Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Se connecter

Se connecter

Vérification des renseignements reçus en vertu du Protocole d'entente concernant le Service d'enregistrement en ligne des entreprises du Nouveau-Brunswick

Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2006

Table des matières

Sommaire

L'Agence du revenu du Canada (ARC) a signé un grand nombre de protocoles d'entente (PE) et conventions avec différents ministères et organismes fédéraux, provinciaux et territoriaux. La présente vérification a porté sur les renseignements reçus par l'ARC en vertu du PE concernant le Service d'enregistrement en ligne des entreprises du Nouveau-Brunswick, signé le 14 janvier 2004.

Selon le PE, la Province du Nouveau-Brunswick (NB) et l'ARC ont convenu de mettre en oeuvre un processus d'enregistrement intégré pour offrir aux clients une méthode simplifiée d'enregistrement auprès de multiples organismes gouvernementaux. On désirait ainsi mettre en place un mécanisme permettant à l'ARC et au NB d'utiliser un identificateur d'entreprise commun pour leurs clients et d'offrir en ligne un service d'enregistrement conjoint. Les renseignements fournis à l'ARC par le NB sont ceux dont l'ARC a besoin pour créer un numéro d'entreprise et pour tenir un compte dans le Répertoire gouvernemental des entreprises.

Les PE sur l'échange de renseignements signés depuis 2001 contiennent généralement une clause qui prévoit que les deux parties doivent mener des vérifications internes périodiques sur l'utilisation, la communication et la sécurité des renseignements échangés entre eux. Les vérifications doivent voir lieu dans les deux ans suivant la date d'entrée en vigueur du PE et, par la suite, au moins une fois tous les cinq ans. Le rapport de vérification interne sera transmis à la Province du Nouveau-Brunswick par la Direction générale des stratégies d'entreprise et du développement des marchés, conformément aux conditions du PE.

Objectif : L'objectif de la vérification était de donner l'assurance que l'ARC observe les conditions régissant l'utilisation, la communication et la sécurité des renseignements reçus du NB en vertu de ce PE. La vérification a eu lieu durant l'exercice 2005-2006, et elle a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion : Sur la base du travail de vérification que nous avons effectué, nous sommes d'avis que l'ARC se conforme aux conditions du PE régissant l'utilisation, la communication et la sécurité des renseignements reçus du NB. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles prévues ou qu'ils auraient été communiqués à qui que ce soit en dehors des conditions du PE. Les normes de sécurité sélectionnées relatives à la protection des renseignements reçus ont été respectées.

Introduction

L'Agence du revenu du Canada (ARC) a signé un grand nombre de protocoles d'entente (PE) et conventions avec différents ministères et organismes fédéraux, provinciaux et territoriaux. La présente vérification a porté sur les renseignements reçus par l'ARC en vertu du PE concernant le Service d'enregistrement en ligne des entreprises du Nouveau-Brunswick signé le 14 janvier 2004.

Le PE conclu entre la province du Nouveau-Brunswick (NB) et l'ARC visait à mettre en oeuvre un processus d'enregistrement intégré pour offrir aux clients une méthode simplifiée d'enregistrement auprès de multiples organismes gouvernementaux. Ce processus avait pour but de fournir à l'ARC et au NB un mécanisme qui leur permette d'utiliser un identificateur commun d'entreprise pour leurs clients et d'offrir un accès en ligne à un service d'enregistrement conjoint. Les entreprises peuvent s'inscrire aux programmes du NB par divers moyens de services provinciaux, c'est-à-dire par Internet, par courrier postal, par téléphone ou auprès d'un comptoir de service. Le NB envoie ensuite les données d'inscription par voie électronique à l'ARC. Ces renseignements sont nécessaires pour que l'ARC puisse créer un numéro d'entreprise (NE) et tenir un compte dans le Répertoire gouvernemental des entreprises [Note 1]. L'unité des Services du numéro d'entreprise (SNE) au Centre fiscal de Summerside facilite la résolution des problèmes pouvant survenir durant le processus d'enregistrement.

