Entente sur l'échange de renseignements entre la British Columbia Vital Statistics Agency et l'Agence du revenu du Canada (ARC)

Rapport final

Direction générale de la vérification, de l'évaluation et des risques
Août 2013

Table des matières

Résumé exécutif
Introduction
Portée de la vérification
Constatations
- 1.0 Conformité des politiques, des procédures, des lois et des règlements
- 2.0 Protection des renseignements
Conclusion

Résumé exécutif

Contexte

L’Agence du revenu du Canada (ARC) signe des accords de collaborations écrits, tels que des ententes d’échange de renseignement (ententes), avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans l’exécution des programmes. Lorsque des renseignements sensibles sont échangés avec ces entités, l’ARC s’assure que les ententes sont rédigées de manière à ce que les parties connaissent et respectent les exigences juridiques et les politiques relatives à l’utilisation et à la sécurité des renseignements échangés.

Afin de s’assurer que les deux parties respectent ces dispositions, les ententes comportent une clause exigeant que l’on mène des vérifications internes de l’utilisation et de la protection des renseignements échangés. La présente entente stipule que l’ARC est tenue d’effectuer sa première vérification interne à une date mutuellement convenue dans les deux ans suivant la date d’entrée en vigueur de la présente Entente. Par la suite, les vérifications internes seront effectuées de façon périodique selon ce dont la British Columbia Vital Statistics Agency (BCVSA) et l’ARC conviendront en fonction des résultats de la vérification précédente.

Cette vérification portait sur les renseignements protégés reçus par l’ARC en vertu de l’Entente conclue avec la BCVSA.

L’Entente a pour but de documenter les modalités selon lesquelles la BCVSA divulgue à l’ARC des renseignements sur l’enregistrement des naissances et des décès en Colombie-Britannique afin d’aider l’ARC à remplir son mandat qui est d’offrir des services intégrés. Le service intégré d’enregistrement de la naissance et de demande de la Prestation fiscale canadienne pour enfants (PFCE) permet à la mère d’un enfant de combiner deux services en un. Une mère peut remplir le formulaire d’enregistrement de la naissance de son enfant auprès de la BCVSA et présenter une demande pour la PFCE au même moment.

La Direction des relations avec les clients de la Direction générale de la stratégie et l’intégration (DGSI) oriente et coordonne les relations avec les clients internes et externes en soutenant les directions générales et les régions relativement à toutes les ententes conclues avec les partenaires de l’ARC. La Direction générale des services de cotisation et de prestations est responsable de l’orientation fonctionnelle du processus de mise à jour des statistiques de l’état civil. Les activités opérationnelles relatives aux renseignements sur les naissances et aux demandes de PFCE connexes fournis en vertu de la présente Entente sont menées au Centre fiscal (CF) de Surrey dans la région du Pacifique. Les activités opérationnelles relatives aux renseignements sur les décès fournis en vertu de la présente Entente sont menées au Centre de technologie d’Ottawa dans la région de l’Ontario. La Direction de la sécurité et des affaires internes de la Direction générale des finances et de l’administration est responsable d’assurer la conformité aux politiques sur la sécurité et d’aider l’ARC à respecter ses obligations légales en matière de sécurité.

Objectif

L’objectif de la présente vérification consistait à s’assurer que l’utilisation et la sécurité des renseignements reçus par l’ARC sont conformes aux modalités établies dans l’Entente.

Les travaux d’examen ont été effectués entre avril et juin 2013 et comprenaient des visites au CF de Surrey et au Centre de technologie d’Ottawa.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Conclusion

Dans l’ensemble, l’ARC respecte les modalités régissant l’utilisation, la communication et la sécurité des renseignements telles qu’elles sont stipulées dans l’Entente. Les résultats de la vérification indiquent que les gestionnaires et les employés responsables au CF de Surrey et au Centre de technologie d’Ottawa étaient au courant de leurs responsabilités, qu’ils appliquaient les contrôles nécessaires pour se décharger de ces responsabilités, et que le système et les processus en place appuyaient également l’utilisation appropriée et la protection des renseignements.

Introduction

L’Agence du revenu du Canada (ARC) signe des accords de collaborations écrits, tels que des ententes d’échange de renseignements (ententes), avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans l’exécution des programmes.

