Protection de la vie privée et sécurité des données

 

Les Canadiens font confiance à l'Agence du revenu du Canada pour protéger leurs renseignements contre l'accès ou la divulgation non autorisés et pour veiller à ce que ses services soient fournis de façon sécuritaire et sans interruption. Cette confiance est essentielle pour les inciter à remplir leurs obligations fiscales.

Faits et chiffres clés de 2020-2021

 

L'Agence est responsable de l'un des plus importants répertoires de renseignements personnels et financiers au pays.

 

Selon une évaluation réalisée par un tiers (Gartner) en 2018, la maturité de l'Agence en matière de sécurité est comparable à celle de ses pairs de l'industrie.

 

Une approche à plusieurs niveaux en matière de sécurité, y compris des contrôles des systèmes et des activités, assure une protection contre les menaces potentielles internes et externes et les atteintes à la vie privée.

 

Les menaces dans l'environnement externe augmentent en nombre et en complexité, ce qui entraîne une augmentation des mesures prises par l'Agence pour analyser, cerner et atténuer les menaces potentielles.

Tous les chiffres sont approximatifs

Améliorations récentes et prévues

Évaluation de la vulnérabilité en matière de protection des renseignements personnels
Des faiblesses potentielles ont été cernées dans les processus et les procédures de protection de l'information, ce qui orientera les stratégies d'atténuation des risques actuelles et futures.
Cadre de gestion de la protection des renseignements personnels
Ce cadre a été élaboré pour démontrer l'engagement à l'égard de la protection des renseignements personnels. Il décrit la façon dont l'Agence assure la protection des renseignements personnels.
Protection des renseignements personnels dès la conception
Cette initiative assure que la protection des renseignements personnels est intégrée à tous les programmes, processus et solutions dès les premières étapes.
Détection de la fraude
Depuis le printemps 2021, des modèles et des outils ont élargi la surveillance proactive des mesures prises par les utilisateurs dans les systèmes de l'Agence, afin de mieux détecter les transactions potentiellement frauduleuses des employés et l'utilisation malveillante des renseignements.
Éthique des données et de l'intelligence artificielle (IA)
Un pilier de la feuille de route de l'IA de l'Agence. L'accent est mis sur le maintien de la confiance des Canadiens en intégrant des considérations éthiques à chaque étape de la conception, du déploiement et de la vérification continue de l'IA et des solutions de prise de décisions automatisées.
Agent de sécurité de l'Agence
Il s'agit d'un poste au sein de l'Agence dont le niveau de responsabilité a récemment été augmenté afin de centraliser et d'officialiser davantage la gestion du programme de sécurité.

Incidence de la COVID-19

  • Les programmes de prestations d'urgence liés à la COVID-19, au Canada et ailleurs, sont devenus une cible pour les personnes mal intentionnées, en partie en raison de leur portée et de leur importance sans précédent.
    • Au cours de l'été 2020, l'Agence et le gouvernement du Canada ont été victimes d'une série de cyberattaques. Dans le cadre de ces incidents, des personnes malveillantes ont utilisé des justificatifs volés obtenus par divers moyens auprès de sources extérieures à l'Agence.
    • L'Agence a rapidement contré ces attaques pour préserver l'intégrité et la sécurité des renseignements des contribuables et de leurs comptes à l'Agence.
    • L'Agence continue d'améliorer ses mesures de sécurité et de communiquer avec les Canadiens pour valider leurs justificatifs et accroître la sensibilisation.
    • Une équipe a été créée à l'Agence pour coordonner la réponse globale et harmonisée de l'Agence.
  • Un recours collectif a été déposé contre le gouvernement du Canada en août 2020, alléguant la divulgation non autorisée de renseignements personnels et financiers découlant de cyberattaques axées sur le « bourrage de justificatifs » à l'été 2020. L'Agence est le client principal dans le cadre de ce litige.
  • À l'appui de la transparence et de la responsabilisation, l'Agence a divulgué de façon proactive des données sur l'utilisation des mesures d'urgence et des données démographiques sur les bénéficiaires.

Contexte

Le maintien de la confiance du public à l'égard de l'intégrité du régime fiscal revêt une importance capitale pour l'Agence. Les Canadiens ont confiance que l'Agence, en tant que l'un des principaux détenteurs de renseignements personnels et financiers au sein du gouvernement du Canada, protégera leurs renseignements contre tout accès ou divulgation non autorisés. Cette confiance est essentielle pour assurer l'observation du régime fiscal du Canada.

