Renseignements reçus en vertu du protocole d'entente signé avec la Workers' Compensation Board of Nova Scotia

Rapport final

Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2008

Table des matières

• Sommaire
• Introduction
• Portée de la vérification
• Constatations, recommandations et plans d’action
  • 1.0 Utilisation et divulgation des renseignements
  • 2.0 Sécurité et protection des renseignements
    • 2.1 Gestion des privilèges d’accès des utilisateurs
    • 2.2 Protection des renseignements stockés
    • 2.3 Chiffrement des renseignements transmis
    • 2.4 Rétention et effacement des renseignements
    • 2.5 Sensibilisation à la sécurité
• Conclusion

SOMMAIRE

Contexte : L’Agence du revenu du Canada (ARC) signe des protocoles d’entente (PE) et d’autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans la prestation des programmes. Lorsqu’elle échange des renseignements confidentiels avec ces entités, l’ARC négocie des PE afin que les deux parties aient une sensibilisation accrue des prescriptions juridiques et des exigences de la politique liées à l’utilisation et à la sécurité des renseignements. L’intégration de clauses de vérification interne réciproques dans les PE faisait partie d’une initiative de la Direction générale des stratégies d’entreprise et du développement des marchés afin d’assurer que les deux parties respectent ces dispositions.

La présente vérification traitait des renseignements reçus par l’ARC en vertu du PE avec la Workers’ Compensation Board of Nova Scotia (la WCB of NS) signé et entré en vigueur le 21 octobre 2004. Le but de ce PE est de partager des données permettant d’identifier les employeurs qui n’observent pas l’administration de la WCB ou la législation de l’ARC. L’ARC et la WCB of NS s’échangent :

• des renseignements relatifs à la paie déclarée par leurs clients mutuels;
• des renseignements sur les employeurs et leur inscription afin de relever des activités d’économie clandestine;
• des renseignements relatifs à l’inscription des employeurs et des inscrits afin de relever des écarts en matière d’inscription.

Objectif : La vérification avait pour objet de confirmer que l’ARC observe les conditions qui régissent l’utilisation, la communication, la protection, le stockage et la destruction des renseignements reçus de la WCB of NS, conformes au PE.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Conclusion : Selon les travaux de vérification effectués, l’ARC observe de façon générale les conditions qui régissent l’utilisation, la communication, la protection, le stockage et la destruction des renseignements fournis par la WCB of NS, conformes au PE. La Vérification interne recommande quatre améliorations en ce qui concerne l’approche afin d’assurer l’observation continu du PE.

Il n’y avait aucune preuve que les renseignements de la WCB ont été utilisés à des fins autres que celles prévues ou divulgués à un tiers en dehors des conditions du PE.

La vérification a permis de conclure que les accès aux renseignements de la WCB of NS enregistrés dans le Programme d’identification des inscrits (PII) du Centre fiscal de Summerside n’étaient pas toujours retirés en temps opportun. La vérification a également permis de conclure que les renseignements de la WCB étaient conservés dans le lecteur partagé du Système de retenues sur la paie, de comptabilisation et de recouvrements (PAYDAC) de la Direction générale de l’informatique (DGI), auquel peuvent accéder certains employés de ce secteur n’ayant pas participé au projet de la WCB. De plus, les bureaux locaux n’ont reçu aucun renseignement pour compléter les procédures établies de l’ARC quant aux périodes de rétention des données et aux méthodes appropriées pour les effacer. En outre, la méthode d’effacement des données précisée dans le PE ne s’avère pas pratique pour supprimer des fichiers et des dossiers individuels du disque dur ou du serveur.

Plan d’action : La direction est entièrement d’accord avec les constatations et prévoit les aborder de la manière suivante.

Gestion de l’accès des utilisateurs

À compter du 15 juillet 2008, le Centre fiscal de Summerside s’assurera que le compte d’un utilisateur qui quitte l’Agence est retiré provisoirement et son accès aux renseignements liés au PE, révoqué. Lorsqu’un employé quitte la section qui traite des renseignements liés au PE pour travailler dans une autre section de travail, son accès à ces renseignements sera révoqué.

Renseignements stockés sur des lecteurs partagés

La Section d’occasions de partenariat (SOP) a élaboré un Guide de référence, lequel comprend une section qui porte sur le PE, pour le personnel des secteurs de programme qui utilisent les données de la WCB. Ce guide sera disponible aux fins de formation de tout le personnel de chaque projet et sera partagé avec tous les utilisateurs des données de la WCB. La SOP terminera la distribution de la section appropriée du Guide de référence au plus tard le 31 décembre 2008. La SOP distribuera des exemplaires du Guide de référence à tous les intervenants autorisés de partenaires actuels, à venir et éventuels.

