Mesures de sécurité pour protéger les renseignements des contribuables contre les menaces externes
La protection des renseignements des contribuables est primordiale pour l’Agence du revenu du Canada (ARC). Dans un monde de plus en plus numérique, l’Agence prend constamment des mesures pour protéger les renseignements de nature délicate en sa possession contre les menaces en constante évolution.
Améliorations continues de la sécurité
- Authentification multifacteur
L’ARC utilise l’authentification multifacteur (AMF) dans l’ensemble de ses services d’ouverture de session comme mesure de sécurité renforcée obligatoire. Les particuliers doivent entrer un code à usage unique à chaque connexion. Ce code est valide pour une seule session.
Depuis février 2026, l’ARC invite les utilisateurs qui ont un compte de l’ARC à ajouter une option d’AMF de rechange si ce n’est pas déjà fait. Ils peuvent aussi l’ajouter plus tard. Cette mesure vise à renforcer la sécurité des comptes et à empêcher qu’ils soient verrouillés pendant le processus d’AMF.
L’ARC a également étendu l’AMF à ses services téléphoniques en février 2026. Les particuliers peuvent désormais s’authentifier partiellement avant de joindre un agent.
- Adresse courriel obligatoire au dossier
Afin de protéger les comptes en ligne des contribuables contre les accès non autorisés, les utilisateurs de Mon dossier doivent avoir une adresse courriel au dossier de l’ARC.
Cette mesure de sécurité permet d’envoyer aux particuliers un avis par courriel lorsqu’une modification importante est apportée à leur compte. Il peut s’agir, par exemple, de leur adresse, de leurs renseignements sur le dépôt direct ou d’un justificatif d’identité (comme leur ID utilisateur et leur mot de passe). Les personnes inscrites qui reçoivent ces avis sans avoir autorisé de modification doivent communiquer avec l’ARC sans délai.
- Numéro d’identification personnel
Comme mesure de sécurité supplémentaire, les contribuables peuvent établir un numéro d’identification personnel (NIP) unique pour leur compte. Ce NIP leur permet de s’identifier de façon rapide et sécurisée lorsqu’ils appellent l’ARC sur la ligne téléphonique des demandes de renseignements pour l’impôt et les prestations des particuliers.
- Captcha
L’ARC a mis en place un test captcha dans tous ses portails pour distinguer les humains des robots. Cette mesure de sécurité oblige les utilisateurs à sélectionner des images avant de pouvoir accéder aux services numériques.
- Un justificatif d’identité unique
Les nouveaux utilisateurs ne peuvent créer qu’un seul justificatif d’identité auprès de l’ARC (soit un ID utilisateur et un mot de passe, soit un partenaire de connexion). Cette restriction empêche les utilisateurs de créer un nouveau justificatif d’identité lorsqu’ils en ont déjà un. Elle ne s’applique pas aux partenaires provinciaux.
- Révocation des ID utilisateur et des mots de passe à risque
Pour prévenir les accès non autorisés et protéger les renseignements des contribuables, l’ARC effectue des vérifications et des analyses de routine afin de déterminer les ID utilisateur et les mots de passe qui pourraient avoir été compromis. Ces justificatifs d’identité pourraient avoir été obtenus au moyen de sources externes, comme des stratagèmes d’hameçonnage par courriel ou des atteintes à la sécurité des données de tiers. L’ARC révoque les ID utilisateur et les mots de passe jugés à risque. Les particuliers touchés reçoivent un avis par courriel qui explique comment rétablir l’accès à leur compte.
- Suspension et révocation des justificatifs d’identité inactifs
L’ARC révoque et dissocie les justificatifs d’identité après une période d’inactivité prolongée. Cette mesure écarte le risque que des justificatifs d’identité inutilisés ou oubliés soient utilisés de façon abusive par des parties non autorisées pour accéder aux comptes des contribuables.
- Processus d’autorisation améliorés pour les représentants
L’ARC a mis en place le processus Confirmer mon représentant pour les demandes d’autorisation soumises par des tiers qui demandent l’accès en ligne aux renseignements d’un contribuable. Lorsqu’un représentant soumet une demande, le contribuable doit la confirmer ou la refuser.
- Augmentation de la limite de caractères des mots de passe
Le justificatif d’identité d’ouverture de session du compte de l’ARC permet de créer des mots de passe de 8 à 64 caractères. Cette fourchette permet aux utilisateurs d’utiliser des mots de passe plus longs et plus robustes. Elle offre aussi plus de flexibilité aux personnes qui utilisent un gestionnaire de mots de passe.
- Mesures de sécurité internes pour prévenir la fraude
L’ARC utilise la surveillance automatisée, des renseignements sur les menaces et des analyses internes pour détecter les activités suspectes. Elle continue d’investir dans ses mesures de sécurité, ses technologies, ses processus et ses contrôles existants. Elle les améliore également afin de déterminer des indicateurs de menace précis et des schémas de risque qui pourraient mener à l’utilisation non autorisée des renseignements personnels d’un contribuable par des tiers.
L’ARC travaille en étroite collaboration avec divers partenaires, notamment des ministères fédéraux, des gouvernements provinciaux et territoriaux, des institutions financières et des fiscalistes. Cela lui permet d’échanger des renseignements d’entreprise et des pratiques exemplaires en matière de sécurité pour prévenir la fraude. Elle collabore également avec des partenaires nationaux et internationaux pour orienter ses stratégies de sécurité.
- Services de protection de l’identité
L’ARC a créé le programme des services de protection de l’identité (SPI) pour aider davantage les personnes présumées victimes de vol d’identité. Il permet également d’intervenir en cas d’activité suspecte dans un compte afin de protéger les particuliers et leurs renseignements avant qu’un vol d’identité ne survienne.
Le programme des SPI examine tous les cas possibles de vol d’identité. Il accompagne les victimes pour rétablir l’accès à leur compte en ligne et maintenir la protection contre les activités non autorisées.