Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Se connecter

Se connecter

Accès par des tiers autorisés à l'information des contribuables et des inscrits

Rapport final

Direction générale de la vérification et de l'évaluation de l'entreprise
Avril 2011

Table des matières

Sommaire

Contexte : Un représentant autorisé est une personne ou une entreprise à qui le contribuable a donné la permission de le représenter dans les communications avec l'Agence du revenu du Canada. Depuis février 2006, le service en ligne « Représenter un client » (RUC) fournit aux représentants autorisés inscrits un point d'accès unique et sécurisé aux renseignements de multiples clients.

La Direction générale des services de cotisation et de prestations (DGSCP) a comme principale responsabilité de gérer et de surveiller l'accès des tiers. La Direction des programmes de prestations est responsable de la base de données du Système d'identification du représentant du contribuable (SIRC) ainsi que des politiques et procédures relatives au traitement des formulaires d'autorisation pour les particuliers. La Direction des déclarations des particuliers (DDP) est responsable de RUC et de « Mon dossier ». La Direction des déclarations des entreprises est responsable de « Mon dossier d'entreprise », du Système du numéro d'entreprise (Système NE) ainsi que des politiques et procédures relatives au traitement des formulaires d'autorisation pour les entreprises.

En 2009-2010, environ 3,1 millions d'autorisations ont été traitées pour les représentants de contribuables et 900 000 pour les entreprises. Presque toutes ces autorisations ont été transmises par écrit. Le nombre d'accès électroniques aux renseignements sur les contribuables par l'intermédiaire de RUC a subi une croissance rapide. En 2009-2010, il y a eu 2,1 millions d'accès à RUC, une augmentation de plus de 60 % par rapport à l'année précédente [Note 1].

Objectif et portée : L'objectif de la présente vérification consistait à évaluer si les contrôles associés aux représentants autorisés agissant au nom des contribuables étaient en place et fonctionnaient comme il était prévu. L'accent était mis sur les contrôles de première ligne, de détection et de prévention, y compris les processus d'authentification, d'autorisation et de surveillance pour les contribuables, les entreprises et les représentants autorisés.

La phase d'examen de cette vérification s'est déroulée d'octobre 2009 à avril 2010. Cette vérification a été menée à la DGSCP, à la Direction générale des services aux contribuables et de la gestion des créances, à la Direction générale des programmes d'observation ainsi que dans certains centres fiscaux et bureaux des services fiscaux.

La vérification a été exécutée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion : Dans l'ensemble, des contrôles sur le processus d'autorisation sont en place et veillent à ce que les renseignements d'autorisation soient saisis correctement dans les bases de données du SIRC et du Système NE et soient conformes aux procédures.

Les rôles et les responsabilités de la représentation autorisée ont été compris à la DGSCP. Cependant, les rôles et les responsabilités en matière de surveillance des représentants autorisés n'étaient pas clairs, et une évaluation des risques touchant la représentation autorisée n'était pas suffisamment précise. Une évaluation des risques touchant la représentation autorisée doit être effectuée à l'échelle de l'Agence pour veiller à ce que les risques soient cernés, attribués et surveillés.

Pour atténuer le risque d'activités inappropriées, les contrôles d'authentification doivent être renforcés PROTÉGÉ.Les rôles et responsabilités, l'identification proactive et la réponse aux risques associés à la représentation autorisée devraient être mieux définis dans le cadre de surveillance.

Plan d'action : La DGSCP souscrit aux recommandations et s'est engagée, dans ses plans d'action, à répondre aux enjeux cernés dans la vérification, à savoir :

Introduction

Un représentant autorisé est une personne ou une entreprise à laquelle le contribuable a donné la permission de le représenter dans des communications avec l'Agence du revenu du Canada (ARC). Un représentant autorisé peut être un membre de la famille, un ami, un fiscaliste ou une entreprise. Conformément à l'article 241 de la Loi de l'impôt sur le revenu et à l'article 295 de la Loi sur la taxe d'accise, les renseignements confidentiels sur des contribuables doivent être protégés et divulgués seulement à des personnes autorisées. Avant de divulguer ou de modifier des renseignements sur des contribuables à la demande d'un tiers, les employés de l'ARC sont tenus de s'assurer que la demande du tiers provient d'un représentant autorisé.