L’Entente avec la British Columbia Vital Statistics Agency (BCVSA) est en vigueur depuis le 28 juillet 2009. L’Entente a pour but de documenter les modalités selon lesquelles la BCVSA divulgue à l’ARC des renseignements sur l’enregistrement des naissances et des décès en Colombie-Britannique afin d’aider l’ARC à remplir son mandat qui est d’offrir des services intégrés. La BCVSA échange des renseignements avec l’ARC par l’intermédiaire d’un processus automatisé qui achemine les renseignements sur l’état civil électroniquement à l’aide d’une interface sécuritaire électronique^{Footnote 1}.

Le service intégré d’enregistrement de la naissance et de demande de Prestation fiscale canadienne pour enfants (PFCE) permet à la mère d’un enfant de combiner l’enregistrement de la naissance de son enfant auprès de la BCVSA et la demande de la PFCE.

La BCVSA fournit également à l’ARC des renseignements sur les décès enregistrés auprès d’elle. Ces renseignements sont utilisés afin d’inscrire la mention « décédé » sur les dossiers des particuliers de l’ARC et d’insérer des éléments de données supplémentaires requis.

La Direction des relations avec les clients de la Direction générale de la stratégie et de l’intégration (DGSI) est chargée de gérer tous les accords de collaboration écrits et de tenir un dépôt de données pour aider le personnel de l’ARC à communiquer et à échanger les renseignements et les accords de service. La Direction générale des services de cotisation et de prestations est responsable de l’orientation fonctionnelle du processus de mise à jour des statistiques de l’état civil. Les activités opérationnelles relatives aux renseignements sur les naissances et aux demandes de PFCE connexes fournis en vertu de la présente Entente sont menées au Centre fiscal (CF) de Surrey dans la région du Pacifique. Les activités opérationnelles relatives aux renseignements sur les décès fournis en vertu de la présente Entente sont menées au Centre de technologie d’Ottawa dans la région de l’Ontario. La Direction de la sécurité et des affaires internes (DSAI) de la Direction générale des finances et de l’administration (DGFA) est responsable d’assurer la conformité aux politiques sur la sécurité et d’aider l’ARC à respecter ses obligations légales en matière de sécurité.

Portée de la vérification

La méthodologie utilisée dans le cadre de cette vérification comprenait des entrevues, des observations et des examens de documents. Elle ne comprenait pas d’essais des contrôles informatiques généraux ou de la sécurité des systèmes automatisés.

Les travaux d’examen ont été effectués entre avril et juin 2013 et comprenaient des visites au CF de Surrey et au Centre de technologie d’Ottawa.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Constatations

1.0 Conformité des politiques, des procédures, des lois et des règlements

1.1 Utilisation des renseignements de la BC Vital Statistics Agency

Conformément à l’Entente, les renseignements reçus de la BCVSA doivent être utilisés par l’ARC uniquement aux fins de l’application et de l’exécution de la Loi de l’impôt sur le revenu, du Régime de pensions du Canadaet de la Loi sur l’assurance-emploi. Les employés devraient être tenus informés de l’utilisation envisagée de ces renseignements et comprendre leur responsabilité de veiller à la sécurité des données.

Selon les entrevues et un examen de la documentation portant sur le traitement des renseignements reçus en vertu de l’Entente, les renseignements ont été utilisés afin de mettre à jour la base de données IDENT de l’ARC qui entrepose les renseignements sur les contribuables particuliers. Cette base de données est protégée par les contrôles informatiques généraux de l’ARC. Les renseignements provenant de cette base de données ont ensuite été utilisés pour appliquer et exécuter les lois mentionnées ci-dessus.

Selon les entrevues et une démonstration du processus, le système automatisé qui reçoit les renseignements en vertu de l’Entente est conçu pour mettre à jour automatiquement la base de données IDENT. Le système automatisé génère des documents d’exception pour les opérations de la BCVSA qui ne peuvent être traitées automatiquement puisque les données ne sont pas conformes aux exigences de validation du système. Les employés autorisés du CF de Surrey et du Centre de technologie d’Ottawa peuvent avoir accès à ces documents d’exception. Ces employés corrigent les renseignements fournis ou obtiennent les renseignements manquants, et mettent à jour la base de données IDENT.

