Renseignements reçus en vertu du protocole d'entente signé avec la Workers' Compensation Board of British Columbia

Rapport final

Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2008


Table des matières

Sommaire

Contexte : L’Agence du revenu du Canada (ARC) signe des protocoles d’entente (PE) et d’autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans la prestation des programmes. Lorsqu’elle échange des renseignements confidentiels avec ces entités, l’ARC négocie des PE afin que les deux parties aient une sensibilisation accrue des prescriptions juridiques et des exigences de la politique liées à l’utilisation et à la sécurité des renseignements. L’intégration de clauses de vérification interne réciproques dans les PE faisait partie d’une initiative de la Direction générale des stratégies d’entreprise et du développement des marchés afin d’assurer que les deux parties respectent ces dispositions.

La présente vérification traitait des renseignements reçus par l’ARC en vertu du PE avec la Workers’ Compensation Board of British Columbia (la WCB of BC) signé et entré en vigueur le 13 juillet 2005. Le but de ce PE est de partager des données permettant d’identifier les employeurs qui n’observent pas l’administration de la WCB ou la législation de l’ARC. L’ARC et la WCB of BC s’échangent des renseignements relatifs à la paie déclarée par leurs clients respectifs, ainsi que des renseignements sur les employeurs et leur inscription.

Objectif : La vérification avait pour objet de confirmer que l’ARC observe les conditions qui régissent l’utilisation, la communication, la protection, le stockage et la destruction des renseignements reçus de la WCB of BC, conformes au PE.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Conclusion : Selon les travaux de vérification effectués, l’ARC observe de façon générale les conditions qui régissent l’utilisation, la communication, la protection, le stockage et la destruction des renseignements fournis par la WCB of BC, conformes au PE. La Vérification interne a conclu que quatre composantes de l’approche devraient être améliorées afin d’assurer l’observation continu du PE.

Il n’y avait aucune preuve que les renseignements de la WCB ont été utilisés à des fins autres que celles prévues ou divulgués à un tiers en dehors des conditions du PE.

Cependant, on a pas tenu de registre des dates où l’accès au système a été révoqué ou retiré provisoirement; il ne peut donc être vérifié qu’on a tenu à jour et immédiatement révoqué ou retiré provisoirement l’accès de l’utilisateur au Programme d’identification des inscrits (PII) du Centre fiscal (CF) de Surrey lorsque cet accès n’était plus nécessaire dans le cadre des fonctions assignées.

La vérification a permis de conclure que les renseignements de la WCB étaient conservés sur des lecteurs partagés, dans certaines sections de la Direction générale des services aux contribuables et de la gestion des créances et de la Direction générale de l’informatique, auxquels ont accès les employés de l’ARCde ces secteurs qui ne participent pas au projet de la WCB. De plus, les Bureaux de services fiscaux (BSF) de la région du Pacifique n’ont reçu aucun renseignement pour compléter les procédures établies de l’ARC quant aux périodes de rétention des données et aux méthodes appropriées pour les effacer. En outre, la méthode d’effacement des données précisée dans le PE ne s’avère pas pratique pour supprimer des fichiers et des dossiers individuels du disque dur ou du serveur.

Plan d’action : La direction est entièrement d’accord avec les constations et prévoit les aborder de la manière suivante.

Gestion de l’accès des utilisateurs

À compter du 18 juillet 2008, on documentera le contrôle de l’accès au système du PII au moyen d’une feuille de calcul protégée par un mot de passe avec accès limité. Le chef d’équipe et/ou le remplaçant activera, retirera provisoirement et/ou annulera les privilèges d’accès, et enregistrera immédiatement cette activité dans la feuille de calcul, de même qu’il effectuera un examen trimestriel de ces privilèges.

