Protocole d'entente pour la communication de renseignements protégés avec l'Agence des services frontaliers du Canada
Rapport final
Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2011
Table des matières
- Sommaire
- Introduction
- Constatations, Recommandations et plans d'action
- 1.0 Utilisation et communication des renseignements
- 1.1 Rôles et responsabilités pour l'utilisation et la communication des renseignements reçus de l'ASFC sont clairement définis et compris
- 1.2 Les exigences énoncées dans le PE concernant l'usage des renseignements sont respectées
- 1.3 Les accès aux systèmes de l'ASFC sont contrôlés et se limitent aux employés autorisés
- 1.4 Les renseignements obtenus de l'ASFC sont communiqués conformément aux dispositions du PE
- 2.0 Protection des renseignements
- 2.1 Les rôles et responsabilités sont définis et compris en regard de la conservation et de la destruction des renseignements de l'ASFC
- 2.2 Les renseignements obtenus de l'ASFC sont conservés selon les exigences du PE et aux politiques de l'ARC
- 2.3 Les renseignements reçus de l'ASFC sont détruits ou retournés selon les dispositions du PE
- 2.4 Les incidents de sécurité sont signalés conformément au PE et aux directives de l'ARC
- 1.0 Utilisation et communication des renseignements
- Conclusion
- Appendice 1
Sommaire
Contexte : L'Agence du revenu du Canada (ARC) [Note 1] signe des protocoles d'entente (PE) et d'autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d'améliorer l'efficience et l'efficacité dans la prestation des programmes.
Lorsque des renseignements sensibles sont échangés avec ces entités, l'ARC s'assure que les PE sont rédigés de manière à ce que les deux parties connaissent et respectent les exigences juridiques et les politiques relatives à l'utilisation et à la protection des renseignements échangés. Afin de s'assurer que les deux parties respectent ces dispositions, les PE comportent une clause qui exige de mener des vérifications internes de l'utilisation et de la protection des renseignements échangés.
La présente vérification traite des renseignements reçus à l'ARC en vertu du Protocole d'entente pour la communication de renseignements protégés entre l'Agence du revenu du Canada et l'Agence des services frontaliers du Canada (ASFC) signé le 19 juin 2007.
Objectif : L'objectif de cette vérification consistait à déterminer dans quelle mesure l'ARC observe les conditions qui régissent l'utilisation, la communication, la sécurité, la conservation et l'élimination des renseignements protégés reçus de l'ASFC dans le cadre du PE.
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.
Conclusion : L'ARC observe en grande partie les conditions qui régissent l'utilisation, la communication, la conservation et l'élimination des renseignements reçus de l'ASFC. Toutefois, des améliorations devront être apportées afin de définir les rôles et responsabilités énoncés dans certains appendices du PE. Les exigences relatives à l'obligation de tenir et de consigner les renseignements reçus de l'ASFC devront être définies, de même que la révision de l'Annexe D du PE afin de refléter les besoins des intervenants et revoir le processus de surveillance des accès aux systèmes informatiques de l'ASFC.
La Direction générale de la stratégie et de l'intégration et la Direction générale des finances et de l'administration ont élaboré des plans d'action afin d'adresser les constatations soulevées.
Introduction
En vertu d'un protocole d'entente (PE) [Note 2] signé le 19 juin 2007 avec l'Agence des services frontaliers du Canada (ASFC), l'Agence du revenu du Canada (ARC) peut demander différents renseignements sur des individus ou des entreprises, des importateurs et des exportateurs, des courtiers en douanes, des transporteurs et des entrepôts de marchandises. Les renseignements peuvent comprendre, entre autres, l'importation ou l'exportation de marchandises, l'analyse de produits, l'octroi de licences, les sommes dues par les clients de l'ASFC et les décisions d'appels ou d'arbitrage. L'annexe D du PE décrit les renseignements, l'utilisation, les procédures et les fréquences d'envoi ainsi que les représentants autorisés à communiquer entre les deux organisations.