La nature et la portée des renseignements auxquels les représentants ont accès sont régies par les niveaux d'autorisation accordés par le contribuable. Un représentant autorisé peut recevoir un accès de niveau 1 ou 2. Le niveau 1 permet à l'ARC de divulguer au représentant des renseignements sur le contribuable. Le niveau 2 comprend les privilèges du niveau 1 et il permet aussi au représentant de demander qu'on apporte des modifications aux renseignements sur le contribuable, comme le rajustement du revenu déclaré, les déductions ou les crédits d'impôt. Un représentant autorisé n'a pas le droit de modifier le nom, l'adresse, l'état civil ou les renseignements sur le dépôt direct d'un contribuable.

Les représentants autorisés peuvent être inscrits ou non. Les deux types de représentants ont accès aux renseignements sur les contribuables par téléphone, par correspondance écrite et en personne. Les représentants autorisés inscrits ont aussi accès en ligne aux renseignements sur les contribuables qu'ils représentent. Depuis février 2006, le service en ligne « Représenter un client » (RUC) offre aux représentants autorisés inscrits un point d'accès unique et sécurisé aux renseignements de multiples clients. Pour consulter des renseignements confidentiels en ligne, le représentant doit d'abord être autorisé par le contribuable par l'intermédiaire de « Mon dossier », de « Mon dossier d'entreprise » ou en remplissant le formulaire Demander ou annuler l'autorisation d'un représentant (T1013) ou le Formulaire de consentement de l'entreprise (RC59).

Un contribuable peut autoriser l'accès de niveau 2 non inscrit à son déclarant par voie électronique en remplissant la partie E de la Déclaration de renseignements pour la transmission électronique d'une déclaration de revenus et de prestations d'un particulier (T183).Cette autorisation est seulement valide pour l'année de la déclaration de revenus.

Les renseignements sur les représentants autorisés des contribuables sont conservés dans le Système d'identification du représentant du contribuable (SIRC). Les renseignements sur les représentants autorisés des entreprises sont conservés dans le Système du numéro d'entreprise (Système NE).

La Direction générale des services de cotisation et de prestations (DGSCP) a comme principale responsabilité de gérer et de surveiller l'accès des tiers. La Direction des programmes de prestations (DPP) est responsable de la base de données du SIRC ainsi que des politiques et procédures relatives au traitement du formulaire T1013. La Direction des déclarations des particuliers (DDP) est responsable de RUC et de mon « Mon dossier ». La Direction des déclarations des entreprises (DDE) est responsable de « Mon dossier d'entreprise », du Système NE ainsi que des politiques et procédures relatives au traitement du formulaire RC59.

La Direction générale des services aux contribuables et de la gestion des créances (DGSCGC) est responsable de l'élaboration et de l'application des politiques et procédures nationales pour les centres d'appels des services aux contribuables, y compris les procédures relatives à la confidentialité en vue d'authentifier les contribuables, les propriétaires d'entreprise et leurs représentants autorisés.

La DDP dirige actuellement le Groupe de travail chargé des cotisations spécialisées (GTCS) qui cerne les activités et les tendances suspectes en ce qui a trait aux déclarations de revenus des particuliers dans le but d'améliorer les contrôles de première ligne. La Direction générale des programmes d'observation (DGPO) joue un rôle clé au sein du GTCS.

En 2009-2010, environ 3,1 millions d'autorisations ont été traitées pour les représentants de contribuables et 900 000 pour les entreprises. Presque toutes ces autorisations ont été transmises par écrit. Le nombre d'accès électroniques aux renseignements sur les contribuables par l'intermédiaire de RUC a subi une croissance rapide. En 2009-2010, il y a eu 2,1 millions d'accès à RUC, soit une augmentation de plus de 60 % par rapport à l'année précédente [Note 2].

Portée de la vérification

L'objectif de la présente vérification consistait à évaluer si les contrôles associés aux représentants autorisés agissant au nom des contribuables étaient en place et fonctionnaient comme il était prévu. L'accent était mis sur les contrôles de première ligne, de détection et de prévention, y compris les processus d'authentification, d'autorisation et de surveillance pour les contribuables, les entreprises et les représentants autorisés.

La phase d'examen de cette vérification s'est déroulée d'octobre 2009 à avril 2010. Cette vérification a été menée à la DGSCP, à la DGSCGC, à la DGPO ainsi que dans certains centres fiscaux (CF) et bureaux des services fiscaux.