Le NE est un identificateur commun des entreprises qui a été conçu pour simplifier leurs relations avec de nombreux programmes fédéraux et provinciaux, à l'appui du concept « un client, un numéro ». Ce concept reflète aussi l'un des objectifs stratégiques de l'ARC qui est de renforcer les partenariats avec les provinces et les territoires. La base de données sur le NE comprend des renseignements sur l'identification des clients et leurs coordonnées d'inscription aux nombreux programmes à tous les niveaux gouvernementaux. La base de données du NE que maintient l'ARC renferme environ 8,3 millions de comptes pour plus de 4,7 millions d'entreprises. Le nombre de comptes tenus par l'ARC pour les programmes provinciaux du NB est d'environ 50 000.

Le PE conclu entre l'ARC et le NB exige que les deux parties s'assurent que des procédures sont en place pour protéger les renseignements contre toute communication non autorisée. À cette fin, les deux parties ont convenu de protéger les renseignements selon une série de normes sur la manipulation des renseignements des clients. Ces normes figurent dans une annexe du PE. De plus, un document distinct sur les normes de sécurité a été signé par les deux parties, et le PE y fait référence [Note 2]. Le présent document donne un aperçu des normes touchant l'administration, le personnel, les équipements et la sécurité des communications de renseignements.

Les PE sur l'échange de renseignements signés depuis 2001 contiennent généralement une clause qui prévoit que les deux parties effectueront des vérifications internes périodiques de l'utilisation, de la communication et de la sécurité des renseignements échangés entre eux. Les vérifications doivent se dérouler dans les deux ans de la date d'entrée en vigueur du PE et, par la suite, au moins une fois tous les cinq ans. L'inclusion de la clause relative à la vérification interne faisait partie de l'initiative de la Direction générale des stratégies d'entreprise et du développement des marchés visant à renforcer les dispositions sur la sécurité et la confidentialité des renseignements sur les clients des PE existants prévoyant l'échange de renseignements confidentiels sur les clients. En vertu des conditions du PE, le rapport de vérification interne sera transmis à la Province du Nouveau-Brunswick.

Objectif de la vérification

La vérification avait pour objectif de donner l'assurance que l'ARC observe les conditions régissant l'utilisation, la communication et la sécurité des renseignements reçus du NB. La vérification a été demandée par la Direction générale des stratégies d'entreprise et du développement des marchés dans le cadre d'une série de vérifications obligatoires visant à assurer le respect des conditions des PE.

La portée de la vérification a inclus la Direction générale des services de cotisation et de prestations (Section du support des programmes d'inscription des entreprises), la Direction générale des stratégies d'entreprise et du développement des marchés (Division des relations provinciales et territoriales) et le Centre fiscal de Summerside (Services du numéro d'entreprise). La vérification a eu lieu durant l'exercice 2005-2006, et elle a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations

Utilisation et communication des renseignements

En vertu de ce PE, l'ARC doit utiliser les renseignements aux seules fins d'administrer et d'appliquer la Loi de l'impôt sur le revenu et la Loi sur la taxe d'accise. Les renseignements ne peuvent être communiqués à des tiers que dans le respect des conditions du PE.

Une grande partie de ces données est disponible au grand public par le biais du Registre des affaires corporatives de Services Nouveau-Brunswick. Par conséquent, une vérification limitée a été exécutée dans ce domaine, puisque les risques et les conséquences d'une utilisation et d'une communication inappropriées ne seraient pas significatifs. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles prévues.

L'ARC utilise les renseignements fournis par le NB pour attribuer un NE à une entreprise au NB. Les renseignements que reçoit l'ARC comprennent la raison sociale de l'entreprise, son adresse et le nom du ou des propriétaires. L'ARC tient environ 50 000 comptes au nom du NB, ce qui représente moins de 1 % des comptes actifs du Répertoire gouvernemental des entreprises. Une grande partie des entreprises liées à ces comptes ont aussi des comptes avec l'ARC (par ex., des comptes de TPS/TVH, d'impôt des sociétés ou de retenues salariales). Par conséquent, les renseignements de base des comptes de NE sont identiques pour les programmes de l'ARC et du NB. Ainsi, le risque est minime pour que des renseignements spécifiques au NB soient communiqués en dehors des conditions du PE.

