Protection de l'information : protocole d'entente avec le Service canadien du renseignement de sécurité

Rapport de vérification interne

Direction générale de la vérification et de l'évaluation de l'entreprise
Février 2008


Table des matières

Introduction

À l'Agence du revenu du Canada (ARC), la Direction des organismes de bienfaisance (la Direction) de la Direction générale de la politique législative et des affaires réglementaires (DGPLAR) est responsable de l'enregistrement des organismes de bienfaisance et d'assurer qu'ils observent la Loi de l'impôt sur le revenu (LIR).

L'ARC a également un mandat national en matière de sécurité relatif à l'enregistrement des organismes de bienfaisance. En décembre 2001, l'adoption de la Loi sur l'enregistrement des organismes de bienfaisance (renseignements de sécurité) (LEOBRS), conformément à la partie 6 de la Loi antiterroriste, a redéfini le rôle et l'importance de la protection de l'intégrité du système d'enregistrement des organismes de bienfaisance au Canada à l'appui des objectifs antiterroristes au pays. Le rôle de la Direction des organismes de bienfaisance est d'assurer que les organisations soupçonnées d'entretenir des liens avec des activités terroristes se voient refuser ou retirer leur statut d'organisme de bienfaisance en vertu de la LIR.

Pour l'exécution de ce mandat, la Direction utilise des renseignements secrets et classifiés obtenus d'organismes partenaires. Elle doit s'assurer que ces renseignements sont bien protégés. L'accès non autorisé à ces renseignements constituerait une infraction conformément à la Loi sur la protection de l'information.

Afin de mieux appuyer l'échange de renseignements décrit ci-dessus, l'ARC et le Service canadien du renseignement de sécurité (SCRS) ont conclu un protocole d'entente (PE) le 31 mai 2005. Le PE a pour objet « de reconnaître les mandats respectifs de l'ARC et du SCRS, et d'établir les conditions permettant l'échange de renseignements entre les parties dans le cadre de l'application de la Loi sur l'enregistrement des organismes de bienfaisance (renseignements de sécurité), de la Loi sur le Service canadien du renseignement de sécurité et de la Loi de l'impôt sur le revenu ».

Le PE exige que les deux parties veillent à ce que les procédures soient en place afin de garantir la sécurité des renseignements et de la protéger de toute autre divulgation. L'ARC doit s'assurer que tous les renseignements reçus en vertu du PE seront protégés selon les conditions et les procédures générales qui se conforment à la Politique du gouvernement sur la sécurité et aux normes opérationnelles afférentes à chaque organisme. De plus, les modalités du PE exigent que l'ARC effectue des vérifications internes périodiques de la protection de l'information.

La protection des renseignements classifiés est établie dans ce PE, ainsi que dans un certain nombre de documents importants, y compris la Loi sur la protection de l'information, la Politique du gouvernement sur la sécurité (PGS) et le Manuel des finances et de l'administration (MFA) de l'ARC. Établie par le Secrétariat du Conseil du Trésor (SCT) du Canada, la PGS prescrit l'application de mesures de sauvegarde dans le but de réduire le risque de préjudice et de préserver la confidentialité des biens, y compris l'information. Le MFA de l'ARC énonce également les politiques et une orientation concernant la protection des biens, y compris la sensibilisation à la sécurité, les enquêtes de sécurité, la sécurité matérielle et la sécurité de la technologie de l'information (TI). Le document comprend également des politiques et des lignes directrices sur le traitement, la conservation, la transmission et la destruction des renseignements de nature délicate.

Portée de la vérification

La vérification avait pour objet de déterminer si l'ARC respectait les exigences qui régissent la réception, l'utilisation, la protection, la conservation et la destruction des renseignements reçus du SCRS, conformément au PE signé le 31 mai 2005.

La vérification était effectuée au sein de la Direction des organismes de bienfaisance de la Direction générale de la politique législative et des affaires réglementaires (DGPLAR) de l'ARC. Il y avait aussi des entrevues auprès des représentants de la Direction générale des finances et de l'administration (DGFA), la Direction générale de l'informatique (DGI) et la Direction générale des stratégies d'entreprise et du développement des marchés (DGSEDM). La phase d'examen s'est déroulée de juin à décembre 2007. Les renseignements reçus du SCRS pour la période allant de janvier 2006 à avril 2007 ont été incorporés dans l'examen.

La vérification a respecté les Normes internationales pour la pratique professionnelle de l'audit interne.

Observations

La vérification a confirmé que les renseignements reçus du SCRS ont été protégés de façon adéquate. Le secteur de programme a observé les politiques, les procédures, les lois et règlements en matière de protection de l'information reçue du SCRS. La vérification a révélé un niveau élevé de sensibilisation et une bonne compréhension de la législation, des politiques, des procédures et des pratiques exemplaires parmi les employés du programme. Rien ne semblait indiquer que l'information était utilisée à des fins autres que l'exécution et l'administration de la LEOBRS et de la LIR ou qu'elle ait été divulguée à une autre entité. De plus, la vérification a confirmé que des mesures de contrôle préventives ont été mises en œuvre en ce qui a trait à la conservation et à la protection de l'information reçue.