Renseignements stockés sur des lecteurs partagés

La Section d’occasions de partenariat (SOP) a élaboré un Guide de référence, lequel comprend une section qui porte sur le PE, pour le personnel des secteurs de programme qui utilisent les données de la WCB. Ce guide sera disponible aux fins de formation de tout le personnel de chaque projet et sera partagé avec tous les utilisateurs des données de la WCB. La SOP terminera la distribution de la section appropriée du Guide de référence au plus tard le 31 décembre 2008. La SOP distribuera des exemplaires du Guide de référence à tous les intervenants autorisés de partenaires actuels, à venir et éventuels.

Période de rétention

La SOP résumera les renseignements sur la période de rétention dans une note de service destinée à tous les intervenants internes d’ici le 30 septembre 2008. Les renseignements de cette note de service seront ajoutés au Guide de référence dont la SOP renforce actuellement.  

Méthodes d’effacement des données

La SOP a discuté des méthodes acceptables actuelles d’effacement des renseignements stockés électroniquement avec la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI) de la Direction générale des finances et de l’administration (DGFA), et avec la Direction générale de l’informatique (DGI). Au Guide de référence, la SOP ajoutera une liste de contrôle des renseignements importants relativement à la sécurité des données. Cette section du guide sera disponible à tous les intervenants autorisés d’ici le 31 décembre 2008.

Pour les PE à venir, d'ici le 30 septembre 2008, la Division des affaires provinciales-territoriales discutera des méthodes d'effacement des fichiers avec la Direction de la sécurité, de la gestion du risque et des affaires internes et recommandera une modification du tableau des exigences en matière de sécurité.

Introduction

L’Agence du revenu du Canada (ARC) signe des protocoles d’entente (PE) et d’autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans la prestation des programmes. Lorsqu’elle échange des renseignements confidentiels avec ces entités, l’ARC négocie des PE afin que les deux parties soient au courant des prescriptions juridiques et des exigences de la politique liées à l’utilisation et à la sécurité des renseignements, et les respectent. L’intégration de clauses de vérification interne réciproques dans les PE faisait partie d’une initiative de la Direction générale des stratégies d’entreprise et du développement des marchés (DGSEDM) afin d’assurer que les deux parties respectent ces dispositions. 

La présente vérification traitait des renseignements reçus par l’ARC en vertu du PE avec la Workers’ Compensation Board of British Columbia (la WCB of BC) signé et entré en vigueur le 13 juillet 2005. Le but de ce PE est de partager des données permettant d’identifier les employeurs qui n’observent pas l’administration de la WCB ou la législation de l’ARC. L’ARC et la WCB of BC s’échangent des renseignements relatifs à la paie déclarée par leurs clients respectifs, ainsi que des renseignements sur les employeurs et leur inscription. Il y a eu deux échanges de renseignements entre l’ARC et la WCB of BC en vertu de ce PE, un qui a été reçu par l’ARC en 2005 et l’autre en 2007.

D’après le PE, l’ARC entreprend une analyse des écarts d’inscription et des activités d’observation. Les disques compacts (CD) initiaux sont reçus par la Section d’occasions de partenariat (SOP) à la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC). La SOP transfère les CD à la Direction générale de l’informatique (DGI) pour traitement. La DGI produit deux rapports d’exception, lesquels sont renvoyés à la SOP. L’un de ces rapports d’exception est destiné à la WCB of BC et est remis au partenaire en vertu du PE. Par la suite, les données du rapport de l’ARC sont livrées au Centre fiscal de Surrey (CF de Surrey) où le personnel mène des analyses comparatives et communique avec les inscrits éventuels.

Les résultats de l’analyse comparative sont affichés dans le programme d’identification des inscrits (PII), soit une application sur ordinateur qui permet d’enregistrer les résultats des activités de suivi menés sur les comptes relevés par l’analyse des écarts. La DGI accède aux résultats dans le PII et prépare des rapports statistiques pour la SOP. La SOP mène d’autres analyses et envoie certains comptes aux sections de l’examen de comptes de fiducies dans les Bureaux des services fiscaux (BSF) de la région du Pacifique par l’intermédiaire de la Division des programmes des comptes de fiducie.