Elle a été exécutée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations, recommandations et plans d'action

1.0 Gestion des programmes

Tous les secteurs de l'ARC qui communiquent avec les contribuables et leurs représentants autorisés ont un rôle à jouer dans la représentation autorisée. Par conséquent, les changements apportés aux processus et procédures de représentation autorisée doivent être mis en œuvre en tenant dûment compte des répercussions que ces changements pourraient avoir sur les activités des autres secteurs de l'ARC.

Les renseignements contenus dans les bases de données de l'ARC sont utilisés par les employés de l'ARC pour authentifier les clients et les représentants autorisés et permettre l'accès à des services électroniques comme « Mon dossier ». Les renseignements qui se trouvent dans ces bases de données doivent donc être exacts et saisis conformément aux procédures de l'ARC.

À la DGSCP, la DPP, la DDE et la DDP ont un rôle direct à jouer dans la représentation autorisée. Elles doivent clairement comprendre leurs rôles et responsabilités de gouvernance et de gestion des risques pour atténuer le risque d'incohérence.

1.1 Rôles et responsabilités

La principale responsabilité pour la gestion de l'accès des tiers revient à la DGSCP. Les rôles et les responsabilités de la représentation autorisée ont été examinés, et des entrevues avec des intervenants de la DPP, de la DDP et de la DDE ont confirmé le fait que ces derniers avaient généralement compris leurs responsabilités. Cependant, les rôles et les responsabilités en matière de surveillance des représentants autorisés n'étaient pas clairs (voir la section 3.2).

Les évaluations des risques ont été examinées pour déterminer si des risques associés à la représentation autorisée ont été repérés par l'Agence et s'ils sont maintenant sous surveillance. Une évaluation exhaustive des risques touchant les principaux intervenants et visant à évaluer les risques opérationnels associés à la représentation autorisée n'était pas évidente. Six risques associés à la représentation autorisée ont été repérés au cours des évaluations des risques menées dans les directions générales et les directions, mais les plans d'action qui visent à les atténuer n'étaient pas clairs. L'évaluation des risques qui a été effectuée pendant la phase du projet de RUC (2004) a permis de repérer 35 risques, mais cette évaluation n'avait pas été mise à jour pour cerner les risques opérationnels en cours (p. ex., le vol d'identité et la mauvaise utilisation des renseignements sur les contribuables). Sans une évaluation exhaustive des risques de la représentation autorisée qui tient compte des commentaires de tous les intervenants, les risques opérationnels critiques pourraient ne pas être cernés, attribués et surveillés.

Recommandations

  1. L'Agence doit effectuer une évaluation officielle des risques opérationnels associés à la représentation autorisée et à la mauvaise utilisation possible des renseignements sur les contribuables.
  2. La DGSCP, de concert avec les intervenants, devrait élaborer des stratégies d'atténuation pour donner suite aux résultats de l'évaluation des risques.

Plan d'action

  1. En janvier 2011, la DGSCP lancera une évaluation complète et officielle des risques liés à la représentation autorisée et fournira un rapport sur les recommandations qui sera rédigé d'ici décembre 2011.
  2. Grâce à d'importants investissements annuels, la DGSCP a développé et amélioré ses services pour les quelque quatre millions de représentants autorisés inscrits des tiers. En janvier 2011, la Direction générale établira un comité directeur interfonctionnel qui surveillera l'élaboration de stratégies et de solutions pour les services offerts aux représentants autorisés. Ce comité aidera la DGSCP à déterminer des rôles et des responsabilités clairs pour les représentants autorisés et à s'assurer que les secteurs liés aux programmes offrent des services en temps opportun. De plus, le comité supervisera l'évaluation des risques et s'assurera qu'on donne suite aux recommandations, au besoin.

1.2 Politiques et procédures

Les politiques et les procédures sur le traitement des autorisations et la communication de renseignements aux représentants autorisés ont été définies et communiquées. Le projet d'assurance de la qualité (AQ) de la DPP a fourni l'assurance que les politiques et les procédures ont été respectées pour la charge de travail T1013. Dans le cas du processus RC59, les politiques et les procédures ont été documentées et communiquées.