Les préoccupations du public à l'égard de la vie privée et de la protection des renseignements continuent de croître, alimentées par un nombre croissant d'atteintes à la vie privée dans les secteurs public et privé. Dans un monde numérique et connecté, il est nécessaire de demeurer proactif dans la lutte contre les cybermenaces de plus en plus perfectionnées, notamment parce que l'Agence et ses fonds de données sont une cible de choix pour les mauvais acteurs. Les Canadiens s'attendent à ce que nous protégions leurs renseignements personnels, et l'Agence continue de s'adapter à un environnement changeant en matière de protection des renseignements personnels et de sécurité.

L'Agence est consciente de la nécessité d'adapter son programme de gestion de la protection des renseignements personnels au fur et à mesure de l'évolution de la situation dans ce domaine. Grâce au lancement du cadre de gestion de la protection des renseignements personnels de l'Agence en 2020, l'Agence s'est engagée à améliorer ses pratiques en matière de protection des renseignements personnels, en fonction des principes de protection des renseignements personnels dès la conception. Ainsi la protection des renseignements personnels est systématiquement intégrée aux pratiques et aux systèmes opérationnels.

L'Agence est déterminée à protéger les renseignements personnels contre l'utilisation malveillante à l'interne et à l'externe. Les renseignements sont protégés au moyen de contrôles rigoureux guidés par la loi, y compris la Loi sur la protection des renseignements personnels et la Loi de l'impôt sur le revenu. Ces contrôles facilitent la prévention et la détection des menaces internes et externes, et la réaction face à celles-ci. L'Agence surveille l'environnement avec vigilance afin de veiller à ce que les mesures de contrôle demeurent efficaces et disponibles pour réagir face aux menaces nouvelles et émergentes.

Considérations

Pour que l'Agence administre l'impôt et les prestations de l'Agence de la façon la plus efficace possible, il est impératif qu'elle dispose de bons renseignements sur lesquels se fier. La capacité de l'Agence à utiliser ses renseignements et ceux de parties tierces permet d'améliorer le service, de mieux cibler les interventions en matière d'observation et de fournir des prestations en temps opportun et avec exactitude.

Les mesures actuelles de contrôle de la protection des renseignements personnels et de la sécurité comprennent la validation de l'identité des comptes, le filtrage de sécurité, les évaluations du risque de fraude interne et les vérifications internes. L'Agence collabore activement avec les partenaires du gouvernement du Canada pour mettre en place de solides contrôles de gestion de l'identité et de l'accès, qui peuvent être utilisés dans l'ensemble des plateformes gouvernementales. Les mesures de contrôle et de détection en place à l'Agence comprennent une ligne de signalement anonyme et des systèmes qui surveillent l'accès aux données. Comme c'est le cas dans toute organisation, malgré l'éventail des contrôles existants au sein de l'Agence, les renseignements personnels peuvent être utilisés ou divulgués de façon inappropriée. Pour ces cas, l'Agence a établi des mécanismes d'intervention et d'atténuation afin d'informer les personnes touchées et de réduire au minimum les répercussions.

L'Agence continue de tirer parti des évaluations réalisées par des tiers et de l'analyse comparative avec des organisations homologues afin d'améliorer la sécurité. À mesure que les tendances en matière de menaces changeront et que des lacunes seront cernées, l'Agence adaptera le programme pour relever efficacement les défis futurs liés à la sécurité.

Facteurs environnementaux

En 2020, les mesures de soutien d'urgence liées à la COVID-19 ont accru le profil de l'Agence en tant que cible potentielle pour les cyberattaques et la fraude. Des cyberattaques ont eu lieu sur les plateformes « Mon dossier », « Mon dossier d'entreprise » et « Représenter un client » de l'Agence, ce qui a fait en sorte que les services en ligne de l'Agence ont été temporairement désactivés pendant que l'Agence travaillait à neutraliser les menaces et à traiter les vulnérabilités. Les Canadiens touchés ont été contactés, et leurs appels ont été priorisés dans les files d'attente des centres de contact. De plus, un nouveau programme de lutte contre la fraude a été mis en place pour répondre aux préoccupations liées aux demandes frauduleuses et aux autres pressions en matière de sécurité propres aux prestations d'urgence. L'Agence a également offert des services de protection du crédit aux particuliers touchés, sans frais pour eux, afin d'accroître la protection de leurs renseignements personnels. Néanmoins, un recours collectif a été déposé en lien avec les incidents d'atteinte à la vie privée liés aux services en ligne.