Des interviews menées auprès de la Direction générale des services de cotisation et de prestations (Section du support des programmes d'inscription des entreprises) et au Centre fiscal de Summerside ont confirmé que les renseignements reçus du NB sont utilisés uniquement pour attribuer un NE et qu'ils ne sont jamais communiqués en dehors des conditions du PE. Un exemple de communication serait un cas où le NB envoie un message à l'ARC pour l'informer d'un changement de nom d'une entreprise du NB. Ces renseignements seraient alors mis à jour dans le système du NE, puis communiqués à tous les systèmes légalement admis à recevoir les renseignements, y compris les autres provinces ayant adopté le service d'enregistrement des numéros d'entreprise qui se trouveraient touchées par le changement.

Les personnes interviewées au Centre fiscal de Summerside ont dit ne pas être au courant d'incidents de sécurité relatifs aux renseignements reçus du NB. En outre, la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration a indiqué qu'aucun incident de sécurité n'avait été signalé concernant les renseignements reçus en vertu du PE. Les contrôles en place concernant la sensibilisation à la sécurité des employés (sujet repris plus loin dans le présent rapport) aident aussi à renforcer et à améliorer l'observation des conditions relatives à l'utilisation et à la communication des renseignements.

Sécurité et protection des renseignements

Le PE conclu avec le NB contient une annexe qui décrit les normes de sécurité de l'ARC pour la manipulation des renseignements protégés des clients. En outre, un document contenant les normes de sécurité pour l'ARC et les organismes non fédéraux sur la protection de l'information a été signé par l'ARC et le NB. Dans l'ensemble, les deux documents portent sur plus de 30 de normes de sécurité relatives à la gestion, au stockage et à la destruction des renseignements.

La Vérification interne a effectué une évaluation des risques pour déterminer les risques les plus significatifs concernant les renseignements reçus du NB. La Division de la sécurité de l'information de la Direction générale des finances et de l'administration a également donné des avis d'expert durant l'évaluation des risques. Sur la base de l'évaluation, nous avons examiné les contrôles dans les domaines suivants :

Gestion des privilèges d'accès des usagers

La sécurité des renseignements confidentiels est accrue lorsque l'accès aux systèmes d'information est accordé aux seuls employés qui doivent prendre connaissance de ces renseignements pour faire leur travail. En outre, un système de contrôle de gestion des droits d'accès d'usager assure que les employés n'accumulent pas de droits d'accès lorsqu'ils changent d'emploi à l'intérieur d'un organisme. Les normes de sécurité de l'ARC exigent qu'un registre de tous les privilèges d'accès aux systèmes informatiques soit créé et actualisé pour chaque personne. De plus, le privilège d'accès d'un usager doit être actualisé et se faire révoquer ou suspendre sur-le-champ dès qu'il ne lui est plus nécessaire de l'avoir pour faire son travail. Ces normes de sécurité ont été respectées dans l'unité des Services du numéro d'entreprise (SNE) au Centre fiscal de Summerside (CFS).

Un sondage de vérification des profils d'utilisateurs des employés de l'unité des SNE du CFS a indiqué que les employés ne détenaient que les seuls profils d'accès aux ordinateurs centraux de l'ARC qui étaient compatibles avec leurs tâches. La gestion des profils d'accès des utilisateurs au CFS est appuyée par une application locale appelée Demandes de profil en direct (DPD). Le système DPD sert à identifier quels profils d'utilisateur précis sont nécessaires pour un travail particulier. Le système DPD procède aussi à la suppression automatique de droits d'accès antérieurs aux systèmes lorsqu'un employé change de poste au CFS.