2.0 Fiabilité et protection des renseignements

Conformément à l'article 241 de la Loi de l'impôt sur le revenu et à l'article 295 de la Loi sur la taxe d'accise, la prestation de renseignements sur les contribuables et l'accès à ceux-ci sont restreints aux personnes dûment autorisées. Pour satisfaire à ces exigences, des processus d'inscription et d'autorisation des représentants doivent être en place pour s'assurer que les renseignements sur les tiers autorisés qui se trouvent dans les systèmes de l'ARC sont exacts. Des exigences en matière d'authentification doivent être en place pour les contribuables et les représentants lorsqu'ils communiquent avec l'Agence pour obtenir ou changer des renseignements sur les contribuables. De plus, les responsabilités des contribuables et des représentants autorisés doivent être communiquées par l'ARC afin d'appuyer la protection des renseignements sur les contribuables.

2.1 Exactitude des renseignements

L'exactitude des données des formulaires d'autorisation individuelle (T1013) qui ont été entrées dans le SIRC est surveillée dans le cadre du projet d'AQ. Les rapports de 2009-2010 ont indiqué que la norme d'exactitude de 98 % de la DPP pour les T1013 a été satisfaite.

Un échantillon aléatoire des formulaires d'autorisation de l'entreprise (RC59) de trois CF a permis de confirmer un taux d'exactitude acceptable de 92 %. Au moment de la vérification, la DDE élaborait un programme d'AQ pour les charges de travail du Système NE (y compris les formulaires d'autorisation de l'entreprise) qui serait mis en œuvre d'ici le 1er avril 2011.

2.2 Contrôles d'authentification

Les contribuables et les représentants communiquent avec l'ARC par diverses voies de service : en personne, par écrit, par téléphone et par voie électronique. Un examen des contrôles utilisés pour authentifier les contribuables et les représentants a été effectué pour chaque voie.

Des contrôles étaient en place pour traiter les situations où il y avait eu des activités suspectes dans le compte d'un contribuable. PROTÉGÉ. Des mesures de confidentialité plus serrées peuvent être utilisées pour authentifier le contribuable. PROTÉGÉ.

Il est possible de renforcer les contrôles d'authentification PROTÉGÉ afin d'atténuer le risque d'accès non autorisé. PROTÉGÉ.

Recommandation

La DGSCP doit renforcer les contrôles d'authentification PROTÉGÉ afin d'atténuer le risque d'activités inappropriées.

Plan d'action

Tel qu'il est noté dans le plan d'action de la section 1.0 du présent rapport, la DGSCP mènera une évaluation des risques et, selon les analyses et les recommandations, modifiera ses mesures de contrôle PROTÉGÉ , au besoin.

2.3 Responsabilités des contribuables et des représentants autorisés

Les produits de communication et le site Web de l'ARC ont été examinés pour déterminer si les communications traitaient des responsabilités et des risques associés à la représentation autorisée. Des communications efficaces contribuent à minimiser les risques pour le contribuable.

Les rôles et les responsabilités des représentants autorisés qui ne sont pas des déclarants par voie électronique n'avaient pas été définis. Dans le cas des déclarants par voie électronique, les responsabilités et les renseignements sur ce qui constitue un comportement inacceptable se trouvaient sur le site Web de l'ARC. Les activités des déclarants par voie électronique ont été surveillées pour assurer leur conformité et pour détecter les activités inappropriées qui pourraient donner lieu à l'annulation de leurs privilèges. PROTÉGÉ.

Recommandation

Les responsabilités de la représentation autorisée doivent être définies par la DGSCP et communiquées à tous les intervenants.

Plan d'action

La DGSCP définira davantage et communiquera plus clairement les responsabilités de la représentation autorisée dans ses pages Web informatives d'ici février 2011. Les formulaires électroniques et sur papier seront modifiés conformément à leur cycle d'édition en préparation à la période de production des déclarations de 2012.

3.0 Mesure d'observation

Un cadre de surveillance détaillé de la représentation autorisée devrait être en place pour atténuer les risques d'activités inappropriées et frauduleuses comme le vol d'identité par des représentants autorisés. Des signes précurseurs devraient être inclus dans les activités de surveillance.

3.1 Contrôles de prévention et de détection des accès non autorisés et de la mauvaise utilisation des renseignements sur les contribuables

L'ARC a de nombreux contrôles de prévention et de détection en place pour repérer ou bloquer les opérations suspectes. Un certain nombre de ces contrôles traitent les situations où l'identité du contribuable est remise en question. PROTÉGÉ.