Période de rétention

La SOP résumera les renseignements sur la période de rétention dans une note de service destinée à tous les intervenants internes d’ici le 30 septembre 2008. Les renseignements de cette note de service seront ajoutés au Guide de référence dont la SOP renforce actuellement.

Méthodes d’effacement des données

La SOP a discuté des méthodes acceptables actuelles d’effacement des renseignements stockés électroniquement avec la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI) de la Direction générale des finances et de l’administration (DGFA), et avec la Direction générale de l’informatique (DGI). Au Guide de référence, la SOP ajoutera une liste de contrôle des renseignements importants relativement à la sécurité des données. Cette section du guide sera disponible à tous les intervenants autorisés d’ici le 31 décembre 2008.

Pour les PE à venir, d'ici le 30 septembre 2008, la Division des affaires provinciales-territoriales discutera des méthodes d'effacement des fichiers avec la Direction de la sécurité, de la gestion du risque et des affaires internes et recommandera une modification du tableau des exigences en matière de sécurité.

INTRODUCTION

L’Agence du revenu du Canada (ARC) signe des protocoles d’entente (PE) et d’autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans la prestation des programmes. Lorsqu’elle échange des renseignements confidentiels avec ces entités, l’ARC négocie des PE afin que les deux parties soient au courant des prescriptions juridiques et des exigences de la politique liées à l’utilisation et à la sécurité des renseignements, et les respectent. L’intégration de clauses de vérification interne réciproques dans les PE faisait partie d’une initiative de la Direction générale des stratégies d’entreprise et du développement des marchés (DGSEDM) afin d’assurer que les deux parties respectent ces dispositions.

La présente vérification traitait des renseignements reçus par l’ARC en vertu du PE avec la Workers’ Compensation Board of Nova Scotia (la WCB of NS) signé et entré en vigueur le 21 octobre 2004. Le but de ce PE est de partager des données permettant d’identifier les employeurs qui n’observent pas l’administration de la WCB ou la législation de l’ARC. L’ARC et la WCB of NS s’échangent :

• des renseignements relatifs à la paie déclarée par leurs clients mutuels;
• des renseignements sur les employeurs et leur inscription afin de relever des activités d’économie clandestine;
• des renseignements relatifs à l’inscription des employeurs et des inscrits afin de relever des écarts en matière d’inscription.

Il y a eu un échange de renseignements entre l’ARC et la WCB of NS en vertu de ce PE, lequel a été reçu par l’ARC à l’automne 2006.

Une vérification interne régionale du partenariat avec la Workers’ Compensation Board of Nova Scotia a été menée en 2003-2004. Celle-ci avait pour objet de confirmer l’efficacité du partenariat en vertu du PE antérieur. Cette vérification a permis de conclure que les échanges amélioraient l’efficacité du programme.

D’après le PE, l’ARC entreprend une analyse des écarts d’inscription et des activités d’observation. Les disques compacts (CD) initiaux sont reçus par la Section d’occasions de partenariat (SOP) à la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC). La SOP transfère les CD à la Direction générale de l’informatique (DGI) pour traitement. La DGI produit deux rapports d’exception, lesquels sont renvoyés à la SOP. L’un de ces rapports d’exception est destiné à la WCB of NS et est remis au partenaire en vertu du PE. Par la suite, les données du rapport de l’ARC sont livrées au Centre fiscal de Summerside (CF de Summerside) où le personnel mène des analyses comparatives et communique avec les inscrits éventuels.

Les résultats des analyses comparatives sont affichés dans le programme d’identification des inscrits (PII), soit une application sur ordinateur qui permet d’enregistrer les résultats des activités de suivi menés sur les comptes relevés par l’analyse des écarts. La DGI accède aux résultats dans le PII, prépare des rapports statistiques par rapport aux résultats et les renvois à la SOP. Conjointement avec la Division des programmes des comptes de fiducie, la SOP mène d’autres analyses et envoie certains comptes aux sections responsables de l’examen de comptes de fiducies dans la région de l’Atlantique.

PORTÉE DE LA VÉRIFICATION

La vérification avait pour objet de confirmer que l’ARC observe les conditions du PE qui régissent l’utilisation, la communication, la protection, le stockage et la destruction des renseignements reçus de la WCB of NS.

