programme d’AIPRP grâce à la mise en œuvre de technologies numériques et d’initiatives d’amélioration continue, y compris l’intelligence artificielle;
- veiller à la sécurité et à la protection des renseignements personnels des Canadiennes et Canadiens tout en respectant l’engagement de l’ARC à favoriser un gouvernement transparent et ouvert;
- renforcer le leadership et changer notre culture pour créer un effectif solide et engagé dans l’ensemble du pays, conçu pour maintenir un milieu de travail diversifié, sain et inclusif.
Formation et sensibilisation
Formation
Voici un résumé des activités de formation en matière d’AIPRP que l’ARC a réalisées en 2024-2025.
Formation obligatoire
En 2023, l’ARC a mis en place une exigence selon laquelle les employés doivent suivre le cours COR502, Cours de base sur l’accès à l’information et la protection des renseignements personnels, de l’École de la fonction publique du Canada. Les employés doivent suivre le cours tous les cinq ans pour rafraîchir leurs connaissances. Cela permet de s’assurer que tout le personnel de l’ARC a reçu une formation sur l’accès à l’information et la protection des renseignements personnels pour leur permettre de répondre aux demandes d’AIPRP correctement et pour protéger et gérer les renseignements personnels.
Ce cours obligatoire répond aux nouvelles exigences de la politique du Secrétariat du Conseil du Trésor du Canada, qui stipulent que tous les employés du gouvernement fédéral doivent recevoir une formation sur leurs obligations liées à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels.
Depuis 2023, 52 900 employés ont terminé le cours, dont 12 597 en 2024-2025. Au total, plus de 93 % des employés de l’ARC ont reçu la formation.
Séances d’information trimestrielles sur la sensibilisation à l’AIPRP
Au cours de la période de rapport, la Direction de l’AIPRP a offert 8 séances d’information trimestrielles en anglais et en français à un total de 2 024 participants.
Téléconférences trimestrielles avec le bureau de première responsabilité
Au cours de la période de rapport, 872 employés de l’ARC ont participé à des téléconférences trimestrielles avec le bureau de première responsabilité pour les aider dans leurs rôles en tant que personnes-ressources de l’AIPRP. Ces téléconférences ont assuré une sensibilisation continue et une uniformité dans la façon dont l’ARC applique les processus dans l’ensemble de l’organisation et ont fourni des renseignements sur le nouveau portail de collaboration ATIPXpress.
Formation ciblée
La Direction de l’AIPRP a offert une formation ciblée sur l’accès à l’information à plus de 3 000 participants de 11 secteurs distincts de l’ARC. Elle adapte cette formation en fonction du secteur pour aborder les défis spécifiques auxquels il est confronté, et ainsi améliorer sa capacité à traiter les demandes d’AIPRP et, en fin de compte, renforcer sa transparence et sa conformité. La formation variait en fonction des besoins du secteur et abordait des sujets tels que :
- comment effectuer une recherche raisonnable;
- comment traiter les dossiers pertinents en temps opportun;
- comment donner des recommandations en réponse à une demande.
Association internationale des professionnels de la protection des renseignements personnels – Formation sur la gouvernance de l’intelligence artificielle
Au cours de la période visée par le rapport, 33 cadres de l’ARC et professionnels de la protection de la vie privée ont participé au cours de formation avec certificat sur la gouvernance de l’intelligence artificielle offert par l’Association internationale des professionnels de la protection des renseignements personnels. Ce cours a été conçu pour fournir des connaissances fondamentales sur les systèmes d’intelligence artificielle, les principes d’intelligence artificielle responsable et les cadres de gouvernance à l’égard de l’intelligence artificielle.
Accroître la sensibilisation
Plan de sensibilisation à la protection des renseignements personnels
L’ARC a mis en œuvre son troisième plan annuel de sensibilisation à la protection des renseignements personnels afin de favoriser une culture de protection des renseignements personnels et de sensibiliser les employés à l’égard de leurs responsabilités concernant les politiques et les processus institutionnels. Ce plan comprenait 25 activités, telles que la publication d’une infographie sur les atteintes à la vie privée avec des conseils sur la façon de les cerner et de les signaler.
Flash d’info de l’AIPRP
L’ARC a lancé le Flash d’info de l’AIPRP, une publication qui souligne les derniers renseignements sur les politiques, les règlements et les changements à venir en matière d’accès à l’information et de protection des renseignements personnels du Secrétariat du Conseil du Trésor du Canada, du Commissariat à l’information du Canada et du Commissariat à la protection de la vie privée du Canada. Le Flash d’info de l’AIPRP présente également les meilleures pratiques en matière de gestion des demandes d’accès à l’information et de protection des renseignements personnels, tout en tenant les abonnés informés des changements pertinents.
Semaine de la protection des données
Chaque année, l’ARC célèbre la Semaine de la protection des données, une initiative internationale qui promeut la sensibilisation aux effets de la technologie sur les droits à la vie privée et l’importance de valoriser et de protéger les renseignements personnels. Cette année, l’ARC a remanié et promu sa page intranet de la Semaine de la protection des données, la rendant plus interactive et accessible aux employés.