Deux directions générales participent dans la majorité des demandes de renseignements, soit la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC) et la Direction générale de la politique législative et des affaires réglementaires (DGPLAR), qui ensemble sont autorisées à demander 19 des 22 types de renseignements de l'annexe D du PE.
Lors de la création de l'ASFC en 2003, les fonctions de recouvrement qui étaient sous la responsabilité de l'Agence des douanes et du revenu du Canada, sont demeurées des tâches à exécuter par l'ARC par délégation du ministre du Revenu national. L'ARC est responsable de recouvrer, pour le compte de l'ASFC, toutes dettes actives telles que les frais, les droits, les taxes, les pénalités ou tout autre montant dû en vertu de différentes lois et de différents règlements administrés par l'ASFC. Pour ce faire, la Direction des comptes clients de la DGSCGC et les divisions du recouvrement des recettes de certains bureaux des services fiscaux reçoivent des renseignements de l'ASFC.
La Division des droits et taxes d'accise de la DGPLAR est principalement responsable d'interpréter et d'appliquer, la Loi de 2001 sur l'accise, la Loi sur l'accise, la Loi sur la taxe d'accise, la Loi sur l'importation des boissons enivrantes pour les produits du tabac et de l'alcool. Cette direction ainsi que ses bureaux régionaux reçoivent des renseignements de l'ASFC pour l'administration du programme des droits d'accise.
Portée de la vérification
La vérification interne avait pour objectif de déterminer si l'ARC observe les conditions qui régissent l'utilisation, la divulgation, la conservation et l'élimination des renseignements reçus de l'ASFC.
La phase d'examen de la vérification s'est déroulée du mois de janvier à avril 2011. Les entrevues et l'examen des documents clés ont été effectués dans la région de l'Ontario et du Québec. Les gestionnaires et les employés des directions suivantes ont été rencontrés : la DGSCGC, la DGPLAR, la Direction générale des Programmes de l'observation (DGPO), la Direction générale des finances et de l'administration et les bureaux locaux et régionaux de la Direction générale de la technologie de l'information (DGI).
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.
Constatations, recommandations et plans d'action
1.0 Utilisation et communication des renseignements
1.1 Rôles et responsabilités pour l'utilisation et la communication des renseignements reçus de l'ASFC sont clairement définis et compris
Les rôles et les responsabilités pour l'utilisation et la communication des renseignements reçus devraient être définis afin de s'assurer que les renseignements soient utilisés à des fins prévues par le PE.
À la DGSCGC, les rôles et responsabilités en regard du recouvrement des comptes clients de l'ASFC sont connus, et un processus de communication est en place pour les bureaux de l'ARC traitant ces comptes. De plus, il existe un processus de communication bien établi depuis plusieurs années avec les représentants de l'ASFC.
À la DGPLAR, une région sur deux visitées avait défini les rôles et responsabilités en regard de l'utilisation et de la communication relativement à l'appendice D-8 « Rapports du système de gestion de l'extraction de renseignements (rapport du SGER) et renseignements de la formule de codage des douanes (B3) ». Selon cet appendice, les renseignements doivent être utilisés aux fins de l'évaluation de l'observation des dispositions de la Loi de l'impôt sur le revenu, de la Loi sur la taxe d'accise, de la Loi sur l'accise et de la Loi de 2001 sur l'accise. Les rapports SGER (D-8) peuvent contenir entre autres les renseignements suivants : les bureaux d'entrée et de sortie, les importateurs, les consignataires, le classement tarifaire et les destinations. Les renseignements obtenus de la formule (B3) seront utilisés dans les systèmes d'évaluation des risques de l'ARC pour relever les cas d'inobservation et les risques connexes liés aux recettes.
Le principal utilisateur de D-8 est la Division des recherches sur l'observation et de l'évaluation du risque de la DGPO. Par contre, cette division souhaite obtenir des renseignements supplémentaires en vertu de cet appendice. La DGPLAR utilise les services de la DGPO pour obtenir de l'ASFC les rapports SGER nécessaires à leurs opérations à l'AC et dans les régions.