L’équipe de la vérification a noté que les employés autorisés sont conscients de leurs responsabilités à l’égard de l’utilisation des renseignements. Ces renseignements ne sont partagés qu’avec le personnel autorisé qui traite la charge de travail des exceptions. La diffusion limitée réduit la possibilité d’une utilisation non autorisée des renseignements par d’autres employés.

Les entrevues avec les employés et les gestionnaires responsables de l’Entente ont révélé qu’ils étaient au courant de leurs obligations en ce qui concerne le Code de déontologie et de conduite. Nos sondages ont confirmé que ces employés avaient officiellement indiqué qu’ils avaient lu et compris le Code.

Il n’y avait aucune indication dans les entrevues ou la démonstration que les renseignements de la BCVSA ont été utilisés à des fins autres que celles précisées dans l’Entente.

1.2 Accès aux renseignements de la BC Vital Statistics Agency

L’accès aux renseignements de la BCVSA doit être conforme aux exigences de l’ARC en matière de sécurité et fourni selon le principe du « besoin de savoir ». Les entrevues avec les gestionnaires et les employés ont révélé qu’environ cinq employés se voient accorder un accès aux renseignements à un moment donné au CF de Surrey et qu’environ le même nombre de personnes se voient accorder l’accès au Centre de technologie d’Ottawa. Leur accès aux processus automatisés requis en vertu de la présente Entente est administré au moyen du régime de contrôle de l’accès général qui protège l’environnement informatique de l’ARC.

Ces rôles sont surveillés au moyen d’examens semestriels connus comme le Système de révision d’accès des employés (SRAE), qui est appuyé par un système national de suivi auquel le personnel du CF de Surrey et du Centre de technologie d’Ottawa n’a pas accès. L’outil du SRAE est conçu afin de permettre aux gestionnaires de contrôler les rôles et l’autorisation qui en découle pour donner accès aux processus automatisés requis pour traiter les exceptions. Les essais menés par l’équipe de la vérification ont révélé que le rapport du SRAE associé à l’examen le plus récent en décembre 2012 avait été utilisé par les gestionnaires afin de confirmer que seuls les employés autorisés de l’unité avaient accès aux renseignements.

1.3 Divulgation des renseignements de la BC Vital Statistics Agency

Selon les entrevues avec les gestionnaires et les employés, les renseignements de la BCVSA ne sont pas échangés à l’intérieur ou à l’extérieur de l’ARC avant qu’ils soient utilisés pour mettre à jour la base de données IDENT. L’équipe de la vérification n’a pas observé et n’a pas été informée de cas où les renseignements ont été divulgués à des employés autres que ceux autorisés au sein de l’unité de traitement.

2.0 Protection des renseignements

Les renseignements reçus de la BCVSA sont traités, entreposés et détruits conformément aux exigences de l’Entente ainsi qu’aux politiques et aux lignes directrices de l’ARC.

Selon les personnes interrogées, la formation sur la sécurité liée au traitement, à l’entreposage et à la destruction des documents est offerte dans le cadre d’activités d’initiation lorsque les employés entrent au service de l’ARC. Les employés autorisés qui sont responsables de cette charge de travail au CF de Surrey et au Centre de technologie d’Ottawa ont assisté aux plus récentes séances annuelles de formation d’appoint sur la sensibilisation à la sécurité. Une liste de contrôle sur la présence des employés aux plus récentes séances annuelles de sensibilisation en mars 2013 a été obtenue et examinée par l’équipe de la vérification aux fins de confirmation. De plus, l’équipe de la vérification a noté les listes de présence aux diverses autres séances de formation sur la sensibilisation à la sécurité.

2.1 Traitement des renseignements

Selon les entrevues et la documentation décrivant le système automatisé, les renseignements sont reçus par voie électronique et traités automatiquement. Les contrôles automatisés des systèmes de l’ARC sont conçus pour faire une recherche approfondie sur les virus ou les menaces connexes pour tout dossier qui entre dans l’environnement informatique de l’ARC.

Les employés qui traitent les renseignements fournis en vertu de l’Entente détiennent des classifications de sécurité appropriées conformément à un examen des dossiers dans le Libre-service des gestionnaires^{Footnote 2}.