L'accès aux renseignements sur les clients qui sont reçus du NB et conservés dans le système du NE est possible pour n'importe quel employé de l'ARC qui détient un profil approprié pour accéder au système du NE ou à tout autre système de l'ARC maintenu par le système du NE [Note 3]. C'est ainsi qu'une grande partie des 40 000 employés de l'ARC peuvent se trouver dans la nécessité d'accéder à ce genre de renseignements pour faire leur travail. La gestion des profils d'accès d'usager à l'ARC a été soulevée comme une problématique dans un certain nombre de rapports de vérification interne, notamment une vérification de la sécurité de la technologie de l'information menée en 2004. Par suite de ces vérifications, la Division de la sécurité de l'information de la Direction générale des finances et de l'administration a amorcé plusieurs initiatives sur les profils d'accès d'usager. La Division de la vérification interne fera un suivi de la vérification de 2004 durant l'exercice 2006-2007.

Cryptage

En vertu des conditions du PE, l'ARC et le NB conviennent que les renseignements des clients transmis par voie électronique seront cryptés. Pour obtenir un NE à l'intention d'un client, le NB envoie les renseignements à l'ARC par voie électronique au moyen d'une voie de communication protégée cryptée [Note 4]. Des renseignements peuvent aussi être échangés entre le NB et l'ARC après l'inscription d'un client. Sur la base des renseignements sur les clients ayant été reçus du NB, les SNE attribuent un NE au client si l'on est raisonnablement certain qu'il n'y a pas de double enregistrement. S'il se peut possible qu'un double enregistrement existe, un commis des SNE fait une recherche dans le système du NE et dans d'autres systèmes de l'ARC pour déterminer s'il y a duplication. Si un double enregistrement est constaté, on demande au NB de faire savoir au client quel est le bon NE. Le NB est informé du double enregistrement par un courriel crypté [Note 5]. L'observation des fichiers stockés dans un lecteur commun des SNE a confirmé qu'ils étaient cryptés. Les conditions du PE relatives au cryptage des renseignements transmis électroniquement ont été respectées.

Destruction des renseignements

En vertu des conditions décrites dans le PE, les renseignements jugés superflus pour les besoins de l'administration de programmes doivent être détruits. Les renseignements sur les comptes qui sont stockés électroniquement dans le système du NE ne sont pas détruits lorsque le compte, par exemple, a été fermé. Tous les renseignements restent dans le système du NE pour une durée indéfinie. La Direction du traitement des déclarations et des paiements des entreprises de la Direction générale des services de cotisation et de prestations a indiqué que le fait de conserver les renseignements relatifs aux comptes NE fermés peut faciliter le recouvrement des créances et la réactivation des comptes.

Le système du NE produit des rapports de travaux en cours qui s'impriment de façon automatique au Centre fiscal de Summerside sur une base quotidienne. Ces rapports sont produits lorsque le système du NE a détecté un double enregistrement possible. Une fois la recherche faite pour déterminer si un double enregistrement existe, l'imprimé contenant les renseignements sur les clients est détruit. Les fichiers électroniques qui sont envoyés par courrier électronique à Services Nouveau-Brunswick pour l'informer d'une correction à un NE sont aussi détruits sur une base régulière. L'observation de ces fichiers, contenus sur un lecteur partagé au Centre fiscal de Summerside, a indiqué qu'ils sont conservés seulement pour une durée de deux mois.

Sensibilisation à la sécurité

Les normes administratives de sécurité de l'ARC concernant l'environnement informatique et citées dans le PE conclu avec le NB comprennent ce qui suit :

La vérification n'a trouvé aucun cas dans lequel l'unité des SNE du CFS se serait écartée des normes de sécurité de l'ARC.