L'appendice D-10 prévoit l'échange de renseignements touchant l'importation de marchandises, et ces renseignements provenant du SGER peuvent être utilisés aux fins de vérification auprès des licenciés par la DGPLAR. Au moment de l'examen, la DGPLAR avait émis une nouvelle directive à ses bureaux régionaux afin que toutes les demandes de rapports SGER soient dorénavant adressées à la DGPLAR. Parallèlement, elle a demandé une interprétation auprès de la Direction générale de la stratégie et de l'intégration (DGSI) afin de clarifier dans quelles situations les renseignements de D-8 et de D-10 peuvent être utilisés.
Recommandation
La DGSI, en collaboration avec les représentants de la DGPO et de la DPLAR, devra définir les besoins de l'ARC, y compris les rôles et responsabilités, pour les appendices D-8 et D-10 de l'annexe D du PE.
Plan d'action
La DGSI a commencé des discussions avec l'ASFC et la DGPO afin d'examiner et de mettre à jour l'appendice D‑8. La DGSI recommandera de mettre à jour l'appendice D‑10 puisqu'elle concerne également la DGPO.
1.2 Les exigences énoncées dans le PE concernant l'usage des renseignements sont respectées
À la DGSCGC, la réception de renseignements relatifs aux comptes clients de l'ASFC fait partie de l'exécution du travail au quotidien. Conformément au PE, les renseignements sont utilisés dans le cadre du traitement des comptes à recouvrer et de la réception des paiements. De son côté, la DGCSGC traite les cas individuels et les cas complexes et exécute la réconciliation des comptes clients. Les deux régions visitées ont créé des initiatives locales visant à maximiser le traitement des comptes en recouvrement et ce, conformément aux exigences relatives à l'utilisation mentionnées au PE.
À la DGPLAR, deux types de renseignements sont principalement reçus de l'ASFC, soient l'appendice D-11 « Renseignements partagés avec la direction des services scientifiques et de laboratoire (DSSL) » et l'appendice D-8 (rapport du SGER). Selon l'appendice D‑11, le laboratoire de l'ASFC procède à des analyses afin de présenter des formules ou des caractéristiques pour des produits tels que les spiritueux, le vin, la bière et le tabac. Dans les régions de l'ARC, les services du laboratoire sont principalement utilisés pour les analyses d'alcool.
Les renseignements obtenus en vertu des appendices D‑11 et D-8 sont utilisés aux fins de vérification ou d'examen règlementaire des licenciés, et les vérificateurs font un usage adéquat des renseignements reçus de l'ASFC.
1.3 Les accès aux systèmes de l'ASFC sont contrôlés et se limitent aux employés autorisés
À la DGPLAR et à la DGSCGC, des procédures étaient appliquées pour le contrôle des accès aux systèmes informatiques de l'ASFC. Les gestionnaires contrôlent les privilèges d'accès de leurs employés en utilisant le Système de révision des accès des employés (SRAE) et informent la DGI ou la DSAI des changements, le cas échéant. Les privilèges d'accès au Système de soutien pour les analyses de laboratoire (SSAL) (laboratoire) utilisé à la DGPLAR n'apparaissent pas dans le SRAE. Ces accès sont contrôlés et mis à jour par le personnel du laboratoire de l'ASFC en collaboration avec un gestionnaire désigné des secteurs concernés de l'ARC.
Le secteur de la sécurité locale ou les centres de services de la technologie de l'information régionale donnent les accès aux ordinateurs centraux de l'ASFC et maintiennent un registre des gestionnaires autorisés et des utilisateurs. L'accès aux locaux, aux aires de travail et à l'équipement d'entreposage est contrôlé de façon à protéger les renseignements reçus de l'ASFC et est conforme aux exigences du PE et du Manuel des finances et de l'administration de l'ARC.
Le personnel des deux directions générales connaissait leurs obligations en regard de la confidentialité. Les entrevues ont confirmé que les renseignements reçus sont traités au même titre que l'information reçue des contribuables. La sensibilisation à la sécurité des renseignements est faite par des documents de l'ARC par exemple le Code de déontologie et de conduite, et les rappels sont faits annuellement. Une formation sur la confidentialité des renseignements est donnée aux employés, et des courriels relatifs à la protection des documents leur sont transmis périodiquement.