Semaine de sensibilisation à la protection de la vie privée
La Semaine de sensibilisation à la vie privée est un effort mondial visant à promouvoir la sensibilisation aux enjeux de confidentialité et l’importance de la protection des données personnelles. Pour célébrer la Semaine de sensibilisation à la protection de la vie privée, l’ARC a encouragé son personnel à assister à l’événement de l’École de la fonction publique du Canada sur la façon de gérer la confidentialité dans le milieu de travail numérique.
Gestion de la protection des renseignements personnels
Le contexte lié à la protection des renseignements personnels continue d’évoluer de façon importante, parallèlement aux technologies numériques et aux outils de prise de décisions automatisée.
En 2024–2025, l’ARC a continué d’améliorer son cadre de gestion de la protection des renseignements personnelsNote de bas de page 1 :
- en s’appuyant sur la stratégie de formation et de sensibilisation à la protection des renseignements personnels à l’échelle de l’ARC, avec l’élaboration d’une stratégie d’apprentissage complète et pluriannuelle pour les professionnels en protection des renseignements personnels qui sera mise en place en 2025-2026;
- en facilitant la conformité et en sensibilisant le personnel aux nouvelles exigences imposées par la nouvelle norme sur les évaluations des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor du Canada;
- en fournissant une orientation et des conseils sur de nombreuses initiatives en matière de protection des renseignements personnels, y compris des clauses visant à faciliter le droit d’un individu à ses renseignements personnels dans chaque contrat, accord et entente d’échange de renseignements.
Gestion des atteintes à la vie privée
L’une des pierres angulaires du régime fiscal canadien est la confiance que les contribuables accordent à l’ARC en matière de protection des renseignements personnels. L’ARC prend très au sérieux l’intégrité et la protection des renseignements des contribuables et maintient des contrôles en place afin d’empêcher les atteintes à la vie privée. Malgré l’efficacité de ces contrôles, des atteintes à la vie privée ont parfois lieu. La gestion efficace des atteintes est cruciale pour maintenir la confiance de la population dans l’intégrité du régime fiscal.
L’ARC enquête sur tous les incidents internes et externes concernant des renseignements potentiellement compromis. Lorsqu’une atteinte à la vie privée se produit, la Direction de l’AIPRP travaille en étroite collaboration avec les intervenants afin de la contenir et de la gérer, d’évaluer les répercussions sur les personnes touchées, et de déterminer et d’appliquer des mesures correctives afin d’éviter qu’une atteinte se reproduise.
Lorsque cela est justifié, l’ARC protège de façon proactive les comptes des contribuables, informe les personnes touchées par une atteinte à la vie privée et offre des services de protection du crédit pour les aider à protéger davantage leurs renseignements personnels.
L’ARC respecte les instruments de politique du Secrétariat du Conseil du Trésor du Canada pour déterminer quelles atteintes à la vie privée atteignent le seuil d’une atteinte substantielle. Après son enquête, l’ARC doit aviser le Commissariat à la protection de la vie privée du Canada et le Secrétariat du Conseil du Trésor du Canada des atteintes substantielles à la vie privée.
Cette année, l’ARC a signalé 35 642 atteintes substantielles à la vie privée. Parmi celles-ci :
- 27 concernaient l’accès non autorisé ou la divulgation de renseignements sur les contribuables par des employés de l’ARC;
- 4 concernaient du courrier mal acheminé;
- 40 concernaient des incidents de sécurité, y compris la perte et la divulgation inappropriée de renseignements personnels;
- 35 571 concernaient l’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers.
L’augmentation du nombre d’atteintes substantielles à la vie privée signalées par l’ARC au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor du Canada en 2024-2025 peut être attribuée au signalement rétroactif de 31 393 atteintes à la vie privée résultant de l’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers qui ont eu lieu entre mai 2020 et novembre 2023. Pour plus d’information sur les atteintes à la vie privée résultant de l’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers, consultez la section « Utilisation non autorisée des renseignements personnels d’un contribuable par un tiers ».
Le nombre d’atteintes à la vie privée signalées devrait diminuer légèrement au cours de la prochaine année, car l’ARC a terminé son initiative de signalement rétroactif des atteintes à la vie privée confirmées résultant de l’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers.
Cela dit, on s’attend toujours à ce que le nombre d’atteintes à la vie privée signalées augmente par rapport aux années précédentes, car l’ARC continue de mettre en œuvre des processus et d’améliorer ses systèmes et ses mesures de sécurité afin de détecter et de signaler ces types d’incidents.
Accès non autorisé ou divulgation par des employés de l’ARC
Cette année, la Direction générale de la sécurité de l’ARC a informé la Direction de l’AIPRP de 59 incidents de traitement inapproprié de renseignements personnels par des employés de l’ARC.
L’ARC traite avec la plus grande rigueur les incidents impliquant un traitement inapproprié de renseignements personnels. En plus de sa réponse à ces incidents, l’ARC a mis en place des mesures préventives, notamment la formation des employés, le Système électronique de gestion de la fraude de l’ARC et des contrôles d’accès stricts pour réduire les risques d’atteintes avant qu’ils ne surviennent.