L’étendue de la vérification comprend la Section d’occasions de partenariat (SOP) de la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC), la Division des affaires provinciales-territoriales (DAPT) de la DGSEDM, la section du Système de retenues sur la paie, de comptabilisation et de recouvrements (PAYDAC) de la DGI, la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration et le CF de Summerside. La vérification a été effectuée entre janvier 2008 et juin 2008.

L’assurance afférente aux contrôles généraux de la technologie de l’information (TI) et aux autres contrôles de l’ARC a été fondée partiellement sur des travaux de vérification effectués au cours de récentes vérifications qui s’y rapportent, y compris le suivi de la sécurité de la TI, commencé en 2007, et la vérification menée en 2006 des renseignements reçus en vertu du PE signé avec la Commission de la santé, de la sécurité et de l’indemnisation des accidents au travail de la province de Terre-Neuve-et-Labrador.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

CONSTATATIONS, RECOMMANDATIONS ET PLANS D’ACTION

1.0 Utilisation et divulgation des renseignements

Conformément au PE, l'ARC utilisera les renseignements de la WCB of NS uniquement pour l'administration et l'application de la Loi de l'impôt sur le revenuet de la Loi sur la taxe d'accise, et elle ne divulguera les renseignements à d'autres parties qu'en vertu des conditions établies dans le PE.

Il n’y avait aucune preuve que ces renseignements ont été utilisés à des fins autres que celles prévues. Des entrevues menées auprès du personnel du CF de Summerside ont permis de conclure que les renseignements reçus de la WCB of NS étaient utilisés uniquement afin d’identifier et d’inscrire les employeurs de la Nouvelle-Écosse non inscrits aux programmes de l'ARC. Cela a également été confirmé par la Section d'exploration des données et par la Section de la gestion du risque et de l’identification des charges de travail de la DGSCGC.

Le personnel interviewé a également révélé qu’il n'a pas eu connaissance d'incidents de sécurité liés à une utilisation et une communication inappropriée des renseignements reçus de la WCB of NS. La Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration a confirmé qu'aucun incident de sécurité n'a été signalé concernant les renseignements reçus en vertu du PE. La SOP a affirmé qu'aucune donnée n'avait été divulguée à un tiers.

2.0 Sécurité et protection des renseignements

Dans le PE conclu avec la WCB of NS (Annexe H), on résume les exigences en matière de sécurité pour le traitement, le stockage et la destruction des renseignements. À partir de ces exigences, des résultats de vérifications précédentes connexes et d’une évaluation des risques liés aux renseignements reçus de la WCB of NS, on a mené des examens des contrôles de sécurité qui suivent.

• gestion des privilèges d’accès des utilisateurs;
• protection des renseignements stockés;
• chiffrement des renseignements transmis;
• rétention et effacement des renseignements;
• sensibilisation à la sécurité.

2.1 Gestion des privilèges d’accès des utilisateurs

On accroît la sécurité des renseignements confidentiels sur les clients lorsque l’accès aux systèmes de renseignements est accordé aux employés, et ce, uniquement lorsque ces renseignements sont nécessaires à la réalisation des activités liés au travail. Les normes de sécurité et le système de contrôle de la gestion des droits d’accès des utilisateurs de l’ARC nécessitent qu’un registre de tous les privilèges d’accès au système informatique soit créé et tenu à jour pour chaque personne. En vertu de ces normes, on doit en outre tenir à jour les privilèges d’accès des utilisateurs et les révoquer ou les retirer provisoirement immédiatement lorsqu’ils ne sont plus nécessaires dans le cadre des fonctions assignées.

L’examen de 28 des profils de la TI de Summerside permettant d’accéder au PII a permis de conclure que 8 (29 %) d’entre eux auraient dû être retirés en mars 2008, puisque ces employés n’étaient plus affectés à la section du PII à ce moment-là. Cependant, ceux-ci étaient toujours en cours au 28 avril 2008.

Recommandation

Le CF de Summerside devrait s’assurer que les accès des employés aux renseignements de la WCB sont révoqués en temps opportun lorsque de tels accès ne sont plus nécessaires.

Plan d’action

À compter du 16 juillet 2008, le chef d’équipe du PII remplira un formulaire de fin d’emploi pour retirer provisoirement le compte d’un utilisateur qui quitte l’Agence. De plus, le chef d’équipe du PII enverra une demande au Centre de services, lequel créera un billet, afin de révoquer tout accès au PII. Lorsqu’un employé quitte la section du PII pour travailler dans une autre section de travail, le chef d’équipe du PII enverra une demande au Centre de services, lequel créera un billet, afin de révoquer tout accès au PII.

