Renseignements reçus en vertu du protocole d'entente signé avec la province du Manitoba concernant l'inscription conjointe des entreprises

Rapport final

Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2008

Table des matières

• Sommaire
• Introduction
• Portée de la vérification
• Observations
  • 1.0 Utilisation et échange des données
    • 1.1  Utilisation des données
    • 1.2  Échange des données
  • 2.0 Protection des renseignements
    • 2.1  Gestion des privilèges d’accès des utilisateurs
    • 2.2  Chiffrement des renseignements transmis
    • 2.3  Destruction des renseignements
    • 2.4  Sensibilisation à la sécurité
• Conclusion

Sommaire

Contexte : L’Agence du revenu du Canada (ARC) signe des protocoles d’entente (PE) et d’autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans l’exécution des programmes. Lorsqu’elle échange des renseignements confidentiels avec ces entités, l’ARC négocie des PE afin que les deux parties soient au courant des prescriptions juridiques et des exigences de la politique liées à l’utilisation et à la sécurité des renseignements, et les respectent. L’intégration de clauses de vérification interne réciproques dans les PE faisait partie d’une initiative de la Direction générale des stratégies d’entreprise et du développement des marchés (DGSEDM) afin d’assurer que les deux parties s’échangeant des renseignements respectent ces dispositions.

La présente vérification portait sur les renseignements reçus par l’ARC en vertu d’un PE signé le 12 décembre 2003 avec la province du Manitoba concernant l’inscription conjointe des entreprises. Le PE avait pour objet d’exposer le cadre administratif que l’ARC et le Manitoba devront utiliser afin de simplifier la manière dont les entreprises peuvent s’inscrire auprès des gouvernements fédéral et provincial. L’ARC et le Manitoba échangent des renseignements tels que la dénomination sociale, l’adresse des entreprises et le nom de leur propriétaire.

Objectif : La vérification avait pour objet, comme on l’énonce dans le PE, de confirmer que l’ARC a observé les conditions qui régissent l’utilisation, la communication à des tiers et la sécurité des renseignements reçus du Manitoba concernant l’inscription conjointe des entreprises.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Conclusion : Selon le travail de vérification effectué, l’ARC observe les conditions qui régissent l’utilisation, la communication à des tiers et la sécurité des renseignements reçus du Manitoba concernant l’inscription conjointe des entreprises. Rien n’indique que l’ARC a demandé des renseignements supplémentaires au-delà de ce que le Manitoba a fourni normalement, et des contrôles ont été mis en place afin de s’assurer du respect des normes de sécurité visant à protéger les renseignements reçus du Manitoba. Selon l’analyse de vérification et les entrevues menées dans le cadre de cette vérification, il n’y a aucune preuve que les renseignements sur les numéros d’entreprise (NE) ont été utilisés ou échangés hors du champ d’application des conditions du PE.

INTRODUCTION

L’Agence du revenu du Canada (ARC) signe des protocoles d’entente (PE) et d’autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans l’exécution des programmes. La présente vérification portait sur les renseignements reçus par l’ARC en vertu d’un PE signé le 12 décembre 2003 avec la province du Manitoba concernant l’inscription conjointe des entreprises.

Le PE avait pour objet d’exposer le cadre administratif que l’ARC et le Manitoba devront utiliser afin de simplifier la manière dont les entreprises peuvent s’inscrire auprès de multiples ordres de gouvernement. L’inscription simplifiée des entreprises est l’un des objectifs stratégiques de l’ARC visant à renforcer les partenariats avec les provinces et les territoires.

À l’aide d’un seul numéro d’entreprise (NE), lequel est attribué par l’ARC, les comptes des entreprises sont enregistrés auprès des gouvernements fédéral et provincial. L’inscription est effectuée par diverses voies de service, y compris Internet, le courrier, le téléphone ou le service au comptoir. Les renseignements sur l’inscription sont ensuite envoyés par voie électronique à l’ARC à l’aide du système d’inscription de la province appelé Liaisons entreprises Manitoba, qui est relié électroniquement au Répertoire gouvernemental des entreprises.

Le Manitoba fournit les renseignements requis par l’ARC afin de créer un compte de NE. Les renseignements sur le compte sont conservés dans le Répertoire gouvernemental des entreprises de l’ARC, qui contient 4 998 231 clients actifs. L’ARC tient 187 111 comptes de NE du Manitoba, ce qui représente 4 % du nombre total des comptes dans le répertoire.

Les renseignements sur les inscrits sont communiqués entre l’ARC et le Manitoba afin de faciliter l’inscription des entreprises aux programmes gouvernementaux et de tenir à jour les renseignements sur ces entreprises. L’Unité des services de numéro d’entreprise (SNE) au Centre fiscal de Winnipeg (CFW) conserve les renseignements de base concernant le compte de NE du Manitoba tenus par l’ARC.