Portée de la vérification

La vérification avait pour objet de confirmer que l’ARC observe les conditions du PE qui régissent l’utilisation, la communication, la protection, le stockage et la destruction des renseignements reçus de la WCB of BC.

L’étendue de la vérification comprend la Section d’occasions de partenariat (SOP) de la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC), la Division des affaires provinciales-territoriales (DAPT) de la DGSEDM, la section du Système de retenues sur la paie, de comptabilisation et de recouvrements (PAYDAC) de la DGI, la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration, le Centre fiscal de Surrey, de même que les BSF de Vancouver, de Burnaby-Fraser, de l'Île de Vancouver, de l'intérieur méridional de la Colombie-Britannique et du Nord de la Colombie-Britannique (C.-B.) et du Yukon. La vérification a été effectuée entre janvier et juin 2008.

L’assurance afférente aux contrôles généraux de la technologie de l’information (TI) et aux autres contrôles de l’ARC a été fondée partiellement sur des travaux de vérification effectués au cours de récentes vérifications qui s’y rapportent, y compris le suivi de la sécurité de la TI, commencé en 2007, et la vérification menée en 2006 des renseignements reçus en vertu du PE signé avec la Commission de la santé, de la sécurité et de l’indemnisation des accidents au travail de la province de Terre-Neuve-et-Labrador.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Constatations, recommandations et plans d’action

1.0  Utilisation et divulgation des renseignements

Conformément au PE, l'ARC utilisera les renseignements de la WCB of BC uniquement pour l'administration et l'application de la Loi de l'impôt sur le revenu et de la Loi sur la taxe d'accise, et elle ne divulguera les renseignements à d'autres parties qu'en vertu des conditions établies dans le PE.

Il n’y avait aucune preuve que ces renseignements ont été utilisés à des fins autres que celles de l'analyse des écarts d'inscription et des activités de suivi sur l’observation. Des entrevues menées auprès du personnel du CF de Surrey et auprès de celui des BSF de Vancouver, de Burnaby-Fraser, de l'Île de Vancouver, de l'intérieur méridional de la Colombie-Britannique et du Nord de la Colombie-Britannique et du Yukon ont permis de conclure que les renseignements reçus de la WCB of BC étaient utilisés uniquement afin d’identifier et d’inscrire les employeurs de la C.-B. non inscrits aux programmes de l'ARC. Cela a également été confirmé par la Section d'exploration des données et la Section de la gestion du risque et de l’identification des charges de travail de la DGSCGC.

Le personnel interviewé a également révélé qu’il n'a pas eu connaissance d'incidents de sécurité liés à une utilisation et une communication inappropriée des renseignements reçus de la WCB of BC. La Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration a confirmé qu'aucun incident de sécurité n'a été signalé concernant les renseignements reçus en vertu du PE. La SOP a affirmé qu'aucune donnée n'avait été divulguée à un tiers.

2.0  Sécurité et protection des renseignements

Dans le PE conclu avec la WCB of BC (Annexe F), on résume les exigences en matière de sécurité pour le traitement, le stockage et la destruction des renseignements. À partir de ces exigences, des résultats de vérifications précédentes connexes et de notre évaluation des risques liés aux renseignements reçus de la WCB of BC, on a mené des examens des contrôles de sécurité qui suivent.

2.1  Gestion des privilèges d’accès des utilisateurs

On accroît la sécurité des renseignements confidentiels sur les clients lorsque l’accès aux systèmes de renseignements est accordé aux employés, et ce, uniquement lorsque ces renseignements sont nécessaires à la réalisation des activités liés au travail. Les normes de sécurité et le système de contrôle de la gestion des droits d’accès des utilisateurs de l’ARC nécessitent qu’un registre de tous les privilèges d’accès au système informatique soit créé et tenu à jour pour chaque personne. En vertu de ces normes, on doit en outre tenir à jour les privilèges d’accès des utilisateurs et les révoquer ou les retirer provisoirement immédiatement lorsqu’ils ne sont plus nécessaires dans le cadre des fonctions assignées.