Au CF de Surrey, l’équipe de la vérification a noté que les documents d’exception imprimés touchant les naissances portent la mention « Protégé B », tel qu’il est requis par les Lignes directrices pour effectuer une évaluation du risque dans le but d’identifier la catégorie et le niveau des renseignements.Au Centre de technologie d’Ottawa, les exceptions relatives aux renseignements sur les décès sont fournies par voie électronique dans un dépôt de données sécurisé auquel seul le personnel autorisé a accès.

Selon les entrevues et l’observation, l’accès physique aux renseignements sur les postes de travail est contrôlé conformément aux lignes directrices de l’ARC sur la sécurité par l’entremise de gardiens de sécurité du CF et du Centre de technologie locaux. L’utilisation de postes de travail est surveillée à l’aide de contrôles de l’accès général qui portent sur tout l’environnement de technologie de l’information de l’ARC.

Au CF de Surrey, des cartes magnétiques et des claviers de sécurité nécessitant des codes d’accès limitent l’entrée dans la pièce où les serveurs se trouvent. Ces cartes magnétiques et codes d’accès sont fournis uniquement aux employés autorisés. Cela était fondé sur des entrevues avec des employés de la technologie de l’information et de la sécurité locale ainsi que sur les tests qui portaient sur l’observation de ceux qui tentaient d’entrer dans les pièces sécurisées où se trouvaient les serveurs.

Au Centre de technologie d’Ottawa, selon les entrevues et l’observation, les serveurs se trouvent dans des classeurs sécuritaires dans une aire ouverte. Ces classeurs sont verrouillés et seuls les employés autorisés y ont accès. L’équipe de la vérification a testé tous les classeurs sans la clé et a constaté qu’ils ne pouvaient être ouverts.

Les gestionnaires et les employés ont indiqué qu’ils étaient au courant des procédures en matière d’incident de sécurité et qu’ils étaient en mesure de décrire de façon appropriée le protocole si un tel incident devait survenir.

2.2 Entreposage et destruction des renseignements

Selon les entrevues et une démonstration du processus, les copies papier des documents d’exception au CF de Surrey sont entreposées avec le dossier connexe du contribuable, après avoir été utilisées et conservées pendant quatre ans, comme l’exige la politique relative à toutes les demandes de PFCE. Elles sont entreposées dans un lieu externe et administrées par l’unité de l’ARC responsable de l’entreposage et de destruction.

Selon les entrevues et une démonstration au Centre de technologie d’Ottawa, les documents d’exception sont reçus sous forme électronique et non imprimée. Après avoir été utilisés pour le traitement d’exception, les rapports sont entreposés dans un répertoire sécurisé et ils sont supprimés après deux ans, comme l’exige le Manuel des opérations de l’impôt. L’équipe de la vérification a testé et confirmé la conservation en obtenant et en examinant la liste des dossiers figurant dans le répertoire sécurisé.

Conclusion

Dans l’ensemble, l’ARC respecte les modalités régissant l’utilisation, la communication et la sécurité des renseignements telles qu’elles sont stipulées dans l’Entente. Les résultats de la vérification indiquent que les gestionnaires et les employés responsables au CF de Surrey et au Centre de technologie d’Ottawa étaient au courant de leurs responsabilités et qu’ils appliquaient les contrôles nécessaires pour se décharger de ces responsabilités, et que le système et les processus en place appuyaient également l’utilisation appropriée et la protection des renseignements.

Footnotes

Notes de bas de page 1

Les renseignements sont transmis par la BCVSA à l’ARC au moyen du Système national d'acheminement (SNA). Le SNA est un système sécurisé développé par l’ARC et d’autres organisations du gouvernement fédéral qui nécessite des renseignements sur les statistiques de l’état civil de la part des provinces et des territoires. La Colombie‑Britannique est l’une des provinces qui présente ses renseignements par cette voie.

Retour à la référence de la note de bas de page1

Notes de bas de page 2

Le Libre-service des gestionnaires (LSG) est une application informatique reliée aux Systèmes administratifs d’entreprise (SAE) de l’ARC qui appuie les fonctions de finances, de matériel, d’administration, de ressources humaines et de la paie de l’Agence.

Retour à la référence de la note de bas de page2

Détails de la page

Date de modification :: 2013-10-18

Sélection de la langue

Recherche

Se connecter