Lorsque des incidents surviennent, l’ARC traite les cas confirmés d’inconduite d’un employé rapidement et de manière appropriée. Elle signale tout incident impliquant une activité criminelle présumée aux autorités compétentes. Tous les employés de l’ARC suivent une formation obligatoire et continue en matière de sécurité qui souligne l’importance de la protection des renseignements sur les contribuables. De plus, tous les employés de l’ARC sont assujettis à son Code d’intégrité et de conduite professionnelle strict. Les employés qui enfreignent le Code peuvent faire face à des mesures disciplinaires, comme l’examen de leur cote de sécurité ou leur congédiement.
Courrier mal acheminé et incidents de sécurité
En 2024-2025, l’ARC a cerné 861 atteintes à la vie privée découlant de courrier mal acheminé, c’est-à-dire du courrier qui a mal été adressé ou qui a été envoyé par erreur à la mauvaise personne. Les incidents liés au courrier mal acheminé se produisent seulement dans 0,003 % des 92 millions d’articles de courrier que l’ARC traite chaque année.
De plus, 326 atteintes à la vie privée au sein de l’ARC ont découlé d’incidents de sécurité, y compris de la perte, du vol ou de la divulgation inappropriée de renseignements personnels.
Utilisation non autorisée des renseignements personnels d’un contribuable par un tiers
Les atteintes à la vie privée causées par l’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers se produisent lorsqu’un acteur malveillant externe utilise des éléments de renseignements personnels (noms, numéros d’assurance sociale, etc.) probablement obtenus de sources externes, pour tenter d’accéder à des renseignements personnels sur les contribuables, de les modifier ou de les créer.
En 2024-2025, l’ARC a cerné 35 571 atteintes à la vie privée en raison de l’utilisation non autorisée de renseignements d’un contribuable par un tiers. Cette forte augmentation peut être attribuée au signalement rétroactif de 31 393 atteintes à la vie privée qui ont eu lieu entre mai 2020 et novembre 2023.
Depuis 2020, L’ARC a mis en œuvre diverses améliorations de système, mesures de sécurité, processus et des changements de gouvernance de d’organisation pour mieux détecter, analyser et atténuer les incidents résultant de l’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers.
Dès qu’une activité suspecte est identifiée, les personnes concernées sont informées et leurs comptes sont protégés de manière appropriée. Une fois l’atteinte confirmée, les personnes concernées sont officiellement informées et bénéficient d’une protection de crédit, au besoin.
Exception à la section 4.2.8 de la Politique sur la protection de la vie privée
Au cours de l’exercice, l’ARC a obtenu une exception à l’article 4.2.8 de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada, qui exige que les institutions du gouvernement du Canada signalent les atteintes substantielles à la vie privée au Secrétariat et au Commissariat à la protection de la vie privée du Canada au plus tard sept jours après que l’institution a déterminé que l’atteinte est substantielle. Compte tenu du volume de cas confirmés et de la nature importante et continue de cette charge de travail, il n’était pas possible de respecter ce délai de signalement. L’obtention de cette exception permet à l’ARC de signaler sur une base trimestrielle les atteintes à la vie privée résultant de cas individuels d’utilisation non autorisée des renseignements personnels d’un contribuable par un tiers.
L’exception s’applique uniquement aux atteintes à la vie privée impliquant l’utilisation non autorisée des renseignements d’un contribuable par un tiers qui ne peuvent pas être liées à un stratagème ou à un événement précis par des acteurs malveillants découverts par l’ARC. Si une atteinte à la vie privée peut être liée à un stratagème ou à un événement précis, l’ARC la signale dans les paramètres décrits dans la politique, car ces cas étaient moins fréquents et plus faciles à gérer en matière de volume.
Mesures d’atténuation des atteintes à la vie privée
L’ARC s’efforce continuellement de surveiller et d’améliorer ses processus et les systèmes internes afin de protéger davantage les renseignements des contribuables. Elle limite les autorisations d’accès des employés aux seuls renseignements dont ils ont besoin pour faire leur travail et examine régulièrement l’accès des employés aux systèmes de l’ARC.
De plus, l’ARC a mis en œuvre des mesures de sécurité supplémentaires, comme l’authentification multifacteur, pour protéger les renseignements personnels des contribuables et s’assurer qu’ils peuvent utiliser les services en ligne de l’ARC avec confiance et sécurité.
La vigilance des contribuables à l’égard de la protection des renseignements sur leurs comptes est également un atout de sécurité essentiel. L’ARC rappelle à tous les contribuables de changer leurs mots de passe régulièrement et de surveiller leurs comptes en ligne pour déceler tout signe d’activité suspecte, comme des changements non demandés à leurs coordonnées ou à leurs renseignements bancaires, des changements de représentants ou d’administrateurs ou des déclarations de revenus produites en leur nom qui entraînent des remboursements.
Enquêtes du Commissariat à la protection de la vie privée du Canada
Le 15 février 2024, le Commissariat à la protection de la vie privée du Canada a présenté un rapport spécial au Parlement sur les constatations et les recommandations de son enquête concernant la divulgation et la modification non autorisées de renseignements personnels détenus par l’ARC et Emploi et Développement social Canada à la suite de cyberattaques.