Systèmes

La stratégie de cybersécurité de l'Agence est une approche plus stratégique et axée sur les risques d'évaluation continue des menaces et des possibilités dans l'environnement de sécurité instable. La relation entre la sécurité de la technologie de l'information (TI) et les activités est essentielle pour assurer la « sécurité dès la conception », ce qui signifie que des contrôles de sécurité sont intégrés aux solutions dès leur élaboration.

Une approche à plusieurs niveaux est utilisée pour la sécurité de la TI, et la responsabilité de ces couches est répartie dans plusieurs organisations. L'Agence collabore également avec d'autres ministères du gouvernement, les organismes d'application de la loi, le Centre antifraude du Canada et les provinces et les territoires afin de protéger les comptes et les renseignements personnels des contribuables grâce à la collaboration et à la coordination.

Les systèmes qui sont créés et maintenus avec une posture de sécurité appropriée servent de base pour bâtir la confiance dans les systèmes de l'Agence. Des mesures d'atténuation des risques de sécurité liés à la protection de la confidentialité, de l'intégrité et de la disponibilité des systèmes de l'Agence sont en place. Ces mesures d'atténuation donnent l'assurance que les risques liés à la sécurité sont cernés et gérés de façon appropriée pour tous les systèmes utilisés par l'Agence.

Données

L'Agence reconnaît que, bien que les données aient une valeur considérable, elles entraînent également des risques liés à la transparence, à l'exactitude, à la sécurité et à la protection de la vie privée. Il s'agira d'un problème croissant à mesure que l'Agence augmentera l'utilisation des données. L'Agence s'est engagée à atténuer les risques liés aux données, et a créé un poste de dirigeant principal des données chargé d'assurer l'utilisation et la gestion efficaces des données de l'Agence en établissant des mesures de la qualité des données, en validant les données sur l'impôt et les prestations aux fins de diffusion externe, et en dirigeant les initiatives de gérance des données et de gouvernement ouvert.

L'Agence fournit des données aux partenaires externes et aux intervenants lorsque la loi l'exige ou lorsque des ententes officielles d'échange de données existent. Pour ces données externes, divers contrôles, vérifications et contrepoids sont en place pour assurer le respect des normes de confidentialité et de sécurité, de qualité des données et de chiffrement.

Surveillance

Le maintien d'une posture de sécurité mature nécessite un investissement continu, ainsi que la surveillance continue et l'amélioration ou l'ajustement des contrôles de sécurité. En raison de l'augmentation de la fréquence et de la complexité des menaces à la sécurité, l'Agence a rehaussé le rôle d'agent de sécurité de l'Agence, afin qu'il relève directement du commissaire. Ce sous-commissaire adjoint est responsable d'assurer un leadership stratégique, une coordination et une surveillance pour toutes les obligations de l'Agence en matière de sécurité. Cela améliore la gestion du programme de sécurité de l'Agence, renforce la collaboration et officialise les rôles et les responsabilités afin d'intégrer pleinement les considérations en matière de sécurité dans le processus décisionnel à l'échelle de l'Agence.

De plus, l'Agence a un chef principal de la protection des renseignements personnels qui a pour mandat général de superviser les décisions liées à la protection des renseignements personnels, y compris les évaluations de la protection des renseignements personnels, à l'Agence. Pour remplir ce mandat, l'agent principal de la protection des renseignements personnels défend les droits personnels en matière de protection des renseignements personnels, y compris la gestion des atteintes à la vie privée à l'interne, et rend compte à la haute direction de l'Agence de l'état de la gestion de la protection des renseignements personnels à l'Agence au moins deux fois par année.

Prochaines étapes

L'Agence renforce sa posture de protection des renseignements personnels et de sécurité en tirant parti des approches et des technologies émergentes et en apportant d'autres améliorations à la sécurité des données, à l'atténuation des risques, à la détection de la fraude, et plus encore. L'évaluation continue des processus et des systèmes, ainsi que la surveillance des systèmes et des outils, aideront l'Agence à cerner et à aborder les enjeux et les tendances émergents à mesure qu'ils surviennent. Ces activités continueront d'assurer la protection des renseignements personnels et d'assurer la confiance dans le régime fiscal.

Détails de la page

Date de modification :