Dans le cadre du PE que l’ARC et le Manitoba ont signé, ils ont convenu de suivre les procédures exposées relativement à la sécurité, à la communication à des tiers et à l’utilisation des renseignements échangés. Un document distinct de normes de sécurité [Note 1], auquel on se rapporte dans le PE, a également été signé par les deux parties. Ce document expose les normes sur l’administration, le personnel, les communications, les logiciels et la sécurité liée aux opérations ainsi que les normes matérielles.

Depuis 2001, la Direction générale des stratégies d’entreprise et du développement des marchés (DGSEDM) inclut, là où il convient, des clauses de vérification interne réciproques dans les PE afin de s’assurer de la sécurité des renseignements échangés entre les parties. Depuis 2006, des vérifications internes de PE sur les NE concernant l’échange de renseignements des entreprises entre l’ARC et diverses provinces sont effectuées. Cette vérification devait assurer que l’ARC respecte la manipulation de renseignements propres au PE sur les NE, signé avec le Manitoba. Aux termes du PE, la DGSEDM fournira le présent rapport de vérification interne au chef des opérations de l’Office des compagnies du ministère des Finances du Manitoba.

PORTÉE DE LA VÉRIFICATION

La vérification avait pour objet, comme on l’énonce dans le PE, de confirmer que l’ARC a observé les conditions qui régissent l’utilisation, la communication à des tiers et la sécurité des renseignements reçus du Manitoba concernant l’inscription conjointe des entreprises.

La portée de la vérification comprenait les examens effectués dans les organisations suivantes : la Section de soutien des programmes d’inscription des entreprises (SPIE), à la Direction générale des services de cotisation et de prestations (DGSCP); la Division des affaires provinciales et territoriales (DAPT), à la DGSEDM; la Direction générale de l’informatique (DGI); la Direction générale des finances et de l’administration (DGFA); l’unité des SNE, la Technologie de l’information (TI) et la Sécurité, au Centre fiscal de Winnipeg (CFW). La vérification a été effectuée de janvier 2008 à mai 2008.

L’assurance afférente aux contrôles de la technologie de l’information de l’ARC et aux autres contrôles était fondée sur de récents travaux de vérification, y compris le Suivi de la sécurité de la TI, commencé en 2007, et les vérifications menées en 2006 quant aux renseignements sur les NE échangés en vertu du PE entre l’ARC et les provinces de la Colombie-Britannique, de l’Ontario et du Nouveau-Brunswick.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Observations

1.0 Utilisation et échange des données

1.1  Utilisation des données

Selon le PE, le Manitoba transmet les renseignements sur les NE à l’ARC, qui les utilise ensuite aux fins d’administration de la Loi de l’impôt sur le revenu (LIR) et de la Loi sur la taxe d’accise (LTA). Les renseignements que reçoit l’ARC comprennent la dénomination sociale, l’adresse des entreprises et le nom de leur propriétaire. L’ARC utilise les renseignements fournis par la province du Manitoba afin d’attribuer un NE à une entreprise. Les renseignements de base liés aux comptes de NE sont les mêmes pour les programmes de l’ARC et du Manitoba. Les entreprises peuvent également détenir d’autres comptes de l’ARC, tels que ceux de la taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH), d’impôt sur le revenu des sociétés ou de retenues sur la paie. Une fois que les données sur les NE du Manitoba sont entrés dans les systèmes centraux de l’ARC, n’importe quel employé de l’ARC, dans l’ensemble du Canada, qui possède un profil d’accès aux systèmes du NE peut y accéder.

Rien ne démontre que les renseignements que le Manitoba a fournis à l’ARC ont été utilisés à des fins autres que celles prévues. Les employés interrogés au CFW ont déclaré que les renseignements reçus du Manitoba ne servaient qu’à inscrire conjointement des entreprises.

La Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI), à la DGFA, et les gestionnaires de programme et de sécurité interrogés au CFW n’ont pas eu connaissance d’incidents de sécurité liés aux données sur les NE reçues du Manitoba dans le cadre du PE.

Des contrôles administratifs ont été mis en place pour s’assurer que les employés sont au courant que les renseignements auxquels ils accèdent ne doivent servir qu’à des fins liées au travail. Selon les éléments de preuve, tous les employés de l’Unité des SNE, au CFW, ont signé des documents (c.-à-d. Code de déontologie et de conduite, et Autorisation d’accès à l’information d’ordinateur) qui décrivent à quoi l’ARC s’attend d’eux relativement à la protection des renseignements de nature délicate et à leur conduite proprement dite.