L’ARC a encore une mesure à mettre en œuvre dans le plan d’action qu’elle a fourni au Commissariat à la protection de la vie privée du Canada pour répondre à ses recommandations. Cette recommandation devrait être mis en œuvre d’ici septembre 2025.
Le rapport spécial à l’intention du Parlement se trouve à l’adresse priv.gc.ca/fr/opc-actions-and-decisions/ar_index/202324/rs_pa_20240215_gckey.
Le 29 octobre 2024, le Commissariat à la protection de la vie privée du Canada a lancé une enquête sur l’ARC liée aux cyberattaques qui ont entraîné plus de 30 000 atteintes à la vie privée depuis 2020. L’ARC s’engage à travailler en étroite collaboration avec le Commissariat à la protection de la vie privée du Canada dans le cadre de cette enquête.
Évaluations des facteurs relatifs à la vie privée
L’ARC a réalisé 27 évaluations des facteurs relatifs à la vie privée au cours de la période visée par le rapport, en 2024-2025.
De plus, l’ARC a examiné un nombre important d’initiatives visant à évaluer les répercussions possibles sur la vie privée. Ces examens portaient sur des documents comme la liste de contrôle de la protection des renseignements personnels, les présentations au Conseil du Trésor du Canada, les évaluations de la menace et des risques, les solutions d’applications locales, les contrats et les ententes de collaboration écrites.
L’ARC a publié des sommaires de ses évaluations des facteurs relatifs à la vie privée effectuées à l’adresse canada.ca/fr/agence-revenu/services/a-propos-agence-revenu-canada-arc/protection-vos-renseignements-personnels/evaluation-facteurs-relatifs-a-vie-privee.
Pour voir les sommaires des évaluations des facteurs relatifs à la vie privée réalisées au cours de la période de rapport, en 2024-2025, consultez l’annexe A, Sommaires des évaluations des facteurs relatifs à la vie privée effectuées.
Résumé des principaux enjeux et des mesures prises à l'égard des plaintes
L’ARC communique régulièrement avec les bureaux des commissaires à l’information et à la protection de la vie privée du Canada pour simplifier les processus et appliquer des méthodes d’amélioration continue Lean pour fermer les dossiers de plainte dès que possible. Au cours de la période visée par le rapport, l’ARC a collaboré avec ces bureaux en mettant l’accent sur la résolution des plaintes au début de l’étape de la résolution.
L’ARC a spécifiquement traité les plaintes :
- en communiquant une nouvelle date d’engagement raisonnable au bureau du commissaire concerné lorsqu’elle ne répondait pas à une demande dans les délais prescrits;
- en élaborant des processus et des procédures appropriées pour garantir que les bureaux de première responsabilité de l’ARC s’acquittent de leurs responsabilités de fournir rapidement des documents à la Direction de l’AIPRP;
- en menant des enquêtes approfondies pour confirmer que des recherches raisonnables de documents ont été effectuées et en fournissant au bureau du commissaire concerné une justification détaillant les recherches et indiquant si elles ont été fructueuses ou si les documents n’existaient pas;
- en examinant l’analyse des documents pour voir s’il y a lieu de maintenir une exemption ou de divulguer l’information. À la suite de l’examen, si l’ARC a mal appliqué une exemption, elle fournit une trousse de divulgation supplémentaire au bureau du commissaire concerné et au plaignant;
- en analysant le processus d’une demande refusée afin de fournir des directives supplémentaires concernant les renseignements nécessaires ou les mesures à prendre pour donner suite à la demande initiale;
- en fournissant une nouvelle copie des documents dans le format demandé.
En 2024-2025, l’ARC a reçu 34 plaintes en vertu de la Loi sur la protection des renseignements personnels et en a traité 71. À la fin de l’exercice, 77 plaintes étaient toujours actives. Le graphique suivant indique le nombre de plaintes reçues et traitées depuis 2022-2023.
Figure 5 : Plaintes en vertu de la Loi sur la protection des renseignements personnels
Figure 5 : Description de l'image
Le graphique suivant indique le nombre de plaintes reçues et traitées depuis 2022-2023.
23 plaintes reçues et 26 plaintes traitées lors de l'exercice 2022–2023
70 plaintes reçues et 51 plaintes traitées lors de l'exercice 2023–2024
34 plaintes reçues et 71 plaintes traitées lors de l'exercice 2024–2025
Le graphique suivant montre les plaintes traitées au cours de l’exercice.
Figure 6 : Traitement des plaintes au cours de l’exercice
Figure 6 : Description de l'image
Le graphique suivant montre les 71 plaintes traitées au cours de l’exercice.
Dispositions relatives aux plaintes,
25 (35 %) Bien fondées
3 (4 %) Abandonnées
8 (12 %) Résolues
27 (38 %) Non bien fondées
8 (11 %) Devenues des plaintes formelles
De plus, la Direction de l’AIPRP a reçu quatre plaintes à résolution rapide et une plainte officielle liée à la protection des renseignements personnels du Commissariat à la protection de la vie privée du Canada au nom de particuliers. Ces plaintes étaient liées à la gestion de la protection des renseignements personnels et non aux demandes de la Loi sur la protection des renseignements personnels, et elles étaient liées aux problèmes suivants :
- perte de renseignements (1);
- accès non autorisé (1);
- accès et divulgation non autorisés (1);
- utilisation et divulgation non autorisées de renseignements personnels (1);
- divulgation non autorisée (1).