2.2 Protection des renseignements stockés

Selon les normes de sécurité de l’ARC, il est nécessaire d’entreposer dans des classeurs verrouillés les supports d'information amovibles tels que les CD, les disquettes, les disques durs ou les bandes magnétiques contenant les renseignements lorsqu’ils ne sont pas utilisés. Il ne faut pas stocker les renseignements dans les systèmes informatiques des utilisateurs. En dernier lieu, l’accès aux renseignements stockés doit être accordé en cas de nécessité absolue.

La SOP et le CF de Summerside ont respecté les deux premières normes. Au cours de la vérification, on a observé que les CD à la SOP contenant des renseignements reçus de la WCB of NS étaient entreposés dans des classeurs verrouillés. De plus, le fichier électronique du CF de Summerside contenant des données visées par le PE était stocké dans un serveur et non dans les lecteurs partagés des ordinateurs des utilisateurs.

Cependant, selon les entrevues menées auprès de la section PAYDAC de la DGI, les renseignements de la WCB sauvegardés dans les lecteurs partagés pourraient être consultés par des employés qui ne participaient pas au projet.

Recommandation

La SOP de DGSCGC devrait s’assurer que tous les secteurs de programme qui ont besoin des données fournies par la WCB of NS dans le cadre de leur travail connaissent les exigences du PE liées aux renseignements stockés, et elle devrait réserver l’accès aux renseignements de la WCB of NS stockés dans des lecteurs partagés uniquement aux employés qui prennent part au projet.

Plan d’action

La SOP a élaboré un Guide de référence, lequel comprend une section qui porte sur le PE, pour le personnel des secteurs de programme qui travaille avec les données de la WCB. Cette section résume le but de l’initiative conjointe d’observation ainsi que les rôles et les responsabilités de tous les intervenants qui ont accès aux données de la WCB. Le Guide de référence sera disponible aux fins de formation de tout le personnel de chaque projet et sera partagé avec tous les utilisateurs des données de la WCB. La SOP terminera la distribution de cette section du Guide de référence au plus tard le 31 décembre 2008. La SOP distribuera des exemplaires du Guide de référence à tous les intervenants autorisés de partenaires actuels, à venir et éventuels.

La DGI a informé la SOP qu’à compter de juillet 2008, une nouvelle procédure a été mise en œuvre pour assurer que le dossier comportant les données de la WCB n’est plus situé dans le lecteur partagé. En vertu de cette nouvelle procédure, seule la personne qui rédige de CD comportant les données de la WCB aura accès au dossier pertinent.

2.3 Chiffrement des renseignements transmis

Conformément aux politiques de sécurité de l’ARC sur le stockage et la transmission électronique des renseignements sur les contribuables, on devrait chiffrer les renseignements transmis par voie électronique et au moyen d’un support d'information amovible tels que les CD, comprenant des bases de données de renseignements confidentiels sur les clients, au moyen des méthodes approuvées par l’ARC. De plus, en vertu des conditions du PE, les renseignements sur les clients transmis par voie électronique et au moyen de courriel et/ou de support d’information amovible doivent être chiffrés.

La vérification a permis de constater que les renseignements de la WCB transmis par courrier électronique et au moyen de CD étaient chiffrés et protégés par un mot de passe. Les entrevues menées à la SOP et au CF de Summerside ont permis de conclure que les mots de passe ont été fournis séparément des données, par téléphone, et qu’on ne les a jamais donnés dans un message vocal.

2.4 Rétention et effacement des renseignements

Conformément au Manuel des finances et de l'administration, Volume de la sécurité de l’ARC, les renseignements classifiés et désignés « Protégé » qui ne sont plus nécessaires doivent être rapidement supprimés de façon à les détruire complètement. Le PE conclu avec la WCB of NS prévoit en outre la destruction des renseignements lorsqu’on n’en a plus besoin. Toutefois, le PE ne prescrit pas de périodes de rétention précises des renseignements.

La SOP a récemment reçu un avis au sujet de la rétention des renseignements de la Section des services à la clientèle, Division de la politique de l'information et de la gouvernance, à la Direction de la statistique et de la gestion de l’information. Dans cet avis, on déclarait que les renseignements doivent être détruits lorsqu’ils ne sont plus nécessaires, mais on n’y a pas précisé de période de rétention. La SOP a décidé de fixer la période de rétention des renseignements de la WCB à deux années. Cependant, le CF de Summerside et la section PAYDAC de la DGI à l’AC, contenant des renseignements électroniques de la WCB ou des données statistiques relativement aux renseignements, n’ont pas reçu de directive en ce qui concerne la période de rétention des données.