Une sensibilisation accrue au vol d'identité a entraîné l'établissement du GTCS. Ce réseau, composé de représentants de huit directions générales, a reçu le mandat de coordonner l'identification, la production de rapports et les mesures prises pour traiter les activités suspectes et frauduleuses. Le GTCS a réussi à combler certaines lacunes touchant les contrôles. En 2009, les activités du GTCS ont permis d'éviter le remboursement injustifié d'environ 9,8 millions de dollars [Note 3]. Le GTCS a créé une base de données pour documenter les cas de vol d'identité présumés, mais celle-ci n'a pas été utilisée pour analyser la participation des représentants autorisés à des activités suspectes.

3.2 Cadre de surveillance visant à s'assurer que les contrôles de prévention et de détection sont adaptés aux risques actuels et émergents

Un effort coordonné pour recueillir et analyser des renseignements sur les accès non autorisés n'était pas évident. Par exemple, l'ARC envoie des lettres d'intention au contribuable lorsqu'elle reçoit un formulaire d'autorisation dans lequel un accès en ligne est demandé pour un représentant. Cette lettre donne au contribuable l'occasion de communiquer avec l'ARC pour l'avertir si la demande d'autorisation est invalide. Aucune donnée sur les lettres d'intention qui entraînent l'annulation des privilèges d'autorisation n'a été recueillie et analysée pour déterminer les tendances.

Le manque d'effort coordonné peut être attribué à l'imprécision des rôles et responsabilités en ce qui concerne la surveillance des représentants autorisés. À l'exception des déclarants par voie électronique qui sont également des représentants, le cadre de surveillance en place ne comprenait pas l'évaluation et l'atténuation des risques de la représentation autorisée. Les activités de surveillance propres aux activités suspectes des représentants autorisés n'étaient pas claires.

Les représentants qui sont des déclarants par voie électronique sont surveillés à l'aide du Programme d'admissibilité et de contrôle d'un déclarant par voie électronique. Les personnes qui veulent participer au programme de production électronique doivent d'abord s'inscrire et répondre aux critères de vérification de l'admissibilité. Les responsabilités des déclarants par voie électronique sont énumérées sur le site Web de l'ARC et, une fois que la personne est inscrite à titre de déclarant par voie électronique, des activités de surveillance sont effectuées périodiquement pour s'assurer qu'elle demeure conforme. L'inobservation peut finalement entraîner l'annulation des privilèges de production électronique et de représentation accordés en vertu d'un formulaire T183.

Recommandation

  1. La DGSCP doit améliorer le cadre de surveillance afin de repérer et de surveiller les risques identifiés qui sont associés à la représentation autorisée et d'en faire le suivi.
  2. Les rôles et les responsabilités en matière de surveillance des représentants autorisés doivent être précisés et attribués par la DGSCP.

Plan d'action

  1. La DGSCP s'est engagée à mettre en œuvre les recommandations qui découleront de l'évaluation des risques et à renforcer le cadre de surveillance en conséquence. Des améliorations seront apportées sous la direction du Comité directeur des représentants autorisés.
  2. Sous la surveillance du Comité directeur des représentants autorisés, les rôles et responsabilités en matière de surveillance seront mieux définis pour le programme de 2011 et davantage améliorés suivant les recommandations découlant de l'évaluation des risques. On continuera l'échantillonnage périodique en 2011.

Conclusion

Dans l'ensemble, des contrôles sur le processus d'autorisation sont en place et veillent à ce que les renseignements d'autorisation soient saisis correctement dans les bases de données du SIRC et du Système NE et soient conformes aux procédures.

Les rôles et les responsabilités de la représentation autorisée ont été compris à la DGSCP. Cependant, les rôles et les responsabilités en matière de surveillance des représentants autorisés n'étaient pas clairs, et une évaluation des risques touchant la représentation autorisée n'était pas suffisamment précise. Une évaluation des risques touchant la représentation autorisée doit être effectuée à l'échelle de l'Agence pour veiller à ce que les risques soient cernés, attribués et surveillés.

Pour atténuer le risque d'activités inappropriées, les contrôles d'authentification doivent être renforcés PROTÉGÉ. Les rôles et responsabilités, l'identification proactive et la réponse aux risques associés à la représentation autorisée devraient être mieux définis dans le cadre de surveillance.

Détails de la page

Date de modification :