Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Se connecter

Se connecter

Section 3 – Introduction à l'Agence du revenu du Canada (ARC)

Protéger les renseignements sur les contribuables

Obligation de l'ARC

L'Agence du revenu du Canada (ARC) reconnaît que la confiance est à la base du régime fiscal d'autocotisation volontaire du Canada et, par conséquent, accorde la priorité la plus élevée à la protection des renseignements personnels que lui confient les contribuables. L'ARC a mis en place des contrôles internes robustes pour veiller à la protection des renseignements des contribuables et des renseignements personnels.

L'ARC a l'obligation légale de protéger la confidentialité et l'intégrité des renseignements et des biens dont elle est responsable. Les responsabilités législatives de l'ARC visant à protéger les renseignements sur les contribuables sont énoncées en détails dans l'article 241 de la Loi de l'impôt sur le revenu, l'article 295 de la Loi sur la taxe d'accise et l'article 211 de la Loi de 2001 sur l'accise.

Classification des renseignements

Conformément à la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels, le gouvernement du Canada a regroupé ses renseignements de nature délicate et ses biens en deux catégories : les renseignements classifiés et les renseignements protégés.

  1. Les renseignements classifiés sont des renseignements qui pourraient être admissibles à une exemption ou une exclusion en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels et qui sont liés à l'intérêt national, comme la défense et le maintien de la stabilité sociale, politique et économique du Canada. Les renseignements classifiés sont classés en trois catégories selon le préjudice potentiel, pour l'intérêt national, si les renseignements étaient divulgués : très secret (élevé), secret (moyen) et confidentiel (faible).
  2. Les renseignements protégés concernent les renseignements qui pourraient être admissibles à une exemption ou à une exclusion en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels mais qui ne font pas partie de l'intérêt national. Les renseignements protégés sont classés en trois catégories selon le préjudice potentiel, pour une personne, une organisation ou l'ARC, si les renseignements étaient divulgués : Protégé A (faible), Protégé B (moyen) et Protégé C (élevé).

Gestion des documents du Cabinet

Il est essentiel pour le Cabinet du ministre de suivre les procédures établies pour protéger les documents du Cabinet, puisqu'ils peuvent contenir des renseignements classifiés ou protégés, ou les deux. L'ARC gère les documents du Cabinet en sa possession conformément aux exigences du Bureau du Conseil privé relativement au traitement, au stockage, au suivi et au classement des renseignements et des biens secrets de l'Agence. De plus, l'ARC conserve les documents du Cabinet dans une zone sécuritaire munie d'un accès contrôlé et d'un système d'alarme. Les employés qui participent à la gestion des documents utilisent l'équipement approuvé par la Gendarmerie royale du Canada, tel que des classeurs, des déchiqueteurs, des porte-documents et des télécopieurs. Les employés travaillent également sur un serveur distinct de dossiers secrets.

Atteintes à la vie privée

Une atteinte à la vie privée désigne le fait d'accéder de façon inappropriée ou sans autorisation ou de divulguer des renseignements personnels au sens de la Loi sur la protection des renseignements personnels. Les atteintes à la vie privée concernant des renseignements sur des contribuables font généralement partie de l'une de trois grandes catégories : l'inconduite des employés (p. ex., les accès non autorisés), les atteintes involontaires (p. ex., l'erreur humaine) et les vulnérabilités de la technologie de l'information.

Une atteinte grave en est une qui concerne des renseignements personnels sensibles et dont on pourrait raisonnablement s'attendre à ce qu'elle porte un grave préjudice au particulier, ou qui concerne un grand nombre de particuliers touchés. Lorsqu'une atteinte à la vie privée est découverte, l'ARC la consigne, en évalue les risques et en avise les particuliers concernés. Cela est conforme aux lignes directrices du Secrétariat du Conseil du Trésor.

En 2014-­2015, l'ARC a signalé les trois types d'atteintes à la vie privée suivants :

Plus précisément, 37 incidents d'atteinte à la vie privée ont été signalés au Commissariat à la protection de la vie privée et au Secrétariat du Conseil du Trésor. Ces incidents comprennent les suivants :

En avril 2014, il y a eu une atteinte des systèmes de l'ARC en raison de la faille Heartbleed, une menace à la sécurité des logiciels. Rapidement, l'ARC a désactivé ses services électroniques, y compris Mon dossier et Mon dossier d'entreprise, pendant cinq jours afin d'enrayer la vulnérabilité. En novembre 2014, en réponse à une demande d'accès à l'information, l'ARC a divulgué par inadvertance des renseignements sur un contribuable à la Canadian Broadcasting Corporation (CBC). L'ARC a immédiatement pris des mesures à l'égard de l'incident en menant une enquête interne, qui a permis de confirmer que la divulgation des renseignements était le résultat d'une erreur humaine. L'ARC a également mis en œuvre un plan visant à renforcer les contrôles des opérations de l'Accès à l'information et de protection des renseignements personnels de l'Agence. En parallèle, l'ARC a lancé un examen, par un tiers indépendant, de ses cadres d'accès à l'information et de gestion de la protection des renseignements personnels.

Même si l'ARC a déployé des efforts immédiats pour récupérer les renseignements, la CBC a choisi d'en publier une partie dans un article. Depuis l'incident, la CBC a refusé de rendre les renseignements confidentiels. Au mois de mai 2015, l'ARC a entamé une procédure judiciaire contre la CBC en vue de récupérer ces renseignements au motif que le défaut de retourner les documents constitue un abus de confiance.

Enquêtes de sécurité de l'ARC

Dans le contexte de la protection de la confidentialité des renseignements sur les contribuables, l'Agence examine la conduite des employés et le risque éventuel d'inconduite au moyen de son processus d'enquête de sécurité. L'ARC, compte trois niveaux de cote de sécurité :

• La cote de fiabilité pour les postes qui exigent l'accès à des renseignements protégés.
• La cote de sécurité pour les postes qui exigent l'accès à des renseignements classifiés.
• La cote de fiabilité plus (CF+) a été instaurée en décembre 2013 dans le cas des postes nécessitant un degré de confiance élevé du public.

Infrastructure de sécurité de l'ARC

L'ARC a des capacités de sécurité et de gestion des incidents qui sont centralisées. L'Agence garantit ainsi que seules les personnes qui ont besoin d'un accès dans l'exercice de leurs fonctions ont accès aux systèmes de l'ARC et que les renseignements ne sont utilisés qu'à leurs fins prévues. De plus, l'Agence a des mécanismes en place, après l'enquête, pour signaler les soupçons de fraude et d'usage abusif de l'accès aux renseignements, y compris une ligne de dénonciation anonyme. Lorsque des préoccupations sont soulevées, l'Agence mène des enquêtes afin de déterminer si les allégations d'actes répréhensibles sont fondées.

L'infrastructure de sécurité de l'Agence comprend:

L'ARC continue de renforcer son infrastructure de sécurité afin de garantir l'état de préparation de l'Agence à répondre à la menace changeante dans son environnement. Par exemple, puisque les incidents de cybersécurité se font de plus en plus nombreux et complexes, l'Agence renforce continuellement ses contrôles de sécurité liés au stockage des renseignements sensibles, à leur accès et à leur transmission sur son réseau. L'Agence continue également d'améliorer ses différents protocoles et contrôles afin de s'assurer que les renseignements sur le contribuable sont protégés.

Détails de la page

Date de modification :