Vérification interne – Protocole d’entente concernant l’échange de renseignements entre l’Agence du revenu du Canada et Saskatchewan Government Insurance

Rapport final

Direction générale de la vérification, de l’évaluation et des risques

Février 2017

Table des matières

• Résumé exécutif
• Introduction
• Point de mire de la vérification
• Constatations, recommandations et plans d’action
  • 1.0 Collecte, utilisation et accès aux renseignements
  • 2.0 Divulgation, conservation, disposition et sécurité
• Conclusion
• Reconnaissance

Résumé exécutif

Contexte : L’Agence du revenu du Canada (ARC) conclut des protocoles d’entente (PE) et d’autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité de l’exécution des programmes.

Saskatchewan Government Insurance (SGI), une société d’État provinciale, gère le système d’octroi des permis de conduire et d’immatriculation des véhicules de la Saskatchewan. Conformément à un PE sur l’échange de renseignements entre l’ARC et SGI, qui est entré en vigueur le 24 juin 2014, l’ARC peut accéder à la base de données de SGI afin de recueillir les renseignements dont elle a besoin.

L'ARC utilise les renseignements sur les permis de conduire et l'immatriculation des véhicules pour appliquer la Loi de l'impôt sur le revenu, la Loi sur la taxe d’accise, le Régime de pensions du Canada et la Loi sur l’assurance-emploi. La Direction générale des recouvrements et de la vérification et la Direction générale des programmes d'observation nationaux exploitent les renseignements sur les véhicules et les permis de conduire des résidents de la Saskatchewan fournis par SGI aux fins de vérification et de recouvrement. Selon les statistiques de SGI, on estime que 7 500 éléments d'information sont consultés chaque année, ce qui pourrait comprendre de multiples éléments pour le même contribuable. Alors que la Direction générale de la stratégie et de l'intégration est responsable de l'administration générale du PE, le Bureau des services fiscaux de la Saskatchewan (BSFS) est chargé des aspects opérationnels du PE.

Objectif : L’objectif de la vérification consistait à donner l’assurance que l’ARC respecte les dispositions du PE en ce qui a trait à la collecte, l’utilisation, la divulgation, la conservation et la disposition des renseignements reçues, ainsi que l’accès à ceux-ci, et qu’elle applique les normes de sécurité précisées dans le PE.

Conclusion : L'ARC respecte les modalités du PE régissant la collecte, l'utilisation, la divulgation, la conservation, la disposition et la sécurité des renseignements, y compris l'accès à ceux-ci. Certaines possibilités d’amélioration ont été relevées lors de la vérification, notamment en ce qui concerne les activités administratives liées au stockage de renseignements décrites dans les documents d’orientation, ainsi que la confirmation des périodes de conservation et des processus de disposition pour les renseignements de SGI.

Plan d’action : Les membres de la direction de la Division de la vérification de l’impôt sur le revenu et de la Division du recouvrement des recettes et des services à la clientèle du BSFS ont pris les mesures nécessaires pour donner suite à ces possibilités dès qu’elles ont été relevées par l’équipe de vérification. La direction du BSFS a avisé l’équipe de vérification que la distribution de documents, la formation du personnel et la mise en pratique des recommandations quant aux procédures, aux périodes de conservation et aux processus de disposition seront achevées d’ici juin 2017.

Introduction

L’Agence du revenu du Canada (ARC) conclut des protocoles d’entente (PE) et d’autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité de l’exécution des programmes.

Saskatchewan Government Insurance (SGI), une société d’État provinciale, gère le système d’octroi des permis de conduire et d’immatriculation des véhicules de la Saskatchewan. Conformément à un PE sur l’échange de renseignements entre l’ARC et SGI, l’ARC peut accéder à la base de données de SGI afin de recueillir les renseignements dont elle a besoin. Le PE est entré en vigueur le 24 juin 2014. La présente est la première vérification du PE en question effectuée par l’ARC.