Le PE expose les mesures qui devraient être prises si l’ARC souhaite demander des renseignements supplémentaires allant au-delà de ce que le Manitoba doit normalement fournir en vertu de l’appendice A du PE. La DAPT, à la DGSEDM, a indiqué qu’au 11 février 2008, l’ARC n’avait pas demandé de renseignements supplémentaires pour ses propres besoins.

1.2  Échange des données

Aux termes du PE, la divulgation des renseignements sur les NE du Manitoba par l’ARC doit être effectuée conformément à la LIR, à la Loi sur la protection des renseignements personnels et à la Loi sur l’accès à l’information. Par exemple, lorsque le Manitoba envoie un message à l’ARC afin d’aviser d’un changement de dénomination sociale d’une société du Manitoba, ces renseignements sont mis à jour dans le système du NE, puis communiqués à tous les systèmes autorisés en droit de recevoir les renseignements.

Il n’y a aucune preuve que les renseignements ont été communiqués ou divulgués à des fins autres que celles que prévues. Selon l’observation sur place des employés au CFW et l’analyse des procédures effectuée par la Vérification interne, les renseignements qu’envoie le Manitoba ne sont utilisés que pour attribuer un NE et inscrire conjointement une entreprise.

2.0  Protection des renseignements

Le PE et le document intitulé Normes de sécurité – Protection des renseignements par l’ARC et les organismes non fédéraux exposent les exigences en matière de renseignements protégés. Globalement, les deux documents se reportent à plus de 30 normes de sécurité pour la manipulation, le stockage, l’échange et l’élimination des renseignements.

Une évaluation des risques a été effectuée afin de déterminer les risques les plus importants liés à la protection des données reçues du Manitoba. Les contrôles de gestion suivants ont été mis en place afin d’atténuer les principaux risques :

• gestion des privilèges d’accès des utilisateurs;
• chiffrement des renseignements transmis;
• destructiondes renseignements;
• sensibilisation à la sécurité.

Des sondages de la vérification ont été menés sur ces quatre contrôles de gestion. Selon ces sondages, l’ARC observe ces normes de sécurité.

2.1  Gestion des privilèges d’accès des utilisateurs

La sécurité des renseignements confidentiels des clients est accrue si leur accès est accordé aux employés seulement lorsque les renseignements sont nécessaires dans le cadre de leurs fonctions. Les normes de sécurité de l’ARC nécessitent qu’un dossier des privilèges d’accès aux systèmes soit créé et tenu pour chaque personne. De plus, selon ces normes, les privilèges d’accès des utilisateurs doivent être à jour et être révoqués ou suspendus immédiatement lorsque l’accès qui permet d’assumer des fonctions assignées n’est plus nécessaire.

La gestion des profils d’accès aux systèmes à l’ARC a été désignée comme une préoccupation dans un certain nombre de rapports de vérification interne, y compris une vérification sur la sécurité de la technologie de l’information, menée en 2004. Pour faire suite à ces vérifications, la Division de la sécurité de l’information, à la DGFA, travaille actuellement à définir plus précisément les exigences en matière d’accès pour diverses activités de travail. On prévoit que le projet sera terminé d’ici la fin de 2008. La Direction générale de la vérification et de l’évaluation de l’entreprise (DGVEE) a entrepris une vérification de suivi sur la vérification interne de 2004 concernant la sécurité de la technologie de l’information dans laquelle on examinera les progrès réalisés dans le cadre de ce projet.

Les renseignements sur l’inscription des entreprises reçus du Manitoba et tenus dans le système du NE, ou tout autre système de l’ARC [Note 2] qui a été mis à jour par le système du NE, sont accessibles par un employé de l’ARC qui détient un profil d’accès aux systèmes approprié. Selon les sondages de la vérification et les entrevues auprès des employés du CFW, un processus permettant d’accorder des profils d’accès aux systèmes a été mis en place. On a trouvé des profils d’accès aux systèmes pour tous les emplois et on les a affichés dans le site Web local. Dans le cadre d’un examen sur les profils d’employés des SNE, on a vérifié si leur profil correspondait à ceux figurant dans le site Web. De plus, dans un examen sur les employés qui ont déjà travaillé à l’Unité des SNE, on a indiqué qu’aucun d’entre eux n’a conservé le profil des SNE après son départ.

Selon les examens de documents et les entrevues auprès des employés, l’usage du système fait l’objet d’une surveillance. Les examens du Système de pistes de vérification en direct (SPVD) sont effectués chaque mois, les examens de qualité locaux sont continuellement réalisés et les profils d’accès sont examinés tous les ans. La DSGRAI, à la DGFA, a également confirmé qu’elle disposait de pistes de vérification pour faire le suivi de la manière dont les renseignements étaient utilisés.