Le PE prévoit l'accès aux systèmes de l'ASFC par les employés de l'ARC. La DSAI a confirmé que, en ce moment, il était impossible d'exécuter des pistes de vérification aux systèmes centraux utilisés à la DGSCGC au centre de données de l'hôte St‑Laurent. Ces systèmes étant indépendants de ceux de l'ARC, seul le personnel de l'ASFC peut procéder aux pistes de vérification de leurs systèmes. Par contre, la DGSCGC n'avait fait aucune demande de pistes de vérification auprès de l'ASFC et ne connaissait non plus le processus afin de les obtenir.
La DGPLAR se réfère aussi au SSAL de l'ASFC pour obtenir, par exemple, des formulations analytiques ou des caractéristiques sur les spiritueux. Ces renseignements sont accessibles par l'entremise d'une installation Internet sécurisée sur les postes de travail de l'ARC. Les gestionnaires tiennent un registre des utilisateurs; par contre, il n'y avait pas de preuve démontrant que des pistes de vérification étaient effectuées.
À la DGSCGC, le Système temporaire des comptes débiteurs (STCD) contrôle l'inventaire des comptes de l'ASFC en recouvrement. Dans les cinq bureaux visités, deux types d'installations ont été constatés : le STCD peut être installé sur un ordinateur autonome ou en mode réseau au niveau local seulement. Par contre, les gestionnaires de la DGSCGC ont ajouté des contrôles physiques en révisant périodiquement l'inventaire de comptes de chaque employé. Les bureaux locaux et l'Administration centrale de l'ARC ne sont pas en mode réseau et il n'y a pas de possibilités d'effectuer des pistes de vérification.
Recommandation
La Direction de la sécurité et des affaires internes devrait consulter l'ASFC afin de déterminer la faisabilité et la pertinence d'effectuer des pistes de vérification afin de contrôler l'utilisation des systèmes de l'ASFC par les employés de l'ARC et, le cas échéant, établir une façon de procéder.
Si le processus est établi, la DGSI devrait s'assurer que le PE énonce clairement et de façon détaillée les exigences liées aux pistes de vérification, notamment les rôles et responsabilités de chacune des parties lorsqu'un employé accède à un système informatique de l'autre organisation.
Plan d'action
La Division de la sécurité de l'information de la DSAI coordonnera une première réunion avec les représentants appropriés de la DGI, de l'ASFC et de la Division des affaires internes et de la prévention de la fraude afin de déterminer la faisabilité et la pertinence d'effectuer des pistes de vérification pour contrôler l'utilisation que font les employés de l'ARC des systèmes de l'ASFC. Selon ce qui ressortira de cette réunion, la DSAI établira un processus à cet effet, au besoin. La réunion en question aura lieu d'ici janvier 2012, et les résultats seront communiqués à la Direction générale de la vérification et de l'évaluation de l'entreprise.
Si un processus est établi à la suite du plan d'action mentionné ci-dessus, la Division de la gestion des politiques, des programmes et des activités de la DSAI fera appel à la DGSI pour veiller à ce que les modifications appropriées soient apportées au PE actuel afin de tenir compte des exigences ainsi que des rôles et responsabilités de chaque partie.
1.4 Les renseignements obtenus de l'ASFC sont communiqués conformément aux dispositions du PE
Le PE énonce des paramètres pour la communication de renseignements, à savoir : la divulgation à des tiers, la transmission de renseignements, l'obtention d'autorisation de sécurité pour les utilisateurs et la nomination de représentants désignés responsables du maintien des communications entre les deux organisations. Le PE exige qu'aucun renseignement ne soit communiqué sauf dans la mesure où la communication est autorisée par une loi et uniquement aux fins prévues par cette loi. Les renseignements ne doivent pas être partagés avec une autre entité sans le consentement écrit de la partie qui a communiqué les renseignements.