La sous-section du PII au CF de Surrey tient un registre des privilèges d’accès au système informatique pour l’application du PII. Toutefois, il était impossible de vérifier si les privilèges d’accès des utilisateurs de cette sous-section sont tenus à jour et immédiatement révoqués ou retirés provisoirement lorsqu’ils ne sont plus nécessaires dans le cadre des fonctions assignées. L’accès au PII est contrôlé par le chef d’équipe au moyen du Système de gestion des usagers (SGU), lequel ne fournit pas un registre indépendant des dates de révocation ou de suspension des privilèges d’accès des utilisateurs. L’Agence met en œuvre plusieurs initiatives de gestion des accès au système, y compris un système automatisé de la gestion de l’identité et de l’accès qui remplacera les systèmes actuels de gestion des utilisateurs.

Recommandation

Le CF de Surrey devrait s’assurer qu’il se conforme aux exigences de l’ARC liées à la gestion des privilèges d’accès des utilisateurs. La sous-section du PII du CF de Surrey devrait mettre en œuvre un système de contrôle permettant le suivi des dates de la révocation ou de la suspension des privilèges d’accès des utilisateurs jusqu’à ce qu’on ait mis en place les initiatives nationales de la gestion automatisées de l’identité et de l’accès.

Plan d’action

À compter du 18 juillet 2008, le contrôle de l’accès au système du PII sera documenté au moyen d’une feuille de calcul. La feuille de calcul sera stockée dans un dossier contrôlé dans le lecteur partagé du CF de Surrey. L’accès à ce dossier sera limité au gestionnaire des Services aux employeurs, au chef de l’équipe de projet de la WCB et à un remplaçant. De plus, la feuille de calcul elle-même sera protégée par un mot de passe.

Le chef d’équipe ou le remplaçant sera responsable d’activer, de retirer provisoirement ou de supprimer les privilèges d’accès au besoin, et d’inscrire immédiatement cette activité sur la feuille jointe. En outre, des examens trimestriels des privilèges d’accès au PII seront menés par le chef d’équipe et/ou le remplaçant.

2.2  Protection des renseignements stockés

Selon les normes de sécurité de l’ARC, il est nécessaire d’entreposer dans des classeurs verrouillés les supports d'information amovibles tels que les CD, les disquettes, les disques durs ou les bandes magnétiques contenant des renseignements lorsqu’ils ne sont pas utilisés. Il ne faut pas stocker les renseignements dans les systèmes informatiques des utilisateurs. L’accès aux renseignements stockés doit être accordé en cas de nécessité absolue.

La SOP et le CF de Surrey ont respecté les deux premières normes. Au cours de visites sur place, les observations menées à la SOP et au CF de Surrey ont permis de confirmer que les CD contenant des renseignements reçus de la WCB of BC étaient entreposés dans des classeurs verrouillés. De plus, la vérification effectuée au CF de Surrey a permis de confirmer que les fichiers électroniques contenant des données visées par le PE étaient stockés dans un serveur et non dans les lecteurs partagés des ordinateurs des utilisateurs.

Cependant, selon les entrevues menées auprès de la section du Système de retenues sur la paie, de comptabilisation et de recouvrements (PAYDAC) à la DGI et de la Division des comptes de fiducie (DCF) à la DGSCGC, l’accès aux renseignements de la WCB sauvegardés dans les lecteurs partagés n’était pas réservé aux employés dont le travail nécessitait cet accès. Ces renseignements pourraient donc être consultés par des employés de l’ARC qui ne participaient pas au projet.

Recommandation

La SOP devrait s’assurer que tous les secteurs de programme qui ont besoin des données fournies par la WCB of BC dans le cadre de leur travail connaissent les exigences du PE liées aux renseignements stockés, et elle devrait réserver l’accès aux renseignements de la WCB of BC stockés dans des lecteurs partagés uniquement aux employés qui prennent part au projet.