Dans la région de l'Atlantique, une initiative de piste de vérification a été amorcée en novembre 2005. L'initiative porte sur la sélection d'un échantillon aléatoire de codes d'usager d'employés dans la région tous les deux mois. À l'aide du Système de pistes de vérification en direct (SPVD), un enregistrement est produit pour chaque accès des employés aux comptes des contribuables dans les systèmes d'ordinateur central. Les gestionnaires sont ensuite tenus de certifier que les accès sont liés au travail. La Division de la vérification interne a examiné un échantillon d'un rapport du SPVD sur les accès aux systèmes ayant été produit pour un employé du Centre fiscal de Summerside pour janvier 2006. De plus, on a fait un examen du document attestant que tous les accès aux comptes des contribuables étaient conformes aux politiques et aux lignes directrices de l'ARC. Le document, signé par le gestionnaire de l'employé, attestait aussi que l'employé était au courant de l'examen.

Un programme de sensibilisation à la sécurité est établi à l'ARC et mis en oeuvre au niveau national et local. Le programme vise à promouvoir la sensibilisation aux politiques et aux procédures liées à la protection du personnel, des renseignements et des biens matériels de l'ARC. Au Centre fiscal de Summerside, tous les employés interviewés ont indiqué qu'ils avaient reçu une formation sur la sensibilisation à la sécurité lorsqu'ils ont commencé à travailler à l'Agence, puis de façon périodique par la suite. On discute aussi régulièrement des questions de sécurité aux réunions d'équipe et des rappels en matière de sécurité sont envoyés par courrier électronique aux employés. De plus, on a remarqué la présence d'affiches sur la sécurité pour rappeler aux employés, par exemple, de verrouiller leur ordinateur lorsqu'ils quittent leur poste de travail afin de prévenir toute communication accidentelle de renseignements confidentiels. Un contrôle complémentaire existe dans l'environnement informatique du fait que l'accès au réseau se verrouille automatiquement après dix minutes d'inactivité.

À l'échelle nationale, la Direction de la sécurité, de la gestion du risque et des affaires internes de la DGFA a lancé la séance de sensibilisation électronique interactive appelée La protection des employés, des renseignements et des biens de l'Agence, j'en fais mon affaire en février 2006, dans le cadre de la semaine de sensibilisation à la sécurité de l'ARC. La session se compose de plusieurs modules, qui portent sur des sujets comme les vérifications de sécurité du personnel, la catégorisation et la protection des renseignements, les rapports d'incidents de sécurité et l'accès aux renseignements personnels d'impôt. En outre, à des intervalles réguliers tout au long de l'année, la Direction envoie des bulletins à tous les employés de l'ARC par courrier électronique. Les bulletins portent sur une gamme de sujets relatifs à la sécurité, y compris des meilleures pratiques sur la sécurité du courrier électronique, l'accès aux systèmes de l'ARC, et la protection des codes d'usager et des mots de passe des utilisateurs.

Conclusion

Sur la base du travail de vérification que nous avons effectué, nous sommes d'avis que l'ARC se conforme aux conditions du PE régissant l'utilisation, la communication et la sécurité des renseignements reçus du NB. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles prévues ou qu'ils auraient été communiqués à qui que ce soit en dehors des conditions du PE. Les normes de sécurité sélectionnées applicables à la protection des renseignements reçus ont été respectées.

Notes

[Note 1]
Le Répertoire gouvernemental des entreprises est le dépôt central de l'ARC pour les renseignements d'entreprise utilisant le système NE pour les programmes fédéraux et provinciaux.
[Note 2]
Normes de sécurité pour l'ARC et les organismes non fédéraux sur la protection de l'information ayant trait au PE concernant le Service d'enregistrement en ligne des entreprises du Nouveau-Brunswick.
[Note 3]
Exemples de systèmes mis à jour par le système du NE : RAPID (base de données d'accès direct aux renseignements personnels pour le feuillet T1 de l'impôt sur le revenu des particuliers), le système de production de la TPS, et CORTAX (système de traitement des déclarations de revenus des sociétés).
[Note 4]
Le logiciel de cryptage utilisé est le protocole Secure Socket Layers, version 3.
[Note 5]
L'outil de chiffrement utilisé est le logiciel Entrust.

Détails de la page

Date de modification :