Protection des renseignements sur les contribuables

Sur cette page

Mesures pour protéger les renseignements des contribuables

L’Agence du revenu du Canada prend très au sérieux la protection et la confidentialité des renseignements personnels des contribuables. L’Agence a mis en place un certain nombre de processus internes pour empêcher l’accès non autorisé aux renseignements personnels des contribuables et veiller à ce que leurs droits soient protégés.

L’approche à plusieurs niveaux de l’Agence en matière de sécurité protège les contribuables contre les menaces internes et externes et les atteintes à la vie privée.

Filtrage de sécurité du personnel

Tous les futurs membres du personnel de l’Agence doivent obtenir la cote ou l’autorisation de sécurité appropriée avant d’être embauchés. Une fois que la cote ou l’autorisation de sécurité leur est accordée, les membres du personnel ont la responsabilité de protéger les renseignements, les biens et les installations de l’Agence, et doivent maintenir une cote ou une autorisation de sécurité valide tout au long de leur emploi.

Sensibilisation des membres du personnel à leurs responsabilités

Les membres du personnel de l’Agence reçoivent continuellement de la formation sur leurs obligations en matière de sécurité, et les renseignements sur la sensibilisation à la sécurité leur sont régulièrement communiqués. Ils sont aussi tenus de respecter les normes de conduite strictes qui sont décrites dans le Code d’intégrité et de conduite professionnelle de l’Agence.

Tout membre du personnel qui a agi de façon inappropriée s’expose à des mesures disciplinaires pouvant aller jusqu’au congédiement. Les actes criminels présumés sont signalés à la Gendarmerie royale du Canada, qui procédera à une enquête.

Mentions de sécurité sur les formulaires et les documents

Tous les formulaires et les documents de l’Agence qui contiennent des renseignements sur les contribuables portent la mention « Protégé ». Ces mentions aident le personnel de l’Agence à faire le nécessaire pour que les renseignements de nature délicate soient traités de façon sécuritaire.

Protection des renseignements des contribuables

L’Agence permet aux membres du personnel de conserver les renseignements des contribuables de façon sécuritaire en veillant à ce qu’ils soient communiqués uniquement au contribuable concerné ou à un tiers autorisé, à moins que la divulgation ne soit autorisée par la loi. Les membres du personnel sont formés pour ne pas laisser de messages vocaux qui contiennent des renseignements sur les contribuables lorsqu’ils communiquent avec eux ou leur représentant autorisé. L’Agence veille à ce que les courriels qui contiennent des renseignements sur les contribuables soient bien étiquetés et puissent seulement être envoyés à l’interne au moyen du chiffrement de bout en bout approuvé. Pour protéger les renseignements des contribuables, l’Agence ne permet pas aux membres du personnel de leur envoyer des renseignements protégés par courriel.

Par ailleurs, la gestion et la protection appropriées des renseignements des contribuables sont régies par des lois et des politiques, comme la Loi sur la protection des renseignements personnels, et les politiques et les directives connexes du Secrétariat du Conseil du Trésor du Canada. Elles sont aussi encadrées par des politiques d’entreprise, comme la politique de protection des renseignements personnels de l’Agence. L’Agence recueille, utilise et divulgue des renseignements personnels dans le cadre de ces lois et de ces règlements.

Pour démontrer son engagement à protéger les renseignements personnels des contribuables, l’Agence a élaboré le cadre de gestion de la protection des renseignements personnels, qui décrit comment elle protège leurs renseignements personnels et leur vie privée.

Accès aux renseignements des contribuables en fonction du besoin de savoir

Les membres du personnel de l’Agence, y compris le personnel des services aux contribuables, le personnel qui traite les dossiers d’impôt, les vérificateurs et les enquêteurs, sont responsables de la protection des renseignements protégés contre tout accès non autorisé. Un accès non autorisé aux renseignements protégés se produit lorsqu’un membre du personnel consulte des renseignements qui ne font pas partie de la charge de travail qui lui a été attribuée officiellement.

L’Agence dispose d’outils de détection pour vérifier en temps réel que les membres du personnel accèdent uniquement aux renseignements sur les contribuables qui sont nécessaires à l’exécution de leurs tâches. Des examens peuvent aussi être effectués si un gestionnaire ou un contribuable a des raisons de croire qu’un accès non autorisé a eu lieu.

Évaluations des risques

L’Agence effectue régulièrement des évaluations des risques et des vérifications internes pour s’assurer que ses processus internes sont sécurisés.

Enquêtes sur les atteintes présumées aux renseignements des contribuables

L’Agence a des équipes spécialisées pour aborder les problèmes liés à l’accès non autorisé et aux atteintes aux renseignements des contribuables. Les agents de l’Agence enquêtent de façon approfondie sur toute atteinte à la sécurité ou toute allégation d’accès non autorisé ou de divulgation de renseignements sur les contribuables. En cas d’accès non autorisé, l’Agence peut informer les contribuables touchés de l’atteinte à la vie privée.

Si un contribuable soupçonne que ses renseignements personnels ont été compromis et croit que ses renseignements financiers pourraient être touchés, il doit communiquer avec l’Agence.

Protection des comptes en ligne

L’Agence poursuit ses efforts pour renforcer la sécurité en investissant dans l’amélioration de ses technologies, de ses processus et de ses contrôles. Elle a également augmenté le nombre de ressources consacrées à la lutte contre la fraude et à la protection des renseignements des contribuables contre toute utilisation non autorisée. À mesure que les arnaqueurs perfectionnent leurs méthodes, l’Agence fait de même.

L’Agence modifie et améliore régulièrement ses mesures de sécurité pour faire face à l’évolution constante des menaces numériques et aux risques persistants d’intrusion. De plus, elle surveille de façon proactive les actions des utilisateurs dans les systèmes de l’Agence pour mieux détecter les transactions potentiellement frauduleuses et l’utilisation abusive de renseignements.

L’Agence a également mis en œuvre l’authentification multifacteur pour ses services d’ouverture de session. Cette mesure de sécurité renforcée aide à protéger les renseignements personnels des contribuables et à empêcher l’accès non autorisé à leurs comptes.

Pour aider à prévenir les incidents d’accès non autorisé et protéger les renseignements des contribuables, l’Agence effectue des vérifications et des examens de routine pour identifier les ID utilisateur et les mots de passe qui peuvent avoir été obtenus par des parties non autorisées qui sont externes à l’Agence. À titre de mesure préventive, l’Agence révoque les ID utilisateur et les mots de passe qu’elle a identifiés et fournit aux personnes touchées les renseignements dont elles ont besoin pour retrouver l’accès à leur compte.

Cadre législatif

L’obligation légale de l’Agence de protéger la confidentialité et l’intégrité des renseignements des contribuables sous sa responsabilité est énoncée dans les lois suivantes :

Selon la Loi de l’impôt sur le revenu, la Loi sur la taxe d’accise, la Loi de 2001 sur l’accise et la Loi sur la tarification de la pollution causée par les gaz à effet de serre, un membre du personnel peut communiquer les renseignements confidentiels d’un contribuable à ce dernier. Toutefois, il ne peut pas les communiquer à un tiers sans le consentement écrit du contribuable, sauf dans les cas où ces lois l’autorisent. Quant à la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information, elles interdisent la divulgation de renseignements personnels, sauf dans les cas énoncés.

Sujets connexes

Détails de la page

Date de modification :