Plan d’action

La SOP a élaboré un Guide de référence, lequel comprend une section qui porte sur le PE, pour le personnel des secteurs de programme qui travaille avec les données de la WCB. Cette section résume le but de l’initiative conjointe d’observation ainsi que les rôles et les responsabilités de tous les intervenants qui ont accès aux données de la WCB. Le Guide de référence sera disponible aux fins de formation de tout le personnel de chaque projet et sera partagé avec tous les utilisateurs des données de la WCB. La SOP terminera la distribution de cette section du Guide de référence au plus tard le 31 décembre 2008. La SOP distribuera des exemplaires du Guide de référence à tous les intervenants autorisés de partenaires actuels, à venir et éventuels.

La DGI a informé la SOP qu’à compter de juillet 2008, une nouvelle procédure a été mise en œuvre pour assurer que le dossier comportant les données de la WCB n’est plus situé dans le lecteur partagé.  En vertu de cette nouvelle procédure, seule la personne qui rédige de CD comportant les données de la WCB aura accès au dossier pertinent.

2.3  Chiffrement des renseignements transmis

Conformément aux politiques de sécurité de l’ARC sur le stockage et la transmission électronique des renseignements sur les contribuables, on devrait chiffrer les renseignements transmis par voie électronique et au moyen d’un support d'information amovible tels que les CD, comprenant des bases de données de renseignements confidentiels sur les clients, au moyen des méthodes approuvées par l’ARC. De plus, en vertu des conditions du PE, l’ARC et la WCB ont convenu que les renseignements sur les clients transmis par voie électronique et/ou au moyen d’un support d'information amovible seraient chiffrés.

La vérification a permis de constater que les renseignements de la WCB transmis par courrier électronique et au moyen de CD étaient chiffrés et protégés par un mot de passe. Les entrevues menées à la SOP et au CF de Surrey ont permis de conclure que les mots de passe ont été fournis séparément des données, par téléphone, et qu’on ne les a jamais donnés dans un message vocal.

2.4  Rétention et effacement des renseignements

Conformément au Manuel des finances et de l'administration, Volume de la sécurité de l’ARC, les renseignements classifiés et désignés « Protégé » qui ne sont plus nécessaires doivent être rapidement supprimés de façon à les détruire complètement. Le PE conclu avec la WCB of BC prévoit en outre la destruction des renseignements lorsqu’on n’en a plus besoin. Toutefois, le PE ne prescrit pas de périodes de rétention précises des renseignements.

La SOP a récemment reçu un avis au sujet de la rétention des renseignements de la Section des services à la clientèle, Division de la politique de l'information et de la gouvernance, à la Direction de la statistique et de la gestion de l’information. Dans cet avis, on déclarait que les renseignements doivent être détruits lorsqu’ils ne sont plus nécessaires, mais on n’y a pas précisé de période de rétention. La SOP a décidé de fixer la période de rétention des renseignements de la WCB à deux années.

On a en outre communiqué cette information au CF de Surrey. Le chef d’équipe du CF de Surrey a confirmé que le CD de l’étape 1 du projet a été détruit par le bureau local de la technologie de l’information (TI) en mars 2008. Cependant, les BSF de la région du Pacifique, la section PAYDAC de la DGI et la DCF de la DGSCGC n’ont pas reçu de directive en ce qui concerne la période de rétention des données.

En outre, le PE prévoit que [Traduction] « les disques durs inamovibles devraient être écrasés trois fois (p. ex. l'utilitaire de réécriture de disque DSX de la Gendarmerie royale du Canada (GRC), WIPEDISK de Norton) ou être effacés magnétiquement au moyen d’un démagnétiseur approuvé ». Les entrevues ont permis d’apprendre que, en pratique, le recours à la touche « supprimer » de l’ordinateur est perçue comme une méthode appropriée pour effacer les renseignements. Cette méthode n’efface pas les dossiers de façon permanente et n’est pas conforme aux exigences du PE. Toutefois, la méthode décrite dans le PE n’est pas pratique étant donné qu’elle entraîne l’effacement de toutes les données du disque dur, et non de celles liées au PE uniquement.