Parmi ces plaintes :
- deux sont toujours en cours de traitement;
- trois ont été résolues.
Pour obtenir les définitions des catégories de traitement du Commissariat à la protection de la vie privée du Canada, allez à priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/def-cf/.
Surveillance de la conformité
Rapports
La Direction de l’AIPRP produit plusieurs rapports qui donnent des statistiques clés sur l’inventaire des demandes d’AIPRP de l’ARC. Les rapports indiquent :
- les demandes actives et fermées;
- l’état des demandes par direction générale et par région;
- l’inventaire à reporter;
- les plaintes;
- les volumes de présomption de refus.
La direction utilise régulièrement les rapports pour :
- assurer le traitement opportun des demandes d’AIPRP;
- surveiller les tendances des types de renseignements fréquemment demandés;
- mesurer le rendement de la Direction de l’AIPRP;
- promouvoir la disponibilité des renseignements par d’autres moyens.
La direction présente chaque mois les rapports à la haute direction lors de la réunion du Comité de gestion de l’ARC, présidé par le commissaire.
Programme d’assurance de la qualité de l’AIPRP
Le programme d’assurance de la qualité de l’AIPRP permet de déterminer les tendances dans le traitement des cas et de corriger les lacunes dans les processus opérationnels. Ses constatations ont aidé à élaborer du matériel de formation et de sensibilisation pour améliorer la qualité du service fourni.
En 2024-2025, une formation sur l’application uniforme des procédures, comme la façon de réaliser une recherche raisonnable et la documentation des décisions, a été présentée aux employés de la Direction de l’AIPRP et aux bureaux de première responsabilité.
Contrats
En réponse aux mises à jour apportées à la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada en octobre 2022, la Direction de l’AIPRP a continué de collaborer avec la Direction générale des finances et de l’administration et la Direction générale du service, de l’innovation et de l’intégration. Ensemble, elles élaborent un processus visant à inclure des mesures de protection des renseignements personnels, telles que des clauses facilitant le droit d’accès d’un particulier à ses renseignements personnels, dans les contrats, les accords et les ententes. Elles veillent également à ce que des résumés soient publiés chaque année dans InfoSource.
Divulgation d'intérêt public
En 2024-2025, l’ARC n’a fait aucune divulgation en vertu de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels et n’a envoyé aucun avis écrit en vertu du paragraphe 8(5) au Commissariat à la protection de la vie privée.
Conclusion
Malgré les demandes croissantes à l’égard du programme d’AIPRP et le contexte en constante évolution liée à la protection des renseignements personnels, l’ARC a continué de faire des progrès importants pour relever les défis liés à la protection des renseignements personnels et au traitement des demandes en vertu de la Loi sur la protection des renseignements personnels.
L’ARC a fait ces progrès importants :
- en traitant les demandes d’AIPRP à l’aide de la méthode Lean;
- en traitant l’arriéré au moyen de son plan d’élimination de l’arriéré;
- en offrant de la formation obligatoire sur l’AIPRP à tout son personnel;
- en lançant le projet pilote de réacheminement accéléré pour rediriger les demandeurs vers le service en ligne sécurisé Mon dossier de l’ARC lorsqu’ils cherchaient :
- des preuves de revenu des dix dernières années pour lesquelles l’ARC a établi une cotisation;
- des avis de cotisation;
- des renseignements sur les prestations.
En 2025-2026, la Direction de l’AIPRP se concentrera sur les priorités de son plan stratégique et continuera :
- de cerner les possibilités d’accroître le recours à la divulgation proactive et de rediriger les demandeurs vers des canaux informels;
- d’améliorer le programme d’AIPRP en mettant en place des technologies numériques et des initiatives d’amélioration continue, y compris l’intelligence artificielle;
- d’intégrer l’analyse des données pour améliorer la gestion de l’inventaire et l’utilisation des ressources disponibles afin de permettre une prise de décision efficace et de réduire les délais de production;
- de déceler et d’élaborer de nouvelles mesures de protection des renseignements personnels en intégrant les principes de la protection des renseignements personnels dès la conception;
- de collaborer avec le Commissariat à la protection de la vie privée dans le cadre de son enquête sur les cyberattaques qui ont mené à plus de 30 000 atteintes à la vie privée depuis 2020;
- de soutenir la Direction générale de la vérification, de l’évaluation et des risques de l’ARC dans ses deux vérifications internes sur les contrats et les atteintes à la vie privée.
Annexe A : Sommaires des évaluations des facteurs relatifs à la vie privée effectuées
Pour consulter les 27 sommaires d’évaluations des facteurs relatifs à la vie privée effectuées, allez à canada.ca/fr/agence-revenu/services/a-propos-agence-revenu-canada-arc/protection-vos-renseignements-personnels/evaluation-facteurs-relatifs-a-vie-privee.