À la DGPLAR et à la DGSCGC, des entrevues ont confirmé qu'aucun des renseignements reçus n'a fait l'objet d'une transmission à un tiers. La réception initiale des renseignements reçus de l'ASFC est faite de façon sécuritaire et ce conformément aux exigences prévues pour chacun des systèmes. De plus, la transmission subséquente des renseignements aux partenaires internes de l'ARC était également contrôlée. Des procédures de travail étaient en place et utilisées pour la transmission par fax sécurisé, l'utilisation de courriels chiffrés et l'utilisation sécuritaire des services de courrier. Tous les membres du personnel rencontrés à l'ARC détenaient une autorisation de sécurité appropriée et valide.
La majorité du personnel rencontré à la DGPLAR et à la DGSCGC a mentionné ne pas connaître le PE. Au cours des deux dernières années, il y a eu très peu d'échange d'information selon les possibilités de l'Annexe D du PE, et ce, plus particulièrement à la DGPLAR. Des 13 types de renseignements que la DGPLAR peut recevoir, seuls les rapports SGER et les rapports du laboratoire sont demandés. La DGSCGC, étant responsable des comptes clients depuis plusieurs années, et ce, avant même la création de l'ASFC, elle ne sent pas avoir besoin de se référer au PE, car les exigences énoncées font partie intégrante des tâches à effectuer au quotidien.
À la DGPLAR, le manque de connaissance du PE et le peu de demandes de rapports SGER font que les vérificateurs ne reçoivent pas toute information pertinente disponible pour l'exécution de leur travail aux fins de l'application de la Loi sur l'accise et la Loi sur la taxe d'accise.
Les entrevues et la revue de l'Annexe D du PE ont permis de conclure que certains titres de représentants autorisés ainsi que le nom de certaines directions générales ou divisions ne représentent plus la structure organisationnelle de l'ARC.
Recommandation
Pour les 13 types de renseignements mentionnés à l'Annexe D du PE, la DGSI en collaboration avec les responsables d'autres directions générales, devra définir leurs besoins en regard de l'information qui peuvent être reçu.
La DGSI devra réviser et mettre à jour les titres des responsables des appendices D-1 à D-22 et s'assurer que les représentants désignés sont informés.
Plan d'action
La DGSI, de concert avec l'ASFC et les secteurs responsables des programmes à l'ARC, examinera et mettra à jour l'annexe D au plus tard le 30 septembre 2012. Les secteurs responsables des programmes à l'ARC seront informés du PE en soi et de la mise à jour de l'annexe.
La DGSI rappellera aux responsables des directions générales qu'il faut mettre à jour les coordonnées des personnes-ressources se trouvant dans le PE. De plus, elle coordonnera un examen et une mise à jour à cet effet.
2.0 Protection des renseignements
2.1 Les rôles et responsabilités sont définis et compris en regard de la conservation et de la destruction des renseignements de l'ASFC
Les employés et les gestionnaires de la DGPLAR et de la DGSCGC appliquaient des méthodes de conservation appropriées et sécuritaires des documents et utilisaient les outils à leur disposition pour la destruction.
2.2 Les renseignements obtenus de l'ASFC sont conservés selon les exigences du PE et aux politiques de l'ARC
À la DGPLAR et à la DGSCGC, différents supports sont utilisés tels que des classeurs sécuritaires, des coffres-forts, des clés amovibles d'enregistrement, des disquettes et des dispositifs de chiffrement, le cas échéant. Les renseignements reçus sont conservés dans les salles d'entreposage désignées et contrôlées. Les sauvegardes des données électroniques du STCD étaient exécutées, et les copies de sauvegarde étaient conservées et exécutées selon les exigences de la DGI.
L'article 3 de l'Annexe E du PE mentionne que tous les renseignements reçus doivent être tenus et consignés conformément aux politiques et aux procédures de gestion de l'information de chaque partie. Par contre, le personnel de la DGPLAR et de la DGSCGC ne pouvait définir les exigences du PE à l'égard de la tenue et de la consignation des renseignements reçus. Du côté de la DGSCGC, il n'est pas nécessaire de consigner les renseignements reçus de l'ASFC, car ces renseignements font partie intégrante des comptes à recouvrer et sont traités quotidiennement dans le STCD. À la DGPLAR, il n'y a pas de consignation des renseignements reçus de l'ASFC. Les renseignements reçus sont intégrés au dossier de vérification de l'accise ou classés selon un système intégré de dossiers opérationnels.