2.2  Chiffrement des renseignements transmis

Dans le cadre du PE, l’ARC et le Manitoba ont convenu que tous les renseignements transmis par voie électronique entre les deux organisations devaient être chiffrés. La DSGRAI a confirmé que, lorsque le Manitoba transmet des renseignements à l’ARC au moyen du Système de messagerie du NE, les renseignements sont chiffrés. Ils le sont également lorsque les entreprises s’inscrivent en ligne à l’aide du Système d’inscription du NE destiné au public NE.

La DSGRAI, à la DGFA, et la DGI ont approuvé les évaluations de la menace et des risques (EMR) de ces deux systèmes. Dans le cadre des EMR, on a cerné des menaces éventuelles, la probabilité que les menaces se concrétisent et les conséquences possibles, mais on n’a pas relevé de secteurs de risque résiduels élevés, en raison de l’existence des mesures de sécurité, telles que le chiffrement.

Les observations et les entrevues auprès des employés du CFW ont démontré que les renseignements échangés entre le Manitoba et l’Unité des SNE étaient chiffrés à l’aide d’Entrust, le logiciel standard de chiffrement des courriels de l’ARC. Selon les observations et les entrevues auprès des employés de l’Unité des SNE, rien n’indique que les données sur les NE ont été communiqués par courriel à d’autres membres de l’équipe ou que ces données avaient été stockées sur des lecteurs partagés.

2.3  Destruction des renseignements

Selon les normes de sécurité de l’ARC, tous les renseignements doivent être retournés ou détruits lorsqu’ils ne sont plus nécessaires. On indique également dans le PE que les renseignements que reçoit l’ARC du Manitoba qui ne sont pas requis ou qui sont considérés comme excédentaires pour l’administration de l’observation ou des programmes doivent être retournés ou détruits dans les 60 jours après la détermination.

Les entrevues auprès des gestionnaires de la DGSCP et des employés de l’Unité des SNE ont indiqué que les renseignements sur les comptes de NE saisis dans les systèmes de l’ARC ont été conservés en permanence aux fins de l’administration et de l’exécution de la LIR et de la LTA. Par exemple, la Direction du traitement des déclarations et des paiements des entreprises (DTDPE), à la DGSCP, a indiqué que la conservation des renseignements sur les comptes de NE fermés pourrait faciliter le recouvrement des dettes et la réactivation des comptes. Les employés de l’Unité des SNE ont également dit que, jusqu’à maintenant, ils n’avaient pas reçu de renseignements qui ne leur étaient pas nécessaires ou qui étaient considérés comme excédentaires. Les données transitoires sur les NE qu’ils reçoivent sous forme de télécopies ou de courriels sont détruites après qu’ils les ont saisies dans les systèmes de l’ARC.

Le système du NE, à Ottawa, génère également tous les jours des rapports de travaux en cours, qui sont automatiquement imprimés à l’Unité des SNE, au CFW. Ces rapports sont créés lorsque que le système du NE détecte une possible inscription en double d’une entreprise. Selon les observations et les entrevues auprès des employés de l’Unité des SNE, ces rapports sont analysés, puis sont normalement déchiquetés au cours de la journée.

2.4  Sensibilisation à la sécurité

Selon les examens de documents, les observations sur place et les entrevues auprès du personnel, les employés de l’Unité des SNE, à l’ARC, sont au courant des normes liées à la sécurité de ces renseignements. Des initiatives de sensibilisation à la sécurité sont en place à l’ARC et sont exécutées à l’échelle nationale et locale. Ces initiatives permettent de sensibiliser les employés aux politiques et aux procédures liées à la protection du personnel, des renseignements et des biens physiques de l’ARC. Toutes les personnes sélectionnées pour les entrevues à l’Unité des SNE ont affirmé avoir reçu une séance de sensibilisation à la sécurité lorsqu’elles se sont jointes à l’Agence et périodiquement par la suite. Les employés reçoivent régulièrement par courriel des rappels à l’échelle nationale sur la sécurité.

Conclusion

Selon le travail de vérification effectué, l’ARC observe les conditions qui régissent l’utilisation, la communication à des tiers et la sécurité des renseignements reçus du Manitoba concernant l’inscription conjointe des entreprises. Rien n’indique que l’ARC a demandé des renseignements supplémentaires au-delà de ce que le Manitoba a fourni normalement, et des contrôles ont été mis en place afin de s’assurer du respect des normes de sécurité visant à protéger les renseignements reçus du Manitoba. Selon l’analyse de vérification et les entrevues menées dans le cadre de cette vérification, il n’y a aucune preuve que les renseignements sur les NE ont été utilisés ou échangés hors du champ d’application des conditions du PE.

Notes