Activités des centres de contact de la Direction générale de l’évaluation, des prestations et des services V3
Cette évaluation des facteurs relatifs à la vie privée se concentre sur les demandes traitées et les programmes administrés par les centres de contact pour répondre aux demandes de renseignements des particuliers et des entreprises et celles au sujet des prestations. Elle a été mise à jour pour inclure un service de clavardage en ligne à l’intention des contribuables qui cherchent une autre façon de communiquer avec l’ARC.
Gestion de l’authentification et des justificatifs d’identité V4
Cette évaluation des facteurs relatifs à la vie privée évalue les services et applications externes des programmes en ligne sécurisés de l’ARC, y compris les services d’autres ministères qui utilisent les services d’authentification de l’ARC. Elle a été mise à jour pour inclure l’option de validation de l’identité numérique, le service de validation d’identité pour Innovation, Sciences et Développement économique Canada et l’authentification multifacteur.
Validation des prestations canadiennes d’urgence, des prestations canadiennes de relance économique et de la prestation canadienne pour les travailleurs en cas de confinement, et activités d’observation et d’évaluation V1
Cette évaluation des facteurs relatifs à la vie privée évalue les prestations de soutien au revenu temporaire versées aux particuliers entre le 15 mars 2020 et le 7 mai 2022 pour vérifier que les demandeurs admissibles ont reçu les prestations appropriées tout en traitant les paiements en trop.
Allocation canadienne pour enfants et prestations connexes V2
Cette évaluation des facteurs relatifs à la vie privée examine l’administration de l’allocation canadienne pour enfants et des prestations et crédits fédéraux, provinciaux et territoriaux connexes. Elle a été mise à jour pour inclure divers initiatives et avantages nouveaux et modifiés.
Appels au ministre et appels devant les tribunaux pour le Régime de pensions du Canada/Assurance-emploi V1
Cette évaluation des facteurs relatifs à la vie privée examine les cas où un employeur, un particulier ou Emploi et Développement social Canada interjette appel auprès du ministre du Revenu national à l’égard d’une décision du Régime de pensions du Canada (RPC) ou de l’assurance-emploi. Elle examine également les cas où un employeur, un particulier ou Emploi et Développement social Canada n’est pas d’accord avec une décision et souhaite la contester devant la Cour canadienne de l’impôt ou la Cour fédérale du Canada.
Programme des organismes de bienfaisance V1
Cette évaluation des facteurs relatifs à la vie privée examine le programme des organismes de bienfaisance, en se concentrant spécifiquement sur l’enregistrement et la surveillance des donataires reconnus aux fins de l’impôt sur le revenu. Cette évaluation remplace l’évaluation des facteurs relatifs à la vie privée de 2009 sur le formulaire T3010B (09), Déclaration de renseignements des organismes de bienfaisance enregistrés, et l’évaluation préliminaire des facteurs relatifs à la vie privée de 2008 sur le formulaire T2050, Demande d’enregistrement des organismes de bienfaisance.
Programme communautaire des bénévoles en matière d’impôt V2
Cette évaluation des facteurs relatifs à la vie privée examine le rôle du Programme communautaire des bénévoles en matière d’impôt à titre de coordonnateur et de superviseur des organismes et des bénévoles du programme. Elle a été mise à jour pour inclure le service Préremplir ma déclaration, accessible à tous les bénévoles, et un nouvel outil de gestion.
Programme de traitement des déclarations et des paiements des sociétés V4
Cette évaluation des facteurs relatifs à la vie privée porte sur le programme de cotisation T2, y compris le traitement des déclarations des entreprises (déclarations T2, déclarations spéciales et choix) et des paiements. Elle a été mise à jour afin d’évaluer les modifications et l’élargissement du programme, y compris l’ajout de la remise canadienne sur le carbone pour les petites entreprises.
Programme de crédit d’impôt pour personnes handicapées V2
Cette évaluation des facteurs relatifs à la vie privée examine le crédit d’impôt pour personnes handicapées, un crédit d’impôt non remboursable permettant aux personnes handicapées ou aux membres de la famille qui subviennent à leurs besoins de réduire l’impôt sur le revenu qu’ils pourraient avoir à payer. Elle a été mise à jour pour inclure le paiement unique de la mesure d’allègement liée à la COVID-19, le Régime canadien de soins dentaires et le processus de demande numérique.
Établissement de rapports améliorés sur les comptes financiers – Partie XVIII V3
Cette évaluation des facteurs relatifs à la vie privée se concentre sur l’amélioration de la communication de renseignements sur les comptes financiers entre les administrations fiscales. Elle a été mise à jour pour inclure les activités d’observation des institutions financières, les accords intergouvernementaux d’échange de renseignements et des améliorations du système.
Programme des comptes d’employeurs V3
Cette évaluation des facteurs relatifs à la vie privée porte sur les activités du programme des comptes d’employeurs, ce qui comprend le fait de vérifier que les cotisations au RPC et les primes d’assurances-emploi sont déduites, versées et déclarées comme l’exige la loi. Cette évaluation des facteurs relatifs à la vie privée a été mise à jour pour inclure de nouveaux logiciels et applications (document électronique générique, application de classement, logiciel de gestion des dossiers, système national de gestion de l’inventaire), des améliorations au RPC, les identifiants de représentant et la déclaration aux fins du Régime dentaire canadien.