L'ARC utilise les renseignements sur les permis de conduire et l'immatriculation des véhicules pour appliquer la Loi de l'impôt sur le revenu, la Loi sur la taxe d’accise, le Régime de pensions du Canada et la Loi sur l’assurance-emploi. Selon les statistiques de SGI, on estime que 7 500 éléments d'information sont consultés chaque année, ce qui pourrait comprendre de multiples éléments pour le même contribuable.

La Direction générale des recouvrements et de la vérification (DGRV) et la Direction générale des programmes d'observation nationaux (DGPON) exploitent les renseignements sur les véhicules et les permis de conduire des résidents de la Saskatchewan fournis par SGI aux fins de vérification et de recouvrement. Différentes unités de travail au sein de l'ARC nécessitent de tels renseignements, notamment les sections du recouvrement, des non-déclarants/non-inscrits et des examens de comptes de fiducie, qui relèvent de la DGRV sur le plan fonctionnel. De plus, la Division des renseignements d’entreprise et de l’assurance de la qualité (REAQ), qui est sous la responsabilité de la DGPON, utilise ces renseignements pour l'aider à améliorer sa capacité à sélectionner les dossiers de vérification présentant le risque le plus élevé.

La Direction générale de la stratégie et de l’intégration (DGSI) est responsable de l’administration générale du PE. Le Bureau des services fiscaux de la Saskatchewan (BSFS) est responsable des aspects opérationnels du PE.

Point de mire de la vérification

L’objectif de la vérification consistait à donner l’assurance que l’ARC respecte les dispositions du PE en ce qui a trait à la collecte, l’utilisation, la divulgation, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ceux-ci, et qu’elle applique les normes de sécurité précisées dans le PE.

La vérification interne a permis d'évaluer les processus et les procédures de l'ARC afin de veiller à ce que les exigences du PE soient satisfaites. Les plus récentes versions des documents ont été examinées dans le cadre de la phase d'examen de la vérification interne, qui a eu lieu entre juillet et octobre 2016. Les travaux d'examen ont été menés de concert avec le personnel de la DGSI à l'Administration centrale, la Division des REAQ dans la région des Prairies et dans le BSFS.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Constatations, recommandations et plans d’action

1.0 Collecte, utilisation et accès aux renseignements

Collecte des renseignements

La collecte de renseignements de SGI, y compris leur extraction de la base de données SGI, le stockage des renseignements recueillis et le transfert aux agents, a fait l’objet d’un examen pour déterminer si, au sein de l’ARC :

• les gestionnaires et les membres du personnel connaissent leurs rôles et responsabilités;
• les contrôles de processus et la supervision connexe sont en vigueur;
• le personnel est bien informé et a reçu une formation;
• les guides d’utilisateur, les documents de formation et les procédures sont en place.

On a conclu que les gestionnaires et les membres du personnel connaissent leurs rôles et leurs responsabilités, et qu’ils suivent une procédure de contrôle pour garantir que les renseignements seront recueillis par les membres du personnel autorisés au nom des employés autorisés de l’ARC seulement.

La formation initiale et la formation en milieu de travail sont adéquates, et les procédures en vigueur permettent aux membres du personnel administratif de stocker et de transférer les renseignements de différentes manières sécurisées. Les agents de vérification et des recouvrements, qui reçoivent des renseignements de SGI, suivent les procédures relatives au stockage de renseignements dans les principaux systèmes avec lesquels ils travaillent, notamment le Système de vérification sur ordinateur portatif pour Windows (SVP/Win), utilisé pour les vérifications, et le Système automatisé pour les recouvrements et les retenues à la source (SARRS), utilisé pour les recouvrements.

