Fiche d’information : Exigences en matière de signalement des atteintes à la vie privée
L’Agence du revenu du Canada attache une très grande importance à la protection des renseignements personnels des contribuables. Elle s’emploie à traiter les atteintes à la vie privée avec transparence et conformément à ses responsabilités et aux politiques du Secrétariat du Conseil du Trésor (SCT) sur la protection des renseignements personnels.
Définir les atteintes à la vie privée
Une atteinte à la vie privée se produit lorsque des renseignements personnels sont consultés, utilisés, divulgués, créés ou recueillis sans autorisation appropriée. Elle peut découler de l’accès non autorisé, de divulgations accidentelles, d’incidents de sécurité (perte ou vol, courrier mal acheminé), d’incidents de cybersécurité ou du traitement inapproprié des données. L’Agence prend toutes les atteintes à la vie privée au sérieux, et elle reconnaît le préjudice potentiel qu’elles peuvent causer aux particuliers et à leur confiance envers l’Agence.
Définir les atteintes substantielles et les normes de signalement
Les atteintes substantielles concernent des renseignements personnels de nature délicate et présentent pour les personnes touchées un risque réel de préjudice important (pertes financières, vol d’identité, dommage à la réputation).
Lorsqu’une atteinte à la vie privée est confirmée, une équipe d’intervention spécialisée évalue l’incident afin de déterminer s’il s’agit d’une atteinte substantielle. Si une atteinte substantielle est confirmée, l’Agence doit la signaler au SCT et au Commissariat à la protection de la vie privée du Canada (CPVP), conformément à l’exigence de déclaration obligatoire énoncée dans la Politique sur la protection de la vie privée du SCT.
Dès que l’Agence prend connaissance d’un incident présumé de vol d’identité ou qu’elle soupçonne que le compte d’un client pourrait être la cible d’un acteur malveillant, elle prend des mesures de précaution rapides et immédiates à l’égard de ce compte. Par exemple, elle procède au verrouillage du compte afin d’empêcher les transactions et effectue des examens approfondis. L’Agence avisera les personnes touchées dès que possible afin qu’elles puissent prendre des mesures pour se protéger.
Limitation et examen immédiats
Après avoir détecté une atteinte à la vie privée, l’Agence agit rapidement pour contenir l’incident. Elle peut notamment protéger les comptes touchés pour prévenir d’autres atteintes. Elle peut aussi entreprendre un examen approfondi pour déterminer l’ampleur et la cause de l’atteinte et faire mettre en œuvre les mesures appropriées pour régler l’incident et éviter qu’il se reproduise. Pour en savoir plus, consultez la fiche d’information intitulée Comment l’Agence du revenu du Canada aide les victimes de vol d’identité.
Transparence et signalement
L’Agence entend assurer une transparence totale lorsqu’elle traite les atteintes à la vie privée. Dans sa réponse au rapport de février 2024 du CPVP, l’Agence s’est engagée à se conformer entièrement aux exigences en matière de signalement obligatoire du SCT et à signaler rétroactivement toutes les atteintes à la vie privée confirmées au bureau du CPVP et au SCT. Cet engagement a été respecté.
De plus, à chaque exercice, l’Agence rend compte du nombre total d’atteintes à la vie privée, y compris les atteintes non substantielles, dans son rapport annuel au Parlement sur l’application de la Loi sur la protection des renseignements personnels.