En outre, le PE prévoit que [Traduction] « les disques durs inamovibles devraient être écrasés trois fois (p. ex. l'utilitaire de réécriture de disque DSX de la Gendarmerie royale du Canada (GRC), WIPEDISK de Norton) ou être effacés magnétiquement au moyen d’un démagnétiseur approuvé ». Les entrevues ont permis d’apprendre que, en pratique, le recours à la touche « supprimer » de l’ordinateur est perçu comme une méthode appropriée pour effacer les renseignements. Cette méthode n’efface pas les dossiers de façon permanente et n’est pas conforme aux exigences du PE. Toutefois, la méthode décrite dans le PE n’est pas pratique étant donné qu’elle entraîne l’effacement de toutes les données du disque dur, et non de celles liées au PE uniquement.

Recommandations

La SOP devrait communiquer la période de rétention fixée relativement aux renseignements de la WCB à d’autres intervenants internes.

La SOP devrait consulter la Direction de la sécurité, de la gestion du risque et des affaires internes, Direction générale des finances et de l’administration, et la Direction générale de l’informatique pour déterminer les méthodes acceptables visant à effacer les renseignements stockés de façon électronique et les communiquer à d’autres intervenants internes.

En collaboration avec la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l’administration, la Division des affaires provinciales-territoriales de la DGSEDM devrait s’assurer que les méthodes appropriées d’effacement des renseignements sont intégrées au PE actuel et aux PE semblables.

Plan d’action

D’ici le 30 septembre 2008, la SOP résumera la période de rétention des renseignements dans une note de service destinée à tous les intervenants internes.

La SOP a discuté avec la Direction de la sécurité, de la gestion du risque et des affaires internes à la Direction générale des finances et de l’administration et avec la Direction générale de l’informatique (DGI) des méthodes actuelles acceptables visant à effacer les renseignements stockés électroniquement. À partir de ces discussions, la SOP a élaboré une liste de contrôle des renseignements importants relativement à la sécurité des données et l’a introduit dans son Guide de référence. La SOP mettra des exemplaires de la section appropriée du guide à la disposition des intervenants autorisés d’ici le 31 décembre 2008.

Pour les PE à venir, d'ici le 30 septembre 2008, la Division des affaires provinciales-territoriales discutera des méthodes d'effacement des fichiers avec la Direction de la sécurité, de la gestion du risque et des affaires internes et recommandera une modification au tableau des exigences en matière de sécurité.

2.5 Sensibilisation à la sécurité

La vérification a révélé que les employés de l’ARC qui utilisent les renseignements de la WCB of NS dans le cadre de leur travail étaient au courant des normes de l’ARC en matière de la sécurité de ces renseignements. Les initiatives de sensibilisation à la sécurité sont en place à l’ARC et sont offertes à l’échelle nationale et locale. Ces initiatives visent à promouvoir la sensibilisation aux politiques et aux procédures liées à la protection du personnel, des renseignements et des biens matériels de l’ARC. Tous les interviewés sélectionnés au CF de Summerside ont signalé qu’elles avaient reçu une formation de sensibilisation à la sécurité lorsqu’elles se sont jointes à l’Agence et de façon périodique par la suite. Les employés reçoivent régulièrement des rappels sur la sécurité nationale par courriel.

CONCLUSION

À partir des travaux de vérification effectués, de façon générale, l’ARC s’est avérée conforme aux conditions qui régissent l’utilisation, la communication aux autres parties et la sécurité des renseignements reçus de laWCB of NS, sauf dans les cas suivants. La vérification a permis de conclure que les accès aux renseignements de la WCB of NS enregistrés dans le PII du CF de Summerside n’étaient pas toujours retirés en temps opportun. La vérification a également permis de conclure que les renseignements de la WCB étaient conservés dans le lecteur partagé de la PAYDAC de la DGI, et que certains employés de ce secteur ne participant pas au projet de la WCB avaient accès à ces renseignements. De plus, les bureaux locaux n’ont reçu aucune directive sur les périodes de rétention des données et les méthodes appropriées d’effacement des données. En outre, la méthode d’effacement des données prévue par le PE n’est pas pratique pour effacer les fichiers et les dossiers individuels du disque dur ou du serveur.

Il n’y avait aucune preuve que les renseignements étaient utilisés à des fins autres que celles prévues ou divulgués à tout tiers en dehors des conditions du PE.