Notre vérification a révélé des lacunes dans les instructions fournies aux commis administratifs quant au stockage de renseignements qui ont été documentées et suivies au cours de la dernière année. Ces lacunes comprennent le manque d’instructions concernant le stockage sécurisé de renseignements à l’extérieur des systèmes SVP/Win et SARRS. Les instructions pour les autres membres du personnel traitant des renseignements de SGI, y compris les membres du personnel administratif, les agents de recouvrement, les chefs d’équipe du recouvrement, les agents de vérification et les chefs d’équipe de vérification, n’ont pas été documentées.

Les membres du personnel administratif ont conservé les renseignements de SGI sur leurs lecteurs personnels de réseau ou dans Microsoft Outlook. Bien que ce soient des emplacements sécurisés, le stockage de renseignements de SGI sur des lecteurs personnels ou dans des dossiers Outlook ne facilite pas la tâche aux superviseurs qui doivent surveiller l’utilisation adéquate de ces renseignements et est interdit en vertu de la politique sur la gestion de l’information de l’ARC.

Recommandation

La Division de la vérification des impôts sur le revenu et la Division du recouvrement des recettes et des services à la clientèle du BSFS devraient s’assurer que les procédures et les instructions de stockage et de transfert de renseignements de SGI sont en place, communiquées et respectées.

Plan d’action

Les chefs d’équipe responsables au BSFS ont mis à jour et harmonisé les procédures de vérification et de recouvrement des recettes pour clarifier les responsabilités des membres du personnel administratif en ce qui a trait à la consignation, au stockage et au transfert de renseignements de SGI au moment de leur collecte dans la base de données de SGI. Selon la direction du BSFS, la communication de ces procédures à tous les employés concernés et leur mise en œuvre seront achevées d’ici juin 2017.

Accès et utilisation

L’accès à la base de données de SGI et l’utilisation de ces renseignements ont été examinés pour veiller à ce que les renseignements demandés soient utilisés pour des activités en vertu de la loi désignée et que seuls les membres du personnel autorisés puissent administrer ces demandes.

Notre vérification a révélé que l’accès aux renseignements de SGI est contrôlé conformément aux politiques de l’ARC et aux dispositions du PE : les chefs d’équipe passent en revue les privilèges d’accès de leurs employés chaque année, veillent à ce que les demandes de renseignements soient justifiées et autorisées, et ils vérifient que seulement les membres désignés du personnel administratif ont recours aux comptes utilisateurs pour accéder à la base de données de SGI. Les chefs d’équipe échantillonnent régulièrement les activités d’accès des employés de l’ARC pour confirmer qu’elles sont associées à la charge de travail de SGI de l’employé en question.

Dans l’ensemble, la gestion de l’accès à l’information dans la base de données SGI s’est révélée adéquate et conforme aux dispositions du PE. Les contrôles efficaces sont en vigueur pour gérer l’utilisation pertinente de ces renseignements.

2.0 Divulgation, conservation, disposition et sécurité

Divulgation

La divulgation de renseignements de SGI a fait l’objet d’un examen pour déterminer si elle a été restreinte au personnel participant aux activités de soutien de la législation désignée seulement.

On a déterminé que les renseignements n’ont été divulgués qu’en vertu des modalités énoncées dans le PE. Aucune exigence opérationnelle liée à la divulgation de renseignements au-delà des utilisations autorisées, et aucun cas de divulgation non autorisée n’ont été notés.

Conservation et disposition

La conservation et la disposition de renseignements de SGI ont été examinées pour veiller à ce que ces renseignements soient conservés pour la période requise et que, à la fin de la période de conservation, la disposition de ces renseignements soit effectuée de manière sécurisée et contrôlée, conformément aux exigences de sécurité énoncées dans le PE.

Les renseignements de SGI dans SVP/Win et SARRS ont été conservés conformément aux exigences indiquées dans les autorisations de disposition de documents pour les données entreposées dans ces systèmes d’information. Toutefois, la période de conservation pour les renseignements de SGI stockés sur les lecteurs partagés avant la saisie dans SVP/Win et SARRS n’est pas claire.