Vérification du niveau d’observation des employeurs V3
Cette évaluation des facteurs relatifs à la vie privée examine les activités visant à vérifier que les employeurs se conforment à leurs obligations en matière de déclaration. Elle a été mise à jour pour inclure les identifiants obligatoires de représentant et un nouveau formulaire pour l’authentification d’un représentant.
Phase II du programme sur la taxe d’accise et de spécialité V1
Cette évaluation des facteurs relatifs à la vie privée porte sur le programme sur la taxe d’accise et de spécialité, qui est responsable de l’octroi de licences et de l’enregistrement des clients, des décisions et des interprétations, des vérifications, des examens d’observation et de l’application des programmes de soutien. L’évaluation des facteurs relatifs à la vie privée de ce programme a été réalisée en deux phases. La phase actuelle comprend des activités liées à la Loi sur la taxe sur certains biens de luxe, à la Loi sur le droit pour la sécurité des passagers du transport aérien, aux dispositions non liées à la TPS de la Loi sur la taxe d’accise, à la Loi de 2006 sur les droits d’exportation de produits de bois d’œuvre et à la Loi sur l’importation des boissons enivrantes.
Taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH) – Vérification et examen V2
Cette évaluation des facteurs relatifs à la vie privée examine les examens et les vérifications effectués aux niveaux national et international pour déterminer les montants exacts de taxe d’accise et de TPS/TVH dus et prévenir le versement de remboursements injustifiés. Elle a été mise à jour afin d’inclure une stratégie d’observation complète visant à améliorer la détection et le traitement de l’inobservation au sein de l’économie de plateforme à l’égard de la TPS/TVH et l’utilisation d’un nouvel outil.
Programme de traitement des déclarations et des remboursements pour la taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH) V4
Cette évaluation des facteurs relatifs à la vie privée examine le traitement et l’évaluation des demandes de remboursement aux entités gouvernementales. Elle a été mise à jour pour inclure un formulaire Web sur Canada.ca qui permet aux non-résidents de s’inscrire à la TPS/TVH en tant que fournisseurs numériques; une solution permettant à l’ARC de convertir les déclarations reçues dans certaines devises étrangères en fonds canadiens; et des améliorations aux services en ligne de l’ARC.
Renseignements d’entreprise des ressources humaines V1
Cette évaluation des facteurs relatifs à la vie privée examine les activités de renseignements d’entreprise qui visent à améliorer la mise en œuvre et l’efficacité du programme des ressources humaines.
Services de protection de l’identité V1
Cette évaluation des facteurs relatifs à la vie privée examine le programme des services de protection de l’identité, ce qui comprend la vérification de l’identité d’un contribuable dont les renseignements sont soupçonnés d’être utilisés par un tiers non autorisé et la prise de mesures correctives à l’égard des comptes des victimes de vol d’identité.
Programme de divulgation de sécurité nationale V1
Cette évaluation des facteurs relatifs à la vie privée porte sur la divulgation de renseignements à un groupe désigné de ministères et d’organismes ayant des mandats ou des responsabilités reconnus en matière de sécurité nationale.
Programme de dénonciateurs de l’inobservation fiscale à l’étranger (PDIFE) V3
Cette évaluation des facteurs relatifs à la vie privée examine le Programme de dénonciateurs de l’inobservation fiscale à l’étranger, qui permet d’offrir des récompenses financières aux personnes qui fournissent des renseignements liés à des cas majeurs d’inobservation fiscale internationale entraînant la collecte d’au moins 100 000 $ en impôts supplémentaires. Elle a été mise à jour pour refléter les changements apportés aux règles et procédures de conservation des programmes pour la recherche de source ouverte.
Plateforme d’évaluation de la dotation en ligne – VidCruiter V2
Cette évaluation des facteurs relatifs à la vie privée se concentre sur l’utilisation de la plateforme en ligne VidCruiter dans les processus de dotation en personnel. Elle a été mise à jour pour inclure l’utilisation de diverses fonctions de VidCruiter par un nombre restreint d’employés de la Direction générale des ressources humaines. Ces fonctions comprennent des entretiens vidéo préenregistrés et en direct, des examens de compétences, la planification d’entretiens et la vérification des références.
Programme des oppositions V1
Cette évaluation des facteurs relatifs à la vie privée porte sur le programme des oppositions, qui examine les avis d’opposition déposés à l’égard d’un avis de cotisation, d’un avis de nouvelle cotisation, d’un avis de détermination ou d’un avis de nouvelle détermination précis établi par l’ARC.
Bureau de l’ombudsman des contribuables V3
Cette évaluation des facteurs relatifs à la vie privée examine le programme du Bureau de l’ombudsman des contribuables, qui examine les plaintes et les problèmes liés aux services qui peuvent toucher une personne ou une partie de la population. Elle a été mise à jour pour inclure l’utilisation d’un portail en ligne sécurisé pour la communication avec les contribuables et d’un système téléphonique qui facilite une communication efficace entre les agents et les contribuables.