Les entrevues menées auprès des représentants de la Direction des organismes de bienfaisance, de la Direction de la sécurité de la Direction générale des finances et de l'administration, et de la Division des services de sécurité des TI ont révélé qu'il existait un niveau élevé de connaissances liées aux protocoles et aux normes de sécurité. La Direction a investi de manière significative dans des installations et une infrastructure de la TI sécurisées pour les activités de programme. Les employés et les gestionnaires qu'on avait interviewés du secteur de programme visé avaient obtenu les cotes de sécurité appropriées et valides; le droit d'accès sélectif et avaient reçu une formation sur la sensibilisation à la sécurité.

Un spécialiste principal en sécurité des TI ayant beaucoup d'expérience en matière de sécurité a été engagé afin de fournir des services liés à l'identification, au développement, à la documentation, à la conservation et à la mise en œuvre de tous les aspects de sécurité relatifs à l'environnement de la TI et opérationnel du secteur de programme, y compris les Procédures normales d'exploitation (PNE) concernant les protocoles de sécurité.

Des visites sur les lieux, un examen des documents à l'appui et des entrevues ont démontré que les mesures de contrôle sont en place afin d'assurer un environnement sécurisé et approuvé. Ces mesures de contrôle respectent la PGS, les normes de sécurité afférentes et le MFA de l'ARC. Par exemple, afin de satisfaire à l'exigence préalable relative à la conservation des renseignements classifiés dans des zones sécurisées appropriées, la Direction a effectué des évaluations de la menace et des risques appropriées et documentées pour ses installations. La GRC a effectué son propre examen des installations. Des visites des bureaux de la vérification interne et des mises à l'épreuve ont confirmé que l'accès physique aux renseignements classifiés était restreint au moyen de points d'entrée sélectifs. Les renseignements étaient conservés selon les normes de sécurité du SCRS et situés dans les zones sécurisées appropriées. En plus d'un environnement sécuritaire, l'équipe de vérification a constaté que les employés avaient reçu des directives claires relatives à la protection de l'information et qu'ils respectaient les procédures d'exploitation.

Les renseignements reçus du SCRS pour la période visée par l'examen ont été déterminés, saisis, conservés et surveillés de façon appropriée. Une revue complète des dossiers de renseignements reçus au cours de la période allant de janvier 2006 à avril 2007 a été effectuée. Les dossiers qui contiennent des renseignements classifiés ont fait l'objet d'un contrôle rigoureux et ont été surveillés de façon appropriée. Les normes de sécurité exigent que les renseignements classifiés soient conservés dans un classeur fermé à clé approuvé aux fins de sécurité ou dans un coffre-fort qui figure sur la liste sécuritaire du Guide d'équipement de sécurité de la GRC, et situés dans une zone de sécurité ou dans une zone à sécurité élevée. Les visites sur les lieux ont confirmé que la conservation des renseignements reçus du SCRS était adéquate. De plus, tout renseignement classifié dans le secteur de programme était stocké dans le réseau « classifié » sécurisé.

Le PE énonce que les renseignements fournis en vertu du PE « seront conservés pour la période minimale requise en vertu du paragraphe 6(1) de la Loi sur la protection des renseignements personnels et des politiques administratives du gouvernement du Canada. Par la suite, ils doivent être immédiatement détruits ou retournés à l'autre partie ». À ce jour, aucun renseignement classifié reçu de la GRC n'a été autorisé à être détruit.

Toutefois, l'équipe de vérification a constaté une section, ayant trait à la formulation dans le PE, qui devrait être clarifiée. La clause 15 de la section du PE intitulée « Confidentialité et sécurité des renseignements » prévoit que les renseignements que l'ARC recevra du SCRS « doivent être considérés comme des renseignements confidentiels ». Étant donné que les renseignements reçus du SCRS sont désignés « classifiés », l'énoncé ne donne pas de directives appropriées et pourrait prêter à confusion quant au niveau de protection approprié des renseignements reçus du SCRS.

Recommandation

À la prochaine mise à jour du PE, il faudrait réviser la clause 15 afin d'y indiquer que les renseignements reçus du SCRS devraient être considérés comme des renseignement classifiés. Le PE devrait également fournir des directives spécifiques quant à la protection des renseignements classifiés. Veuillez noter que ces directives se trouvent actuellement dans le MFA et le Guide de norme de classification de sécurité de l'information dans le site InfoZone de la Division de la politique de l'information et de la gouvernance. Cette mesure donnera la certitude à l'ensemble des parties que l'information reçue du SCRS est protégée conformément aux lignes directrices sur la protection des renseignements classifiés.

Plan d'action

1. La Direction des organismes de bienfaisance travaillera avec la Division des relations fédérales et provinciales/territoriales, Direction des relations avec les clients, de la Direction générale des stratégies d'entreprise et du développement des marchés afin d'établir un échéancier pour réviser les PE existants.

2. Pour la préparation de la nouvelle rédaction de ces PE, la Direction des organismes de bienfaisance, de la DGPLAR, se chargera, au plus tard le 30 septembre 2008, d'avoir :

Conclusion

L'ARC a mis en place des mesures de sécurité appropriées en vue de la protection de l'information reçue du SCRS. La présente vérification a révélé que l'ARC respecte les exigences qui régissent la réception, l'utilisation, la protection et la conservation des renseignements reçus du SCRS et qu'elle observe le PE signé le 31 mai 2005. L'information reçue a été traitée conformément à la législation, aux politiques et aux procédures afférentes.

Détails de la page

Date de modification :