Recommandations

La SOP devrait communiquer la période de rétention fixée relativement aux renseignements de la WCB à d’autres intervenants internes.

La SOP devrait consulter la Direction de la sécurité, de la gestion du risque et des affaires internes, Direction générale des finances et de l’administration, et la Direction générale de l’informatique pour déterminer les méthodes acceptables visant à effacer les renseignements stockés de façon électronique et les communiquer à d’autres intervenants internes.

En collaboration avec la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l’administration, la Division des affaires provinciales-territoriales de la DGSEDM devrait s’assurer que les méthodes appropriées d’effacement des renseignements sont intégrées au PE actuel et aux PE semblables de même qu’aux PE à venir.

Plan d’action

D’ici le 30 septembre 2008, la SOP résumera la période de rétention des renseignements dans une note de service destinée à tous les intervenants internes.

La SOP a discuté avec la Direction de la sécurité, de la gestion du risque et des affaires internes à la Direction générale des finances et de l’administration et avec la Direction générale de l’informatique (DGI) des méthodes actuelles acceptables visant à effacer les renseignements stockés électroniquement. À partir de ces discussions, la SOP a élaboré une liste de contrôle des renseignements importants relativement à la sécurité des données et l’a introduit dans son Guide de référence. La SOP mettra des exemplaires de la section appropriée du guide à la disposition des intervenants autorisés d’ici le 31 décembre 2008.

Pour les PE à venir, d'ici le 30 septembre 2008, la Division des affaires provinciales-territoriales discutera des méthodes d'effacement des fichiers avec la Direction de la sécurité, de la gestion du risque et des affaires internes et recommandera une modification au tableau des exigences en matière de sécurité.

2.5  Sensibilisation à la sécurité

La vérification a révélé que les employés de l’ARC qui utilisent les renseignements de la WCB of BC dans le cadre de leur travail étaient au courant des normes de l’ARC en matière de la sécurité de ces renseignements. Les initiatives de sensibilisation à la sécurité sont en place à l’ARC et sont offertes à l’échelle nationale et locale. Ces initiatives visent à promouvoir la sensibilisation aux politiques et aux procédures liées à la protection du personnel, des renseignements et des biens matériels de l’ARC. Tous les interviewés sélectionnés au CF de Surrey et dans les BSF de la région du Pacifique ont signalé qu’elles avaient reçu une formation de sensibilisation à la sécurité lorsqu’elles se sont jointes à l’Agence et de façon périodique par la suite. Les employés reçoivent régulièrement des rappels sur la sécurité nationale par courriel.

Conclusion

À partir des travaux de vérification effectués, l’ARC s’est avérée conforme aux conditions qui régissent l’utilisation, la communication aux autres parties et la sécurité des renseignements reçus de laWCB, sauf dans quatre cas. La vérification a permis de conclure que les renseignements de la WCB étaient conservés dans les lecteurs partagés de la Section des systèmes de la gestion du risque de la DGSCGC et de la Section PAYDAC de la DGI, et que certains employés de ces secteurs qui ne participaient pas au projet de la WCB avaient accès à ces renseignements. De plus, les BSF de la C.‑B. n’ont reçu aucune directive sur les périodes de rétention des données et les méthodes appropriées d’effacement des données. De plus, la méthode d’effacement des données prévue par le PE n’est pas pratique pour effacer les fichiers et les dossiers individuels étant donné que cette méthode efface tous les renseignements du disque dur ou du serveur.

On n’a pas été en mesure de vérifier si l’accès des utilisateurs au PII au CF de Surrey était tenu à jour et immédiatement révoqué ou retiré provisoirement lorsqu’il ne s’avérait plus nécessaire dans le cadre des fonctions assignées, étant donné qu’il n’y avait aucun registre des dates de révocation ou de suspension de l’accès.

Il n’y avait aucune preuve que les renseignements étaient utilisés à des fins autres que celles prévues ou divulgués à tout tiers en dehors des conditions du PE.

Détails de la page

Date de modification :