Programme de régimes enregistrés d’épargne et de revenu différé V1
Cette évaluation des facteurs relatifs à la vie privée porte sur 11 régimes enregistrés d’épargne et de revenu différé auquel on peut participer en étant employé, en utilisant des épargnes personnelles ou les deux. Les renseignements tirés des évaluations des facteurs relatifs à la vie privée réalisées précédemment à l’égard du programme de régimes enregistrés d’épargne-invalidité et du programme de régimes de pension agréés collectifs ont été fusionnés dans cette nouvelle évaluation des facteurs relatifs à la vie privée.
Programme de rétroaction sur le service V1
Cette évaluation des facteurs relatifs à la vie privée porte sur le programme de rétroaction sur les services, qui est un processus officiel de résolution de plaintes ou de problèmes qui permet à l’ARC de recueillir, de suivre et d’analyser des commentaires de contribuables dans le but d’améliorer les services qu’elle leur offre et de résoudre des problèmes.
Programme des allègements pour les contribuables V1
Cette évaluation des facteurs relatifs à la vie privée examine le programme des allègements pour les contribuables, qui examine les demandes de pénalités et d’allègement des intérêts reçus de contribuables qui ne peuvent pas respecter leurs obligations fiscales.
Initiatives d’épargne libre d’impôt V2
Cette évaluation des facteurs relatifs à la vie privée se concentre sur les initiatives d’épargne libre d’impôt, telles que les programmes du compte d’épargne libre d’impôt et du compte d’épargne pour l’achat d’une première propriété. Elle a été mise à jour pour inclure le programme de compte d’épargne pour l’achat d’une première propriété et les activités de service et d’observation de l’ARC pour soutenir les deux programmes.
Examen des comptes de fiducie V3
Cette évaluation des facteurs relatifs à la vie privée porte sur les activités visant à garantir que les cotisations au RPC et les primes d’assurance-emploi sont déduites, versées et déclarées comme l’exige la loi. Elle a été mise à jour pour inclure les changements apportés au processus de déclaration et aux feuillets T4 et T4A au cours d’examens ou de révisions effectués au besoin, conformément aux nouvelles politiques législatives.
Arrêté sur la délégation en vertu de la Loi : Description de l'image
Arrêté sur la délégation en vertu de la Loi sur la protection des renseignements personnels
Je, Élisabeth Brière, ministre du Revenu national, délègue par les présentes, en vertu du paragraphe 73(1) de la Loi sur la protection des renseignements personnels, aux cadres ou employés de l’Agence du revenu du Canada détenteurs des postes mentionnés dans l’annexe ci-jointe les attributions dont je suis, en qualité de responsable de l’Agence du revenu du Canada, investie par les dispositions de la Loi sur la protection des renseignements personnels qui sont mentionnées dans l’annexe.
Le présent document remplace et annule tout arrêté antérieur.
La ministre du Revenu national,
Élisabeth Brière
Signé à Ottawa, Ontario, Canada, le jour de (Mar 05 2025)
Privacy Act Delegation Order
I, Élisabeth Brière, Minister of National Revenue, do hereby designate, pursuant to subsection 73(1) of the Privacy Act, the officers or employees of the Canada Revenue Agency who hold the positions set out in the attached Schedule to exercise or perform the powers, duties, or functions that have been given to me as head of a the Canada Revenue Agency under the provisions of the Privacy Act as set out in the Schedule.
This designation replaces all previous delegation orders.
Élisabeth Brière
Minister of National Revenue
Signed in Ottawa, Ontario, Canada, this day of (Mar 05, 2025)
Annexe – Loi sur la protection des renseignements personnels
Vous trouverez ci-dessous la liste des postes autorisés à exercer les attributions du ministre du Revenu national, en sa qualité de responsable de l’ARC selon les dispositions de la Loi sur la protection des renseignements personnels et de son règlement.
Commissaire
- Autorité absolue
Commissaire délégué
- Autorité absolue
Sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels
- Autorité absolue
Directeur général de la Direction de l’accès à l’information et de la protection des renseignements personnels, Direction générale des affaires publiques
- Autorité absolue
Directeur de la Direction de l’accès à l’information et de la protection des renseignements personnels, Direction générale des affaires publiques
- Autorité absolue
Directeurs adjoints de la Direction de l’accès à l’information et de la protection des renseignements personnels, Direction générale des affaires publiques
- Autorité absolue, à l’exception de l’alinéa 8(2)j), de l’alinéa 8(2)m), du paragraphe 8(5) et du paragraphe 72(1)
Gestionnaires, réviseurs et conseillers techniques de la Direction de l’accès à l’information et de la protection des renseignements personnels, Direction générale des affaires publiques
- Autorité absolue, à l’exception de l’alinéa 8(2)j), de l’alinéa 8(2)m), du paragraphe 8(5), du paragraphe 9(1), du paragraphe 9(4), de l’article 10, du paragraphe 33(2) et du paragraphe 72(1)
Analystes principaux et analystes de la Direction de l’accès à l’information et de la protection des renseignements personnels, Direction générale des affaires publiques
- Autorité uniquement en vertu du paragraphe 14a), de l’article 15, du paragraphe 16(1), de l’alinéa 17(2)b), et de l’alinéa 17(3)b)