Bien qu’aucun renseignement de SGI n’ait été supprimé de ces lecteurs partagés, les membres du personnel interrogés n’étaient pas au courant qu’il existait une autorisation de disposition de documents ou autre consigne pour confirmer que cette approche était adéquate. La mise en œuvre de l’autorisation de disposition de documents applicable garantirait le respect de la politique de conservation et de disposition des documents de l’ARC, en plus de veiller à ce que l’ARC s’acquitte de ses obligations opérationnelles et se conforme aux exigences de la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information.

Recommandation

La Division de la vérification des impôts sur le revenu et la Division du recouvrement des recettes et des services à la clientèle du BSFS devraient définir des exigences de conservation et de disposition claires pour tous les renseignements de SGI stockés dans les lecteurs partagés avant de les saisir dans SVP/Win et SARRS.

Plan d’action

Les chefs d’équipe responsables au BSFS ont déjà déterminé la période de conservation pour les données tirées de SGI qui sont conservées à l’extérieur de ces systèmes. Selon la direction du BSFS, la communication de ces périodes de conservation aux employés et la mise en application de ces périodes de conservation et de ces procédures de disposition seront achevées d’ici juin 2017.

Sécurité des renseignements

L’examen de la sécurité des renseignements de SGI a porté sur les points suivants :

• les cotes de sécurité et la sensibilisation des employés participants;
• la sécurité du poste et de l’espace de travail;
• le signalement adéquat des incidents de sécurité;
• l’application du principe du besoin de savoir en donnant accès aux employés.

Les pratiques relatives à la sécurité des renseignements de SGI sont adéquates et pertinentes. Tous les employés qui ont accès au système de SGI disposent de cotes de sécurité valides et à jour. Selon la politique de sécurité de l’ARC, tous les employés faisant partie de l’échantillon ont suivi la formation de sécurité obligatoire au cours des deux dernières années.

La sécurité des espaces renfermant les postes de travail est assurée au moyen d’un accès par carte d’identité. L’accès aux renseignements de SGI stockés dans les applications SVP/Win et SARRS, ou en dehors de celles-ci, est restreint au personnel désigné grâce aux contrôles régissant l’environnement informatique de base de l’ARC.

Bien qu’il y ait un processus établi pour signaler les incidents de sécurité, aucune violation de la sécurité des renseignements de SGI connexes n’a été signalée au cours des deux dernières années.

Le personnel administratif des unités de vérification et de recouvrement se sert de dossiers partagés pour stocker les renseignements recueillis du système d’information de SGI. Les chefs d’équipe de ces unités ont indiqué que plusieurs membres du personnel administratif ont accès à ces dossiers puisqu’ils se partagent la responsabilité des activités qui ont lieu après la collecte des données. Les paramètres de restriction de l’accès pour ces dossiers partagés offrent un contrôle adéquat de la collecte de ces renseignements.

Le stockage de renseignements de SGI dans SVP/Win et SARRS respecte le principe du besoin de savoir régissant les activités de vérification et de recouvrement reposant sur ces renseignements.

Conclusion

L’ARC respecte les modalités du PE concernant la protection et la sécurité des renseignements recueillis en ce qui a trait au SGI. La vérification a révélé des possibilités d’améliorer les documents d’orientation pour certaines activités administratives, ainsi que de confirmer les périodes de conservation et les processus de disposition connexes pour les renseignements de SGI. Les chefs d’équipe responsables au BSFS ont commencé à prendre des mesures pour remédier à ces occasions dès qu’elles ont été soulevées par l’équipe de vérification. Selon la direction du BSFS, la distribution de documents, la formation du personnel et la mise en pratique des recommandations quant aux procédures, aux périodes de conservation et aux processus de disposition seront achevées d’ici juin 2017.

Reconnaissance

En conclusion, nous souhaitons reconnaître, souligner et remercier la DGSI, la Division des REAQ dans la région des Prairies et le BSFS pour le temps qu'ils ont consacré ainsi que les renseignements et les accès fournis pendant la conduite de cette mission.