Recommandation
La DGSI devrait apporter des précisions à l'article 3 de l'annexe E du PE en ce qui concerne l'obligation de tenir et de consigner les renseignements reçus ainsi que définir la méthode de consignation souhaitée tel que la date, l'objet, numéro de dossier, etc.
Plan d'action
La DGSI collaborera avec les directions générales et l'ASFC afin d'examiner et de mettre à jour l'annexe E du PE au plus tard le 30 septembre 2012.
2.3 Les renseignements reçus de l'ASFC sont détruits ou retournés selon les dispositions du PE
L'article 20 du PE prévoit que : « les renseignements reçus seront conservés pendant la période minimale prévue par les obligations législatives. Aussitôt que cette période sera terminée, les renseignements seront détruits ou retournés à l'autre partie ». Bien qu'il y ait peu de destruction de documents à la DGPLAR et à la DGSCGC, on a observé lors de la visite des sites que la destruction est effectuée conformément aux exigences du PE. Les renseignements reçus de l'ASFC ne sont pas retournés à l'ASFC. La plupart des membres du personnel rencontré ne font pas de distinction entre la conservation et l'élimination des documents reçus et ne peuvent préciser la période minimale de conservation. De récents travaux de vérification interne ont déjà soulevé ce point en regard de la période minimale de conservation, et ce, pour l'ensemble des PE de l'ARC, et des plans d'action sont présentement en élaboration par la DGSI.
2.4 Les incidents de sécurité sont signalés conformément au PE et aux directives de l'ARC
Aucun incident de sécurité n'a été soulevé au cours des deux dernières années en regard des renseignements reçus de l'ASFC.
Conclusion
L'ARC observe en grande partie les conditions qui régissent l'utilisation, la communication, la conservation et l'élimination des renseignements reçus de l'ASFC. Toutefois, des améliorations devront être apportées relativement aux rôles et responsabilités énoncés dans certains appendices du PE. De plus, des mesures devront être prises en regard de la surveillance des accès aux systèmes informatiques de l'ASFC. Plusieurs appendices de l'Annexe D du PE ne sont pas utilisés, et une révision des besoins des intervenants devra être envisagée ainsi qu'une mise à jour des représentants désignés autorisés à communiquer avec l'ASFC. Des précisions devront être apportées à l'article 3 de l'Annexe E du PE en ce qui concerne l'obligation de tenir et de consigner les renseignements reçus de l'ASFC, et une méthode de consignation devra y être précisée.
Appendice 1
| ARC | Agence du revenu du Canada |
|---|---|
| ASFC | Agence des services frontaliers du Canada |
| Appendice D-8 | Rapport SGER et renseignements de B3 |
| Appendice D-10 | Renseignements sur l'importation de marchandises assujetties à l'Accise |
| Appendice D-11 | Renseignements partagés avec la direction des services scientifiques et de laboratoire en vertu d'une entente sur les niveaux de services |
| B3 | Formule de codage des douanes |
| DGFA | Direction générale des finances et de l'administration |
| DGPLAR | Direction générale de la politique législative et des affaires réglementaires |
| DGPO | Direction générale des programmes d'observation |
| DGSCGC | Direction générale des services aux contribuables et de la gestion des créances |
| DGSI | Direction générale de la stratégie et de l'intégration |
| DGI | Direction générale de l'informatique |
| DSAI | Direction de la sécurité et des affaires internes |
| SGER | Rapport du système de gestion de l'extraction de renseignements |
| SRAE | Système de révision d'accès des employés |
| SSAL | Système de soutien des analyses de laboratoire |
| STCD | Système temporaire des comptes débiteurs |
Notes :
Détails de la page
- Date de modification :